Перейти к содержанию
spw

Реальный тест на эвристику "антивирусов"

Recommended Posts

spw

(копия записи в моем lj, не редактировал)

Вижу, что все время какие-то тесты проводят на "эвристику", пишут про различные NOD'ы, Avira'ы и прочие "поделки", что они такие замечательные, все так отлично ловят. Ну отлично.

Меня это уже не в первый раз выводит из себя, когда все эти г-антивирусы с их г-детекторами (здесь приставка "г" не означает generic - хотя это основной вердикт у всего этого сборища торговцев "БАДами") начинают детектировать абсолютно нормальные программы.

Собираешь какую-нибудь утилиту или новый продукт, заливаешь на virustotal - найдется сразу же 1-3 г-антивируса, которые детектируют только что собранную программу. Проходит дня 2-3 (это время нужно, чтобы остальные г-антивирусы от virustotal получили "тело" на препарирование и добавили детект, если не детектируется, посмотрев на окружающих - сами-то не знают)... и что же мы видим? Ага, уже не 2-3, а целых 10-15.

Итак, смотрим. Продукт в данном случае - HL-DUMP, использует стандартное API от одного средства защиты компании Aladdin. Утилита распространена очень широко, распространена с 2003 года (то есть шесть лет). Файл запакован AsPack (он очень опасен!), UPX (а он так вообще ужасен!). Все, это ключевой момент. Размер - ~34kb. Нет VERSION_INFO. Идеальный trojan dropper для г-эвристических г-антивирусов.

Утилита поставляется в исходниках (там же собранный упакованный вариант).

Результаты VirusTotal:

http://www.virustotal.com/ru/analisis/7f43...17fb-1249216377

(ниже приведена копия таблицы; срез на текущий момент, 02.08.2009 - вдруг оно изменится)

22 из 41 (~54%!) представленных продуктов просто автоматически занесли себя в список "поделок". Теперь внимательно просмотрите этот список и найдите там свой антивирус, которым защищен Ваш компьютер. А потом прочтите на два абзаца ниже.

Это НЕ "случайное" ложное срабатывание, это ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ДЕТЕКТИРОВАНИЮ.

Работа г-эвристиков по принципу "валим все" - самый лучший способ получить 100% детект. Только он будет даже не 100%-ым, а 1000% (ибо замесили "слегка" лишнего).

Самое обидное в этой ситуации, что если всему этому сборищу скормить нормальное тело свеже-сделанного дропера - ни один не пискнет... Заверещат они все постфактум, когда это будет уже совершенно не актуально для реальных пользователей (а не тех, кто проводит тестирование на срезке уже "мертвых" тел). Потому что будет уже совершенно новое, другое АВТОМАТИЧЕСКИ СГЕНЕРИРОВАННОЕ тело. Ну и кому нужны такие продукты? Реальных угроз не детектируют, а нормальным программам "заодно" по шее дают.

Кстати, большинство из компаний, выпускающих этот откровенный сброд еще и на письма не реагирует. Либо если реагирует, не убирают детектирование, по причине "у нас так сделано детектирование, оно не будет реагировать только при налиции ЭЦП" (подписи). А может мне еще сертификат качества у них купить надо?

Когда же, наконец, на рынке закончится засилье этих торговцев "БАДами", и пользователи ОТРЕГУЛИРУЮТ рынок по качеству, выкинув (банально, не поддерживая) весь этот сброд и мусор.

Те, кто оказался в этом списке -- вам стыдно должно быть за качество ваших "изделий". Для вас у меня есть лишь одно пожелание: чтобы вы захлебнулись в потоке различной (хорошей) автоматически генерируемой малвари, на которой все ваши г-детекторы запутаются и просто не смогут отличать уже более распространенные нормальные продукты от новых тел.

