Перейти к содержанию

Recommended Posts

Maratka

Они походу издвеваются.... :(

Началась тема с некого семпла. Нашел старую версию этой же программы - и получил этот же детект.

Т.е. Авировские ребятки не то чтобы пофиксили дететкт, а (скорее) занесли в некий белый список указанную тушку.

При этом тушка с чуть-чуть другим функционалом продолжает детектиться.....

http://www.virustotal.com/ru/analisis/20a6...ead8-1246143596

KUR.rar

KUR.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Там же написано:

Я же написал - детект снят! - т.е. уже не детектится! :) Проверено.

Проверил еще раз...

Изменил в программе 1 ЛЮБОЙ!!! ничего не значащий байт - детект появляется снова... :)

Из чего следует: снятие детекта состояло не в собcтвенно его правке, совершенствовании эмуля и др. подобных вещах, а в банальном добавлении хеша файла в некий внутрненний, встроенный в базы "белый список".

Любой желающий может повторить мой опыт используя программку из первого сообщения.

С чем и откланиваюсь ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Проверил еще раз...

Изменил в программе 1 ЛЮБОЙ!!! ничего не значащий байт - детект появляется снова... :)

Из чего следует: снятие детекта состояло не в собcтвенно его правке, совершенствовании эмуля и др. подобных вещах, а в банальном добавлении хеша файла в некий внутрненний, встроенный в базы "белый список".

В данном случае вопрос в принципах детектирования/снятия детекта. И отлично видно, что ВирЛаб Авиры откровенно запаривается - md5 добавить в белый список все же проще, чем эмуль поправить

Вполне логичный подход. Я не специалист, но предполагаю, что данный файл всё же попадает под определение подозрительного. И эмулятор не правился потому, что в этом не было необходимости. Если с помощью этой и других функций группового обнаружения успешно ловятся реальные зловреды, то почему бы и нет. Дело в соотношении реального детекта и ложных срабатываний. Например, какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса? :) Фолс явно не критичный и смысла править движок нет. Как говорится "бага не первого приоритета".

Может пользователи Авиры не попали под эпидемию Конфикера (Кидо) потому, что его различные версии детектились с помощью функции группового обнаружения TR/Crypt.XPACK.Gen даже до внесения в базы? По моему мнению, это стоит десятка подобных фолсов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Вполне логичный подход. Я не специалист, но предполагаю, что данный файл всё же попадает под определение подозрительного. И эмулятор не правился потому, что в этом не было необходимости. Если с помощью этой и других функций группового обнаружения успешно ловятся реальные зловреды, то почему бы и нет. Дело в соотношении реального детекта и ложных срабатываний. Например, какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса? :) Фолс явно не критичный и смысла править движок нет. Как говорится "бага не первого приоритета".

Может пользователи Авиры не попали под эпидемию Конфикера (Кидо) потому, что его различные версии детектились с помощью функции группового обнаружения TR/Crypt.XPACK.Gen даже до внесения в базы? По моему мнению, это стоит десятка подобных фолсов.

Как неспециалист неспециалисту скажу - что детектиться фактически весь ряд, от первой альфы до условного релиза этой тулзы.

Не многовато ли фолсов на всего лишь попытку запустить обновление антивируса?

p.s.

Предлагаю для основателей форума подобные утилитки складывать в копилку, на которой впоследствии тестировать фолсы антивирусов при следующем прогоне тестов деткта. И далее в соответсвии с методикой - за каждый фолс скидывать какой-то процент "правильных" детектов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Ага, за детект КУЗи скидывать детект Кидо. :)

Повторюсь:

какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Ага, за детект КУЗи скидывать детект Кидо. :)

Повторюсь:

какие проблемы могут возникнуть у пользователей Авиры, если детектится файл, предназначеный для пользователей другого антивируса?

Объясняю:

Авира стоит на моем прокси-сервере на трафике.

Я пытаюсь скачать эту тулзу с этого форума.

Действия Авиры на сервере?

И мои действия?

В довесок:

Если задетектить файлы самой Авиры ну скажем эмулем Симентика, и умышленно сбивать детект белыми списками хешей, в результате чего после любого изменения модуля детект появится опять, то обвинить (условно) Симентика в нечестной конкуренции нельзя - ведь ни один пользователь Симентика не пострадал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Объясняю:

Авира стоит на моем прокси-сервере на трафике.

Я пытаюсь скачать эту тулзу с этого форума.

Действия Авиры на сервере?

И мои действия?

Я высказываюсь только с точки зрения пользователя. Подобный вариант, признаюсь, не рассматривал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Это и есть достаточно обычный "пользовательский" вариант в нормальной обеспеченной стране.

У меня лично 4 ноута, младший (EEE-PC 701) отдан как раз под прокси. Все покушаюсь купить 5-ю машину (на этот раз - настольную), чтобы играться от души, но каждый раз себя пересиливаю - ибо играться некогда, и машина будет пылиться под столом.

