Перейти к содержанию

Recommended Posts

Maratka

Они походу издвеваются.... :(

Началась тема с некого семпла. Нашел старую версию этой же программы - и получил этот же детект.

Т.е. Авировские ребятки не то чтобы пофиксили дететкт, а (скорее) занесли в некий белый список указанную тушку.

При этом тушка с чуть-чуть другим функционалом продолжает детектиться.....

http://www.virustotal.com/ru/analisis/20a6...ead8-1246143596

KUR.rar

KUR.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Там же написано:

Я же написал - детект снят! - т.е. уже не детектится! :) Проверено.

Проверил еще раз...

Изменил в программе 1 ЛЮБОЙ!!! ничего не значащий байт - детект появляется снова... :)

Из чего следует: снятие детекта состояло не в собcтвенно его правке, совершенствовании эмуля и др. подобных вещах, а в банальном добавлении хеша файла в некий внутрненний, встроенный в базы "белый список".

Любой желающий может повторить мой опыт используя программку из первого сообщения.

С чем и откланиваюсь ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Проверил еще раз...

Изменил в программе 1 ЛЮБОЙ!!! ничего не значащий байт - детект появляется снова... :)

Из чего следует: снятие детекта состояло не в собcтвенно его правке, совершенствовании эмуля и др. подобных вещах, а в банальном добавлении хеша файла в некий внутрненний, встроенный в базы "белый список".

В данном случае вопрос в принципах детектирования/снятия детекта. И отлично видно, что ВирЛаб Авиры откровенно запаривается - md5 добавить в белый список все же проще, чем эмуль поправить

Вполне логичный подход. Я не специалист, но предполагаю, что данный файл всё же попадает под определение подозрительного. И эмулятор не правился потому, что в этом не было необходимости. Если с помощью этой и других функций группового обнаружения успешно ловятся реальные зловреды, то почему бы и нет. Дело в соотношении реального детекта и ложных срабатываний. Например, какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса? :) Фолс явно не критичный и смысла править движок нет. Как говорится "бага не первого приоритета".

Может пользователи Авиры не попали под эпидемию Конфикера (Кидо) потому, что его различные версии детектились с помощью функции группового обнаружения TR/Crypt.XPACK.Gen даже до внесения в базы? По моему мнению, это стоит десятка подобных фолсов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Вполне логичный подход. Я не специалист, но предполагаю, что данный файл всё же попадает под определение подозрительного. И эмулятор не правился потому, что в этом не было необходимости. Если с помощью этой и других функций группового обнаружения успешно ловятся реальные зловреды, то почему бы и нет. Дело в соотношении реального детекта и ложных срабатываний. Например, какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса? :) Фолс явно не критичный и смысла править движок нет. Как говорится "бага не первого приоритета".

Может пользователи Авиры не попали под эпидемию Конфикера (Кидо) потому, что его различные версии детектились с помощью функции группового обнаружения TR/Crypt.XPACK.Gen даже до внесения в базы? По моему мнению, это стоит десятка подобных фолсов.

Как неспециалист неспециалисту скажу - что детектиться фактически весь ряд, от первой альфы до условного релиза этой тулзы.

Не многовато ли фолсов на всего лишь попытку запустить обновление антивируса?

p.s.

Предлагаю для основателей форума подобные утилитки складывать в копилку, на которой впоследствии тестировать фолсы антивирусов при следующем прогоне тестов деткта. И далее в соответсвии с методикой - за каждый фолс скидывать какой-то процент "правильных" детектов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Ага, за детект КУЗи скидывать детект Кидо. :)

Повторюсь:

какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Ага, за детект КУЗи скидывать детект Кидо. :)

Повторюсь:

какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса?

Объясняю:

Авира стоит на моем прокси-сервере на трафике.

Я пытаюсь скачать эту тулзу с этого форума.

Действия Авиры на сервере?

И мои действия?

В довесок:

Если задетектить файлы самой Авиры ну скажем эмулем Симентика, и умышленно сбивать детект белыми списками хешей, в результате чего после любого изменения модуля детект появится опять, то обвинить (условно) Симентика в нечестной конкуренции нельзя - ведь ни один пользователь Симентика не пострадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Объясняю:

Авира стоит на моем прокси-сервере на трафике.

Я пытаюсь скачать эту тулзу с этого форума.

Действия Авиры на сервере?

И мои действия?

Я высказываюсь только с точки зрения пользователя. Подобный вариант, признаюсь, не рассматривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Это и есть достаточно обычный "пользовательский" вариант в нормальной обеспеченной стране.