Уважаемые торговцы БАДами, расскажите вот теперь рецепт, как одному пользователю, запустить данную утилиту. Нет, даже не запустить. СКАЧАТЬ! (Потому что она "блокируется" на момент скачивания). У него в компании установлен NOD, нет административных прав и, соответственно, нельзя даже занести в список игнорирования (при этом не запрещено скачивание и запуск нужных в работе приложений из интернета). Ответ могу подсказать: попросить админа снести NOD.

Раньше было "не умеешь делать - иди учить", теперь предлагаю это слегка заменить: "ничего не знаешь и не умеешь - иди делать антивирус" (желательно - облачный, это модно!). (В этом плане особенно порадовол Гомодо с его "unclassified malware").

Для тех кто хочет поучаствовать в программе "смерть БАД-антивирусам" -- делайте дроперы размером ~500kb (+/- 100kb, случайные), не пакуйте их (есть другие способы сделать так, чтобы код не детектировали, не обфусцируйте по-тупому, обязательно делайте VERSION_INFO, причем лучше - рандомный и от реальных программ -- желательно от антивирусов даже, смешнее будет; покупайте на левые LTD сертификаты у того же гомодо и подписывайте вашу малварь - это в целом копейки - пусть NOD получит то, что он так жаждет). Пусть "побалансируют" слегка свои г-эвристики.

Всяческая перепечатка и копирование приветствуются. С БАД-антивирусами можно бороться только публично и только силами пользователей.

Файл hl-dump.exe получен 2009.08.02 12:32:57 (UTC)