Подобным образом организованная сеть достаточно логична и вполне востребована во многих случаях, в первую очердь в нормальных странах (Европа, Северная Америка, Япония, Тайвань, Австралия, и также Москва, возможно Питер).

У многих моих знакомых из стран перечисленных выше дома количество компьютеров = кол-во членов семьи +сервер, +ноут для папы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

В таком случае, если настроено автоматическое принятие решений при обнаружении вируса, удаляемый файл должен копироваться в карантин, откуда его можно восстановить и добавить в исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

В этом случае я просто не скачаю файл.

Для пользователя это будет выглядеть как остутсвующий файл на сервере.

А бегать на прокси за каждой битой ссылкой (ведь неивзестно - битая сслыка там, или заблокироварнный зловред) - явно дурная привычка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Хорошо, хоть не Ikarus на сервере. :)

Ну если это очень уж критично, то, зная особенности продуктов, можно поставить на прокси более "лояльный" антивирус, а Авиру - на "клиентские" машины. А в случае возникновения подобных проблем обращаться непосредственно к разработчикам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Хорошо, хоть не Ikarus на сервере. :)

Ну если это очень уж критично, то, зная особенности продуктов, можно поставить на прокси более "лояльный" антивирус, а Авиру - на "клиентские" машины.

А смысл ставить "лояльное решето" на проксю?

Там по определению должен стоят антивирь с очень хорошим детектом. Но однозначно не ценой "очень большого кол-ва фалсов".

А в случае возникновения подобных проблем обращаться непосредственно к разработчикам.

Так и сделал. Обратился. :)

Добавили md5 в белый список cпустя 2 суток.

А программу эту я перекомпиляю раз 20 за день.

Значит - 20 детектов.

Пока они эти детекты разгребут - пройдет еще 2 суток - и появится еще 40 перекомпиленных версий программы. Дальше рассказывать, или прогрессию сами построите? ;)

**********

А вот еще вариант ответа:

Пожаловался на ложняк в файлах офиса97

Фалов штук 5 разных... Т.е. не один, случайно залетный.

Ложняк вполне примечательный- Чернобыль (надеюсь многие его помнят...)

Ну слабо я верю, что спустя СТОЛЬКО времени его детектит всего 5-10 вендоров из 40 на ВирусТотале. :)

Ответ:

Dear Sir or Madam,

Thank you for your email to Avira's virus lab.

Tracking number: INC00330602.

A listing of files alongside their results can be found below:

File ID Filename Size (Byte) Result

25383219 SENDFILE.EXE 14.77 KB MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result

SENDFILE.EXE MALWARE

The file 'SENDFILE.EXE' has been determined to be 'MALWARE'. Our analysts named the threat W95/CIH. The term "W95/" denotes a file virus or malware that runs on Windows 95/98/Me systems.Detection is added to our virus definition file (VDF) starting with version 6.36.00.09.

Alternatively you can see the analysis result here:

http://analysis.avira.com/samples/details....cidentid=330602

An overview of all your submissions can be found here:

http://analysis.avira.com/samples/details....ZHA4KTrdUx5Y1q7

Please note: If you have specific questions please address them to support@avira.com

Kind regards

Avira Virus Lab

---------------------------------------------

Avira GmbH

Lindauer Str. 21, D-88069 Tettnang, Germany

Phone: +49 (0) 7542-500 0

Fax: +49 (0) 7542-525 10

Internet: http://www.avira.com

CEO: Tjark Auerbach

Headquarter: Tettnang

Commercial register: AG Ulm HRB 630992

---------------------------------------------

http://www.virustotal.com/ru/analisis/3be0...7daa-1246280991

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Я имел в виду: обратиться к разработчикам с описанием сути проблемы (понятно, что добавление в исключения по MD5 в данном случае - не выход), может тогда они изменят алгоритм работы эмулятора, или что-нибудь посоветуют.

А с Офисом один раз тоже сталкивался - там был точно такой детект в папке со шрифтами. Я подумал, что возможно, файл был ранее "пролечен" каким-нибудь антивирусом, но остались следы и не придал этому значения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
А с Офисом один раз тоже сталкивался - там был точно такой детект в папке со шрифтами. Я подумал, что возможно, файл был ранее "пролечен" каким-нибудь антивирусом, но остались следы и не придал этому значения.

Именно так и есть.

Но что делать пользователю этого офиса в случае, если он одновременно пользователь Авиры?

Я послал им файл, я сказал что это фалса - их ответ я выделил жирным.

У них там нет специалиста, который не может отличить рабочего ЧИХа от его осколка? :)

Я имел в виду: обратиться к разработчикам с описанием сути проблемы (понятно, что добавление в исключения по MD5 в данном случае - не выход), может тогда они изменят алгоритм работы эмулятора, или что-нибудь посоветуют.