У меня лично 4 ноута, младший (EEE-PC 701) отдан как раз под прокси. Все покушаюсь купить 5-ю машину (на этот раз - настольную), чтобы играться от души, но каждый раз себя пересиливаю - ибо играться некогда, и машина будет пылиться под столом.

Подобным образом организованная сеть достаточно логична и вполне востребована во многих случаях, в первую очердь в нормальных странах (Европа, Северная Америка, Япония, Тайвань, Австралия, и также Москва, возможно Питер).

У многих моих знакомых из стран перечисленных выше дома количество компьютеров = кол-во членов семьи +сервер, +ноут для папы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

В таком случае, если настроено автоматическое принятие решений при обнаружении вируса, удаляемый файл должен копироваться в карантин, откуда его можно восстановить и добавить в исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

В этом случае я просто не скачаю файл.

Для пользователя это будет выглядеть как остутсвующий файл на сервере.

А бегать на прокси за каждой битой ссылкой (ведь неивзестно - битая сслыка там, или заблокироварнный зловред) - явно дурная привычка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Хорошо, хоть не Ikarus на сервере. :)

Ну если это очень уж критично, то, зная особенности продуктов, можно поставить на прокси более "лояльный" антивирус, а Авиру - на "клиентские" машины. А в случае возникновения подобных проблем обращаться непосредственно к разработчикам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Хорошо, хоть не Ikarus на сервере. :)

Ну если это очень уж критично, то, зная особенности продуктов, можно поставить на прокси более "лояльный" антивирус, а Авиру - на "клиентские" машины.

А смысл ставить "лояльное решето" на проксю?

Там по определению должен стоят антивирь с очень хорошим детектом. Но однозначно не ценой "очень большого кол-ва фалсов".

А в случае возникновения подобных проблем обращаться непосредственно к разработчикам.

Так и сделал. Обратился. :)

Добавили md5 в белый список cпустя 2 суток.

А программу эту я перекомпиляю раз 20 за день.

Значит - 20 детектов.

Пока они эти детекты разгребут - пройдет еще 2 суток - и появится еще 40 перекомпиленных версий программы. Дальше рассказывать, или прогрессию сами построите? ;)

**********

А вот еще вариант ответа:

Пожаловался на ложняк в файлах офиса97

Фалов штук 5 разных... Т.е. не один, случайно залетный.

Ложняк вполне примечательный- Чернобыль (надеюсь многие его помнят...)

Ну слабо я верю, что спустя СТОЛЬКО времени его детектит всего 5-10 вендоров из 40 на ВирусТотале. :)

Ответ:

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.

Tracking number: INC00330602.

A listing of files alongside their results can be found below:

File ID Filename Size (Byte) Result

25383219 SENDFILE.EXE 14.77 KB MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result

SENDFILE.EXE MALWARE

The file 'SENDFILE.EXE' has been determined to be 'MALWARE'. Our analysts named the threat W95/CIH. The term "W95/" denotes a file virus or malware that runs on Windows 95/98/Me systems.Detection is added to our virus definition file (VDF) starting with version 6.36.00.09.

Alternatively you can see the analysis result here:

http://analysis.avira.com/samples/details....cidentid=330602

An overview of all your submissions can be found here:

http://analysis.avira.com/samples/details....ZHA4KTrdUx5Y1q7

Please note: If you have specific questions please address them to [email protected]

Kind regards

Avira Virus Lab

---------------------------------------------

Avira GmbH

Lindauer Str. 21, D-88069 Tettnang, Germany

Phone: +49 (0) 7542-500 0

Fax: +49 (0) 7542-525 10

Internet: http://www.avira.com

CEO: Tjark Auerbach

Headquarter: Tettnang

Commercial register: AG Ulm HRB 630992

---------------------------------------------

http://www.virustotal.com/ru/analisis/3be0...7daa-1246280991

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Я имел в виду: обратиться к разработчикам с описанием сути проблемы (понятно, что добавление в исключения по MD5 в данном случае - не выход), может тогда они изменят алгоритм работы эмулятора, или что-нибудь посоветуют.

А с Офисом один раз тоже сталкивался - там был точно такой детект в папке со шрифтами. Я подумал, что возможно, файл был ранее "пролечен" каким-нибудь антивирусом, но остались следы и не придал этому значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А с Офисом один раз тоже сталкивался - там был точно такой детект в папке со шрифтами. Я подумал, что возможно, файл был ранее "пролечен" каким-нибудь антивирусом, но остались следы и не придал этому значения.

Именно так и есть.

Но что делать пользователю этого офиса в случае, если он одновременно пользователь Авиры?