Антивирус | Версия | Обновление | Результат

a-squared | 4.5.0.24 | 2009.08.02 | Trojan-Dropper!IK

AhnLab-V3 | 5.0.0.2 | 2009.08.01 | Win-Trojan/Xema.variant

AntiVir | 7.9.0.238 | 2009.07.31 | -

Antiy-AVL | 2.0.3.7 | 2009.07.31 | -

Authentium | 5.1.2.4 | 2009.08.01 | W32/Threat-HLLAU-based!Maximus

Avast | 4.8.1335.0 | 2009.08.01 | Win32:Trojan-gen {Other}

AVG | 8.5.0.406 | 2009.08.02 | Suspicion: unknown virus

BitDefender | 7.2 | 2009.08.02 | Trojan.Generic.427724

CAT-QuickHeal | 10.00 | 2009.07.30 | -

ClamAV | 0.94.1 | 2009.08.02 | -

Comodo | 1838 | 2009.08.02 | UnclassifiedMalware

DrWeb | 5.0.0.12182 | 2009.08.02 | -

eSafe | 7.0.17.0 | 2009.07.30 | Suspicious File

eTrust-Vet | 31.6.6650 | 2009.08.01 | -

F-Prot | 4.4.4.56 | 2009.08.02 | W32/Threat-HLLAU-based!Maximus

F-Secure | 8.0.14470.0 | 2009.08.01 | -

Fortinet | 3.120.0.0 | 2009.08.02 | -

GData | 19 | 2009.08.02 | Trojan.Generic.427724

Ikarus | T3.1.1.64.0 | 2009.08.02 | Trojan-Dropper

Jiangmin | 11.0.800 | 2009.08.02 | -

K7AntiVirus | 7.10.808 | 2009.08.01 | Trojan-Dropper.Win32.Small

Kaspersky | 7.0.0.125 | 2009.08.02 | -

McAfee | 5695 | 2009.08.01 | Generic.dx

McAfee+Artemis | 5695 | 2009.08.01 | Generic.dx

McAfee-GW-Edition | 6.8.5 | 2009.08.02 | -

Microsoft | 1.4903 | 2009.08.02 | -

NOD32 | 4298 | 2009.08.02 | probably a variant of Win32/Agent

Norman | 6.01.09 | 2009.07.31 | W32/Smalldrp.TGC

nProtect | 2009.1.8.0 | 2009.08.02 | -

Panda | 10.0.0.14 | 2009.08.02 | Generic Trojan

PCTools | 4.4.2.0 | 2009.08.02 | -

Prevx | 3.0 | 2009.08.02 | Medium Risk Malware

Rising | 21.40.62.00 | 2009.08.02 | -

Sophos | 4.44.0 | 2009.08.02 | Sus/UnkPacker

Sunbelt | 3.2.1858.2 | 2009.08.02 | Bulk Trojan

Symantec | 1.4.4.12 | 2009.08.02 | Trojan Horse

TheHacker | 6.3.4.3.375 | 2009.08.01 | -

TrendMicro | 8.950.0.1094 | 2009.07.31 | PAK_Generic.001

VBA32 | 3.12.10.9 | 2009.08.02 | -

ViRobot | 2009.7.31.1863 | 2009.07.31 | -

VirusBuster | 4.6.5.0 | 2009.07.31 | -

Дополнительная информация

File size: 33792 bytes

MD5...: 412aaada3524d8226f3fdd943fb087f3

SHA1..: 64d1f2e118640b1368064198655c6cb11eb5d1ec

SHA256: 7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb

ssdeep: 768:FfrMBXAiDAFYtdiYdjS8jfv1s7zyBZrtIVx8HaDS0+s5Hrc4EtRp:FfrOtaY

aQ26fd8mBZrtGxEXgO4

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

TrID..: File type identification

UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x16c90

timedatestamp.....: 0x44757096 (Thu May 25 08:53:42 2006)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xf000 0x8000 0x7e00 7.75 12677231f3c495ba4968f460910b29fc

UPX2 0x17000 0x1000 0x200 1.38 ea5c908edeacae39dc1616f200aa4a7e

( 2 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> hlvdd.dll: -

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): UPX, ASPack

Prevx info: http://info.prevx.com/aboutprogramtext.asp...05F11006D1A0F5E

packers (F-Prot): UPX, Aspack

packers (Authentium): UPX, Aspack

P.S. К чести Avira, в данном случае не детектирует. Но, вполне допускаю, что просто "тела" не было у них раньше. Потому что Avira уж славится все подряд детектировать как XCRYPT (собственно, запаковано).

Отредактировал Sp0Raw
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Оригинал:

Private Sub Form_Load()

MsgBox "Hello"

End

End Sub

Дважды пакован (ASP и PECompact)

Hello.rar

http://www.virustotal.com/ru/analisis/f305...120e-1249222652

Нет, может это конечно и сознательная политика Авиры, но детектить "привет, мир" - это все же IMHO перебор :)

Hello.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Детект имеет вид: HEUR/Crypted

Вы выдите в название детекта слово троян, дропер и т.д. ..?

нет конечно, я же неопытный...

Я всего лишь вижу, что у меня программа не запускается, вместо прогаммы какаое-то красное окошко выскивает, и мне прорамму удалить предлагают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Sp0Raw

Avira вы зря сюда приплели - детект упакованных файлов это не бага, а сознатальная политика компании, к тому же посмотрите сюда:

Именно об этом я выше и писал. Это и есть, "когда ничего не можешь сделать - детектируй все".

По поводу фолсов - это уже зажёванная до дыр тема - вы хоть раз ставили Avira?

Выше писал, это не false positive в прямом смысле этого слова. Это именно логика работы "эвристических" анализаторов. Это "фундаментальный подход".

Тем более по приведённым вами результатам с VT детекта Avira нет - хотя вы говорите именно о ней...

Видно, что сообщение полностью Вы не прочитали (судя по этим двум заявлениям). P.S. там есть.

В данном списке на мой взгляд случайно оказался Symantec, и случайно НЕ оказалась Avira.

У меня почемуто не на каких программах фолсов нет (кряки сюда не приплетать - это тоже сознательная политика компании)...

Может Вы просто не знаете о них, потому что думаете, что "что-то тут не так"? :-)) Обычное восприятие пользователей. Если антивирус кричит - значит вирус. (Пример: NOD орет на Themida/WL -- Win32.Packed -- очень страшный вирус!; Avira почти на все орет XCRYPT -- не менее страшный зверь)

Кстати каким антивирусом вы пользуетесь - обсудим его..?