После Чернобыля у меня что-то большие сомнения на этот счет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Именно так и есть.

Да я его тогда банально удалил. На работоспособности Офиса это никак не сказалось. :) Там дистрибутив был пиратский, поэтому я особо не сомневался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Да я его тогда банально удалил. На работоспособности Офиса это никак не сказалось. :) Там дистрибутив был пиратский, поэтому я особо не сомневался.

У меня якобы заражены:

25383215 OSA.EXE 50.77 KB MALWARE

25383214 EXCEL.EXE 5.34 MB MALWARE

25383222 WINWORD.EXE 5.07 MB MALWARE

25383218 SCHDPL32.EXE 90.86 KB MALWARE

25383216 OUTLOOK.EXE 25.27 KB MALWARE

Это из явных фалсов

Файлы могу выложить, поглядите сами, опасности там нет, так что статья за распространение мне вряд ли светит :)

В данном случае я думаю, что удаление

EXCEL.EXE

WINWORD.EXE

OUTLOOK.EXE

на работоспособности офиса все таки скажется.... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Да, тут ситуация поинтересней. И это из официального дистрибутива? Если есть уверенность в безопасности этих файлов, то можно внести их в исключения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Дистрибутив пиратка.

Но сути оно не меняет - ведь легальный офис тоже может быть заражен, криво излечен, после чего установлена Авира, дабы "больше не заражаться" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Вот похожая тема: http://forum.kaspersky.com/index.php?showtopic=33080

Я вспомнил, в моём случае тоже был вердикт W95/CIH (inactive), откуда я и сделал вывод о недолечености файла.

А все эти "зараженные" файлы находятся в Program Files, или в папке с дистрибутивом, копия которого создаётся на диске? Во втором случае их удаление не повлияет на работоспособность программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

У меня в дистрибутиве, дистр на CD, CD взял у приятеля на днях, когда я приехал в отпуск, а он как раз старые запасы дисков выбрасывал (Офис 97 явно не новинка ;) )

Поймите правильно - мне в принципе чихать на фалсу Авиры - у меня в качестве основного антивиря другой установлен. :)

И на Офис97 так же чихать - ибо у меня на работе офис посвежее, а дома я вполне ОпенОфисом перебиваюсь....

Вопрос в другом - зачем утверждать что файл заражен, если в нем находятся битые осколки вируса, которые НЕ МОГУТ навредить в прицнипе. Я согласен, что сигнатуру немцы положили с свое время неудачно. Но за то им и зарплату платят - чтобы в случае если кто-либо обнаружит и укажет пальцем - то поправить.

Им пальцем указали - результат я процитировал выше. Что нужно сделать, чтобы они таки соизволили снизойти до простого русского пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Что нужно сделать, чтобы они таки соизволили снизойти до простого русского пользователя?

Хороший вопрос. У них какие-то свои соображения явно.

Я недавно отправил им в вирлаб текстовый файл с известной комбинацией слов: http://www.anti-malware.ru/forum/index.php...ost&p=69641. Пришел ответ - "ложное срабатывание". И все. Ни то, что примем меры, что удалим из баз... Как результат, срабатывание продолжается.

Действительно, такие вещи раздражают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

У меня всегда запасной вариант - это Каспер.Если в ВирЛабе Авиры не прога проверяет файлы на вирусы,а люди,которые там работают,то мне например,интересно,а какой антивирус у них стоит у самих,дома?

Наверно столько и платят,что фолсы фиксить лень.Хотя,если начальство сказало делать так,так они и делают по уставу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Хороший вопрос. У них какие-то свои соображения явно.

Я недавно отправил им в вирлаб текстовый файл с известной комбинацией слов: http://www.anti-malware.ru/forum/index.php...ost&p=69641. Пришел ответ - "ложное срабатывание". И все. Ни то, что примем меры, что удалим из баз... Как результат, срабатывание продолжается.

Действительно, такие вещи раздражают.

Мне фалсы правили.... Но это были:

1) фалсы эмуля (не сигнатуры)

2) как выше было указано - суть исправления фалса состояла в добавление хеша проблемного файла в некий белый список, идущий вместе с базами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й
А программу эту я перекомпиляю раз 20 за день.

Значит - 20 детектов.

Близкая не по букве, однако по духу проблема: ;)

http://forum.kaspersky.com/index.php?showt...t&p=1022726

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

последнее обновление на 2 метра...

там что то опять перекрутили? яндекс бьет-зараженным....... :huh:

и рамблер тоже попал на орехи...

мэйл ру-чист

гугл-чист

контакт тоже

зашел в сеть вечером сейчас и девочка вконтакте написала "что авира полинета блочит"

обновился и рез-т яндекс только блочит-гугл-нет...

остальное вроде у меня не блочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×