Перейти к содержанию

Recommended Posts

Umnik

Вложенный файл написан на VB6. Ничем не упакован, не криптован и т.п. Функционал - после запуска ждет 30 сек, затем ищет в реестре наши каталоги (ЛК), находит наш продукт и запускает avp.com с параметром update.

Как объяснить этот фолс?

KUS.zip

KUS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
TR/Crypt.CFI.Gen

Описание:

Групповая функция обнаружения для распознавания общих фамильных признаков различных вариантов.

Может просто спутали с каким-нибудь AVP kill на VB?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Чем спутали? Тем, что в реестре ищет? Фолсу уже неделю закрывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

А ответ с признанием ложного срабатывания был?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А ответ с признанием ложного срабатывания был?

Ни ответа ни привета

Отправлял из бесплатной версии Авиры, встроенным средством - "пожаловаться на ложное срабатывание"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Я всегда отправляю через веб-форму именно потому, что так всегда приходит ответ. При отправке из самой программы ответ не приходит. Когда я отправлял ложное срабатывание на Coyote.exe, детект был снят на следующий день.

Отправил KUS. Подождём результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Да на упаковщик она ругается -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

файл ничем не упакован

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Я всегда отправляю через веб-форму именно потому, что так всегда приходит ответ. При отправке из самой программы ответ не приходит. Когда я отправлял ложное срабатывание на Coyote.exe, детект был снят на следующий день.

Отправил KUS. Подождём результат.

Спасибо, но тем более странно - в самой Авире эта форма как близнец веб-формы, на которую Вы ссылку дали:

false.png

post-1077-1240346711_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

В ЛК тоже со сроками в последнее время не все хорошо... ;)

08f4432afeddt.jpg56f439b67bb5t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Проблема не в сроке.

Проблема в том, что им послали не бабочку, красивую и пушистую, а сообщение об бракоделии. На это ЛК вроде при любом раскладе реагирует быстро, нет?

А в Вашем примере есть какой-то здоровенный файл, который прошел через робота, отсеющего львиную долю зловредов на автомате, и ничего в нем не нашел. Потому (после этого) этот здоровенный файл пришлось долго и пристально вручную разглядывать человеку, которому и так в общем то понятно, что скорее всего ничего там не светит. Отсюда (IMHO) и сроки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Спасибо, но тем более странно - в самой Авире эта форма как близнец веб-формы, на которую Вы ссылку дали:

Мне тоже непонятно, почему нельзя было прикрутить систему автоматического ответа к менеджеру карантина, как это сделано при отправке через сайт. Я задавал этот вопрос на русскоязычном сайте. Ответа, естественно, не получил. Надеюсь, разработчики со временем исправят этот недостаток.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
файл ничем не упакован

Авира посчитала, что упакован ((:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Авира посчитала, что упакован ((:

За такое убивать надо!

(с) Лёлик (Бриллиантовая рука)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
За такое убивать надо!

(с) Лёлик (Бриллиантовая рука)

Ага. Файл, который притворяется упакованным. :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Ага. Файл, который притворяется упакованным. :lol:

да ничем он не притворяется - чистый vb6 + пару функций Reg* Win32Api + Sleep (видно невооруженным глазом)

Обычный фолс этой т.н. generic detection routine

Imho, фиксить не будут, пофиксится, скорее всего, "само" при каком-нибудь очередном апдейте движка.

А вообще (опять же, это - imho, спорить с фанатами никакого желания нет)

на данный момент Avira перекочевала из диапазона Av-продуктов в, по довольно меткому выражению, "лучший в мире чекер РЕ файлов на валидность". Правильно это или нет, опрадывает ли себя такой подход в тех или иных условиях - спорить не собираюсь.

Понятно (говорю лично за себя), что в таком раскладе, нередко будут попадаться и ложняки на невинное файло. что и случилось выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Ну вот и всё, вот результат. Детект уже снят. :)

когда перестанет детектиться - тогда снят ; ) думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
когда перестанет детектиться - тогда снят ; ) думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)
Там же написано:
Detection will be removed from our virus definition file (VDF) with one of the next updates.

Я же написал - детект снят! - т.е. уже не детектится! :) Проверено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Файлик раздетектился, подтверждаю

Теперь имееем дистр старенького WinRar'а - на какой именно файл внутри идет срабатывания думаю разобраться будет легко...

http://ktu.kasperskyclub.com/wrar341ru.exe

Наученный горьким опытом файл посылал через форму на сайте - жду сутки с копейками...

ВирусТотал по поводу файла звереет, и играет в "кто первый имя детекта передерет у конкурента" :)

Впрочем, смотрите все сами :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Теперь имееем дистр старенького WinRar'а - на какой именно файл внутри идет срабатывания думаю разобраться будет легко...

Ну, чтобы получить клеймо криптокока не обязательно быть чем-то страшным. :)

http://www.virustotal.com/analisis/e08a543...1462745e17474fa

test.zip

test.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

А если то-же самое проделать с реальным вредоносом, которого все знают и кинуть его на Вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
...думается, теперь - дня три-недельку (это не VDF - так что регулярное обновление баз тут непричем)

Окончание истории, если это кому-либо интересно:

Engine Update AV8/9 8.02.00.156 / AV7 7.09.00.156 (2009-04-24)

Engine Update AV8/9 8.02.00.156 / AV7 7.09.00.156 (2009-04-24)

...

- Updated: Heuristic and generic detections:

...

TR/Crypt.CFI.Gen

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

мама мия...rapidshare.com блочит-вредоносное ПО....

это так Авира решила бороться с ними-так как стучат на пользователей они теперь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×