Я не использую антивирус, моя система защищена OSSS и др. custom-средствами. Не вижу смысла в обсуждении какого-либо из антивирусов в таком ключе (нет никакого смысла переходить на личности или рассказывать истории вида "а вот у меня" -- я говорю о ситуации в целом, для обычных пользователей, с обычными настройками - "как у всех").

Ситуация очень простая: есть те, кто не могут и не знают (= детектируют все подряд) и те, кто могут и знают (= детектируют более-менее, но главное - не кидаются на все и вся).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Че это Вы так наехали на эвристики Авиры? Покажите мне тогда, как работает эвристик Каспера? Мне лучше раз перестраховаться и отослать файл в вирлаб Авиры, чем писать на форуме Каспера о помощи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Детект имеет вид: HEUR/Crypted

Вы выдите в название детекта слово троян, дропер и т.д. ..?

Но тем не менее с настройками по умолчанию авира заблокирует данный файл. Вы правы, детект по пакерам можно отключить, но тогда и тесты на уровень детекта нужно проводить с такими настройками.

Че это Вы так наехали на эвристики Авиры? Покажите мне тогда, как работает эвристик Каспера? Мне лучше раз перестраховаться и отослать файл в вирлаб Авиры, чем писать на форуме Каспера о помощи

Наш эвристик не детектит файлы только по причине их упаковки. Да, есть вердикт MultiPacked.Generic, но он для тех случаев, когда количество упаковок одного файла превышает разумные пределы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Че это Вы так наехали на эвристики Авиры? Покажите мне тогда, как работает эвристик Каспера? Мне лучше раз перестраховаться и отослать файл в вирлаб Авиры, чем писать на форуме Каспера о помощи

Ingener же дал ссылку - эта та, которая вверху

внизу не открывается, там запрещены прямые линки

А вообще тема не про детект Авиры, а про детект всех вендоров, которые детектят все что движется.

P.s.

Интересно, положить маску MZ на первые 2 байта - тогда вероятно уровень детекта на Win32 зверей будет 100%.

Почему так не делают? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Ну, дал. Глянул - Авира вторая, без хипсов. Молодец, эвристик на лучшем уровне. Тока мы не о хипсах, а эвристиках. У Касперского нет такого эвристика как у Авиры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Ну, дал. Глянул - Авира вторая, без хипсов. Молодец, эвристик на лучшем уровне. Тока мы не о хипсах, а эвристиках. У Касперского нет такого эвристика как у Авиры

Вы правы.

Касперский моего "привет мира" не блокирует, на карантин положить не просит, и удалить - тем более :)

У нас действительно нет такого эвристика, как у 13 вендоров на ВирусТотале :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Ну, дал. Глянул - Авира вторая, без хипсов. Молодец, эвристик на лучшем уровне. Тока мы не о хипсах, а эвристиках. У Касперского нет такого эвристика как у Авиры

Такого фолсящего эвристика конечно не будет. Для нас не проблема сделать те же детекты Heur:Crypted, и.т.п. - но это уже приемы из области грязных читов, для нас не допустимые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Не перевирайте факты - не путайте совместную работу эвристика и hips Касперского (недостаток детекта Касперский компенсирует HIPS) - с работой только эвристика у Avira...

Я и не путаю - ХИПС неслабо зависит от эвристика, который к слову отключен в профиле ФА на КИС8, где тесты и проводились.

Отключите эвристику в файловом мониторе и проверке трафика Авиры - и сравните результаты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Нет желания спорить с Вами. Вас не переспоришь. А не оно и не надо. КИС лучший - все успокойтесь Вы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Хватит выстраивать мнение о работе эвристика по реакции на самописанные пакованные файлы - на "солидные" программы у вас хоть раз фолс был..? У меня за всё время лично не разу - хотя я любитель тестировать софт...

"Содидность софта" - это оборот конторы - проиводителя, количество офисов по миру, или размер живота ее директора?

Как мне измерить "солидность" софта, чтобы узнать - проверять на нем или нет?