Я послал им файл, я сказал что это фалса - их ответ я выделил жирным.

У них там нет специалиста, который не может отличить рабочего ЧИХа от его осколка? :)

Я имел в виду: обратиться к разработчикам с описанием сути проблемы (понятно, что добавление в исключения по MD5 в данном случае - не выход), может тогда они изменят алгоритм работы эмулятора, или что-нибудь посоветуют.

После Чернобыля у меня что-то большие сомнения на этот счет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Именно так и есть.

Да я его тогда банально удалил. На работоспособности Офиса это никак не сказалось. :) Там дистрибутив был пиратский, поэтому я особо не сомневался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Да я его тогда банально удалил. На работоспособности Офиса это никак не сказалось. :) Там дистрибутив был пиратский, поэтому я особо не сомневался.

У меня якобы заражены:

25383215 OSA.EXE 50.77 KB MALWARE

25383214 EXCEL.EXE 5.34 MB MALWARE

25383222 WINWORD.EXE 5.07 MB MALWARE

25383218 SCHDPL32.EXE 90.86 KB MALWARE

25383216 OUTLOOK.EXE 25.27 KB MALWARE

Это из явных фалсов

Файлы могу выложить, поглядите сами, опасности там нет, так что статья за распространение мне вряд ли светит :)

В данном случае я думаю, что удаление

EXCEL.EXE

WINWORD.EXE

OUTLOOK.EXE

на работоспособности офиса все таки скажется.... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Да, тут ситуация поинтересней. И это из официального дистрибутива? Если есть уверенность в безопасности этих файлов, то можно внести их в исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Дистрибутив пиратка.

Но сути оно не меняет - ведь легальный офис тоже может быть заражен, криво излечен, после чего установлена Авира, дабы "больше не заражаться" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Вот похожая тема: http://forum.kaspersky.com/index.php?showtopic=33080

Я вспомнил, в моём случае тоже был вердикт W95/CIH (inactive), откуда я и сделал вывод о недолечености файла.

А все эти "зараженные" файлы находятся в Program Files, или в папке с дистрибутивом, копия которого создаётся на диске? Во втором случае их удаление не повлияет на работоспособность программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

У меня в дистрибутиве, дистр на CD, CD взял у приятеля на днях, когда я приехал в отпуск, а он как раз старые запасы дисков выбрасывал (Офис 97 явно не новинка ;) )

Поймите правильно - мне в принципе чихать на фалсу Авиры - у меня в качестве основного антивиря другой установлен. :)

И на Офис97 так же чихать - ибо у меня на работе офис посвежее, а дома я вполне ОпенОфисом перебиваюсь....

Вопрос в другом - зачем утверждать что файл заражен, если в нем находятся битые осколки вируса, которые НЕ МОГУТ навредить в прицнипе. Я согласен, что сигнатуру немцы положили с свое время неудачно. Но за то им и зарплату платят - чтобы в случае если кто-либо обнаружит и укажет пальцем - то поправить.

Им пальцем указали - результат я процитировал выше. Что нужно сделать, чтобы они таки соизволили снизойти до простого русского пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Что нужно сделать, чтобы они таки соизволили снизойти до простого русского пользователя?

Хороший вопрос. У них какие-то свои соображения явно.

Я недавно отправил им в вирлаб текстовый файл с известной комбинацией слов: http://www.anti-malware.ru/forum/index.php...ost&p=69641. Пришел ответ - "ложное срабатывание". И все. Ни то, что примем меры, что удалим из баз... Как результат, срабатывание продолжается.

Действительно, такие вещи раздражают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

У меня всегда запасной вариант - это Каспер.Если в ВирЛабе Авиры не прога проверяет файлы на вирусы,а люди,которые там работают,то мне например,интересно,а какой антивирус у них стоит у самих,дома?

Наверно столько и платят,что фолсы фиксить лень.Хотя,если начальство сказало делать так,так они и делают по уставу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Хороший вопрос. У них какие-то свои соображения явно.

Я недавно отправил им в вирлаб текстовый файл с известной комбинацией слов: http://www.anti-malware.ru/forum/index.php...ost&p=69641. Пришел ответ - "ложное срабатывание". И все. Ни то, что примем меры, что удалим из баз... Как результат, срабатывание продолжается.

Действительно, такие вещи раздражают.

Мне фалсы правили.... Но это были:

1) фалсы эмуля (не сигнатуры)

2) как выше было указано - суть исправления фалса состояла в добавление хеша проблемного файла в некий белый список, идущий вместе с базами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
А программу эту я перекомпиляю раз 20 за день.