У меня есть только один критерий безвредности софта:

От безвредного софта нет вреда. Все остальное - разговоры бабушек на лавочке.

Если исходить из этого, то моя, совершенно ничем не пакованная тулза, писанная на VB6 (так же как и приложенный в этой теме "привет мир") нужная некоторым пользователям, которым удобно запускать обновление у Касперского именно в таком-то режиме детектилась Авирой.

Причина?

А шут ее знает. Вероятно детктится, потому как по каталогам антивируса шустрит. Вот и вся причина.

Нет желания спорить с Вами. Вас не переспоришь. А не оно и не надо. КИС лучший - все успокойтесь Вы ;)

А я и не спорю.

Я лишь расказываю, что эта тема не посвещена Авире.

Ее посвятили сразу несколькми десяткам вендоров, т.е. фактически половине ВирусТотала, которые детектят все, что шевелиться. Что не шевелится впрочем тоже детектят, но уже другим вердиктом.

Однако, благодаря стараниям Ingener тема вырождается, и становится очередным холиваром, что очевидно никому не нужно, и противоречит задумке топикстартера- разобраться, а "надо ли детектить так, как детектится".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

А разве Umnik ее не отправлял в Авиру? Разве он уже не создавал тему о какой-то там утилите, которая ищет Касперского на компе, и потом запускает обновления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Да ради Бога :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

А давайте просто или помолчим, или пообщаемся о приятном? А то вижу ниче у нас не выйдет путнего с этой темы. Хочу лишь сказать, что лидеры по ложнякам (для меня) - это:

eSafe

Panda

Prevx

Sophos

CAT-QuickHeal

Ikarus

a-squared (который юзает базы Икаруса)

Эти антивирусы я бы не поставил даже, если бы у меня больше не было ни одного антивируса. Они быстрей угробят Винду, чем сами вирусы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Давайте создадим тему о "тормозных" антивирусах и как бы невзначай упоминём там название Касперского и будем обсуждать эту темы...

Это всего лишь ваше мнение... Или вы можете дать ссылку на проводимые по данному вопросу исследования..?

Совершенно любая программа, пакованная как и мой "привет, мир", детектиться многоми вендорами, при услови что файл не битый

Битые файлы не рассматривал, но специально для Вас могу перепаковать "привет, мира" в другом порядке/другими пакерами.

Получим детект многими вендорами на битый файл - что и требовалось доказать.

Пойтимите правильно - детект по многократной упаковке у нас тоже есть. Но у нас это нечто, из ряда вон, тогда как у многих - куча начинается с двух, а я тут готов поспорить - два ореха - это не куча :)

А разве Umnik ее не отправлял в Авиру? Разве он уже не создавал тему о какой-то там утилите, которая ищет Касперского на компе, и потом запускает обновления?

Умник не отправлял.

Отправлял кто-то из посетителей этого форума, и я.

Я из самого антивируса (ответа жду до сих пор), тот пользователь из соответсвующей формы на сайте Авиры (раздетектили, или вернее сказать - завайтлистили хеш за сутки-двое).

Только от этого ничего не изменеяется - у меня нет сотни сотрудников, я сам не директор, и без брюха, но на мою утилиту (ничем не пакованную) Авира фалсит.

Подчеркну - фалсит, а не "фалсила", потому как изменение 1 байта в файле влечет изменение хеша, и пропадание проги из вайт-листа.

А давайте просто или помолчим, или пообщаемся о приятном? А то вижу ниче у нас не выйдет путнего с этой темы. Хочу лишь сказать, что лидеры по ложнякам (для меня) - это:

eSafe

Panda

Prevx

Sophos

CAT-QuickHeal

Ikarus

a-squared (который юзает базы Икаруса)

Эти антивирусы я бы не поставил даже, если бы у меня больше не было ни одного антивируса. Они быстрей угробят Винду, чем сами вирусы

Ну вот, уже больше конструктива, и уже меньше выяснения личных отношений. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Я вот скока смотрю на ВТ и вижу эти продукты в лидерах по ложным срабатываниям. Они намного опередили Авиру. При чем они орут на все. И по моему нет смысла отсылать в вирлаб Икаруса файлы и просить удалить детект - можно сутками высылать

Вот залил я Квип 8094 на ВТ.

http://www.virustotal.com/ru/analisis/4eb0...491a-1249228364

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
Хватит выстраивать мнение о работе эвристика по реакции на самописанные пакованные файлы - на "солидные" программы у вас хоть раз фолс был..? У меня за всё время лично не разу - хотя я любитель тестировать софт...

Мне процитировать письма в Avira (не одно) с просьбой исключить детектирование продуктов одной компании? (Не буду упоминать ее здесь, чтобы не сочли за рекламу). Детектировали сразу же после выхода. Т.е. программа вышла (вообще новая!) -- ее сразу же детектируют. И все из-за чего? Из-за обычных средств защиты.

А хотя - пожалуйста. Вот сообщение, вот топик в целом. Вот еще одно. Вердикт Avira: "TR/Crypt.XPACK.Gen". Ну и там же еще кучка таких же г-антивирусов, в этом сообщении.

Полностью поддерживаю Maratka в данном вопросе:

"Содидность софта" - это оборот конторы - проиводителя, количество офисов по миру, или размер живота ее директора?

Как мне измерить "солидность" софта, чтобы узнать - проверять на нем или нет?

На каком основании NOD, например, шантажирует - либо вы делаете цифровую подпись, либо мы вас детектируем? (Т.е. да, он такие письма сам никому не рассылает, но вот убрать детект невозможно). Кто им дал такое право? Принципиально не убирают детект. Даже по хэшам (т.е. занести в определенного рода ignore list)! Кто дал право различным недо-компаниям диктовать условия людям, производителям софта да и просто программистам? Не много ли о себе мнят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

И еще в продолжение темы - вот такой результат у нашей утилиты KidoKiller до наложения цифровой подписи.

http://www.virustotal.com/ru/analisis/f1f0...26e0-1249230313

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spw
И еще в продолжение темы - вот такой результат у нашей утилиты KidoKiller до наложения цифровой подписи.

http://www.virustotal.com/ru/analisis/f1f0...26e0-1249230313

Во-во-во.

Я про это вот тут написал как раз.

Почему вы так усердно не хотите коментировать вот это:

Потому что я про "это" написал еще в самом исходном сообщении. Могу процитировать сам себя же:

Самое обидное в этой ситуации, что если всему этому сборищу скормить нормальное тело свеже-сделанного дропера - ни один не пискнет... Заверещат они все постфактум, когда это будет уже совершенно не актуально для реальных пользователей (а не тех, кто проводит тестирование на срезке уже "мертвых" тел). Потому что будет уже совершенно новое, другое АВТОМАТИЧЕСКИ СГЕНЕРИРОВАННОЕ тело. Ну и кому нужны такие продукты? Реальных угроз не детектируют, а нормальным программам "заодно" по шее дают.

И уж поверьте, я знаю о чем я пишу. (Именно поэтому я и не пишу, что другие - идеалы и детектируют все отлично).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
На каком основании NOD, например, шантажирует - либо вы делаете цифровую подпись, либо мы вас детектируем? (Т.е. да, он такие письма сам никому не рассылает, но вот убрать детект невозможно). Кто им дал такое право? Принципиально не убирают детект. Даже по хэшам (т.е. занести в определенного рода ignore list)! Кто дал право различным недо-компаниям диктовать условия людям, производителям софта да и просто программистам? Не много ли о себе мнят?

IMHO, если это получится доказать в суде - то одним вендором станет меньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
veritas
И еще в продолжение темы - вот такой результат у нашей утилиты KidoKiller до наложения цифровой подписи.

http://www.virustotal.com/ru/analisis/f1f0...26e0-1249230313

http://blogs.drweb.com/node/424

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Это автодятел накосячил - пофиксили мы это достаточно быстро. И это было именно ошибкой, а не целенаправленной политикой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×