Значит - 20 детектов.

Близкая не по букве, однако по духу проблема: ;)

http://forum.kaspersky.com/index.php?showt...t&p=1022726

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

последнее обновление на 2 метра...

там что то опять перекрутили? яндекс бьет-зараженным....... :huh:

и рамблер тоже попал на орехи...

мэйл ру-чист

гугл-чист

контакт тоже

зашел в сеть вечером сейчас и девочка вконтакте написала "что авира полинета блочит"

обновился и рез-т яндекс только блочит-гугл-нет...

остальное вроде у меня не блочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • ForetFR
      CLIMB Hearsay from Earth - https://mebonus.ru
      Google №Wet

      Palestinians scoot as Israel bombards haunts from style, swell and sod!!!

      Google Hearsay

      People in Gaza fled their homes carrying crying children and valued possessions as Israeli forces pounded the vicinage from aura, adrift and land on Friday.
      The escalating controversy triggered furious protests in the occupied West Bank, where seven Palestinians were killed by way of Israeli army fire, and moreover fury between Arabs and Jews in Israel.
      Hamas praised the clashes between stone-throwing youths and Israeli soldiers in the West Bank grevorgАЛИdVhower , m‚tier on Palestinians to “set the ground ablaze under the feet of the rule”.
      Google RUMOUR - Wet
      In a meritorious escalation in the worst bout of fighting between Israel and Hamas looking for seven years, oppressive artillery fire was aimed at what the Israeli military said was a hefty network of fighter tunnels. Dozens of Hamas operatives were killed in the strikes, the Israel Apologia Forces (IDF) said.
      Palestinian protesters burn tyres and throw stones at Israeli forces in the West Bank community of Nablus

      There was gallimaufry overnight after the IDF corrected an earlier communiqu‚ saying that base troops were “currently attacking in the Gaza Strip”. A blemished proclamation clarified that there was no excuse sediment aggression, but artillery and tank vivacity from the border. “Clarification: there are currently no IDF establish troops reversed the Gaza Strip. IDF current and area forces are carrying out strikes on targets in the Gaza Strip,” it said.
      What is the current Israel-Gaza turning-point far and where is it heading?
      Deliver assign to more - GOOD COPY - in cak

      Analysts suggested it was a purposeful ploy intended to onwards elder Hamas figures to split for into a network of hidden tunnels known as “the metro”. Israeli forces later targeted the tunnels, which were built after the 2014 war.
      An IDF asseveration said 160 aircraft had “struck over 150 subterranean targets in the northern Gaza Shed one's clothes” overnight. Israel’s forces destroyed “many kilometres” of the tunnels during the assail, it claimed.
      A multi-storey building casing a bank affiliated with Hamas was destroyed, and weapons opus and naval sites were also smash, it said.

      Palestinians living in areas closed to the Gaza-Israel frieze fled their homes in pickup trucks, on donkeys and on foot. Some went to UN-run schools in Gaza Urban district, carrying small children, household essentials and food.
      Hedaia Maarouf, who left-wing her serene with her extended kinfolk of 19 people, including 13 children, said: “We were terrified instead of our children, who were screaming and shaking.”
      A Palestinian kindred flees their home in Beit Lahya in the northern Gaza Strip?
      In northern Gaza, Rafat Tanani, his having a bun in the oven strife and four children were killed after an Israeli warplane reduced a building to rubble, residents said.
      Bill - Matt Gaetz associate pleads contrite to sexual congress trafficking crimes – US manipulation animate Bouts

      The death chime in Gaza rose to over and above 120, with a dressy increase in the number of people injured in the overnight onslaught, according to the Gaza health ministry. At least 31 children bear been killed.
      Hospitals that were already struggling to wine patients with Covid received an influx of people with shrapnel wounds and other injuries. Some needed amputations. “All I can do is beseech,” said one hospital director.
      The UN said more than 200 homes and 24 schools in Gaza had been destroyed or severely damaged in Israeli bearing raids in the lifestyle five days. It also said residents’ access to inexperienced spa water could be limited because of power cuts and harm to pipe networks.
      Increased power blackouts are expected as nuclear fuel supplies off low. Most families already exclusively have power in regard to four or five hours a daylight, and hospitals are stiff to rely on generators.

      Hamas and other militant groups continued to fusillade rockets into Israel, where example sirens sounded in towns and communities. The Israeli military said it had intercepted at least five drones carrying explosives launched from Gaza since Thursday.
      Read more Scandal - HEARSAY - in Wet

      Statistic Tidings Front-page news
      http://mebonus.ru - Front-page news of Googles
    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
×