Реальный тест на эвристику "антивирусов"

[Umnik 997]

Хм, это как? Установка программы "поломалась" (ничего работать не будет). Программа не запустится. + К этому, как оказалось, пользователю подсунули "троян". Эээ? Как это не пострадает?

Я думал, что речь идет о неком "сферическом в вакууме", написаном на коленке для теста. А раз о реальном, то да, мой пост отклоняется.

[dr_dizel 385]

Фолс исправлен-то?

Нет.

[Deja_Vu 366]

Фолс, как фолс ... и чё?

Такое обсуждение - как будто Авиру уличили в том, что это интерфейс с рандомизатором вердикта.

[Razboynik 105]

KIS/KAV, думаю, этот файл бы не трогал. Посчитал бы нормальным.

Возможно, КИС в детекте не трогал бы. Но, файл без цифровой подписи (и без белого списка) кинул бы в лучшем случае в слабые ограничения (никак не в доверенные) и в системную папку установиться ему запретил бы.

Ну а вот оригинальный файл из другого дистрибутива (тот, о котором речь):

Как видим на Вирустотал, Симантек этот файл не знает - "Suspicious.Insight". Ну не знает такая мощная корпорация как Симантек о таком системном файле. Вряд ли и в ЛК этот файл проходит по белым спискам.

Перед вашим постом выложили оригинальный файл - вирустотал показал ноль.

------------

Итак этот файл (именно ваш файл, перед вами выкладывали этот файл другого дистрибутива - чистый):

- Авира ваш системный файл удаляет

- Симантек ваш системный файл не знает.

- КИС запретил бы вашему системному файлу (тем более, неизвестному драйверу) установится в системную папку.

Вопрос: Так в чем же виноват антивирус? И откуда такая уверенность в файле?

P.S. Поставьте другой антивирус, который все-таки позволит этому неизвестному файлу-драйверу прописаться в системе и будет вам счастье.

[spw 190]

Дело в том, что в файле не пару этих байт.

Ого! А сколько же еще? Покажите еще исполняемый код? Может быть в секции .INIT еще хотя бы байт кода найдете?

Вот полный дамп секции .INIT:

31 C0        xor eax, eaxC2 08 00   retn 08h

На этом код этого драйвера закончен. Больше в драйвере нет ни единой команды на исполнения. Ни единая PE-структура не указывает на что-либо, что могло бы как-либо исполнится.

Впрочем, уровень Вашей компетенции чуть ниже. Очень хотел без личных выпадов обойтись, но, к сожалению, Вы сами расписались под этим:

Вся суть этого случая в том, что компилятор используемый в Online Solutions не очищает выделяемую память и вкомпилирывает в бинарники куски мусора из памяти используемой машины (кстати, по которым можно много чего узнать о ней). И с каждой новой компиляцией мусор будет разный. Это даже видно по двум бинарникам с периодом компиляции в час.

... Да-да-да! Я скажу даже больше, у них такой компилятор гадский - ужас. Более того, они этот компилятор еще устанавливают на машину пользователю, и он продолжает компелировать уже на ней! В итоге тысячи и сотни тысяч машин пользователей компелируют в месте! И у всех у них так же продолжает не очищаться память и сохраняться мусор из памяти в этот файл.

Вы хотя бы разобрались в вещах, прежде чем писать ну настооооолько чушь.

Поэтому сий детект у авиры основан на данных, а не на разборе кода.

О да!!! Это говорит о совершенстве антивирусных технологий! Данные ожили!!! Да здравствует зарождение крыс из грязи! Я вижу, что ребята из Avira отлично прогуливали уроки биологии в школе. И, видимо, до сих пор считают именно так.

Подобный фолс можно встретить и в продуктах других вендоров. Например, я столкнулся с подобным печальным детектом у вэба с лечением удалением резервной копии схемы БД.

Было бы что сказать про DrWEB - сказал бы и про него. Давно (это лет так 12-15 назад ) с ним таких проблем не было, вроде.

[spw 190]

Фолс, как фолс ... и чё?

Такое обсуждение - как будто Авиру уличили в том, что это интерфейс с рандомизатором вердикта.

Хм, а как же NDA? Зачем Вы выдали секрет разработчиков!

[spw 190]

Ради прикола перезалил файл. В полку цыг-ан-тивирусов прибыло! Только теперь отметились вердикто-воры! Вчера их еще не было.

a-squared 4.5.0.50 2010.04.04 Trojan.Patched!IK

Ikarus T3.1.1.80.0 2010.04.04 Trojan.Patched

Через недельку, чую, уже практически все будут считать это ОПАСНЫМ МОДИФИЦИРОВАННЫМ ТРОЯНОМ.

Ради прикола перезалил файл. В полку цыг-ан-тивирусов прибыло! Только теперь отметились вердикто-воры! Вчера их еще не было.

a-squared 4.5.0.50 2010.04.04 Trojan.Patched!IK

Ikarus T3.1.1.80.0 2010.04.04 Trojan.Patched

Через недельку, чую, уже практически все будут считать это ОПАСНЫМ МОДИФИЦИРОВАННЫМ ТРОЯНОМ.

P.S. Впрочем допускаю, что цепочка "легальных" вердикто-воров такая -- Avira - Ikarus - a-squared. Ikarus использует базы Avira (обновился, стал детектировать), a-squared использует базы Ikarus (и тем самым - Avira) -- обновились, стали детектировать. Тогда прямо вердикто-эпидемия какая-то. Если все используют базы друг друга, возникает резонный вопрос, зачем нужны эти "все"?

[ak_ 395]

Ещё McAfee-GW-Edition забыли, главного "вора" детектов Авиры.

Кстати, куда же подевались пользователи и сотрудники ЛК? Неужели никто не может ответить на вопрос:

3. Возможно я ошибаюсь (пусть меня поправят представители ЛК, или пользователи KIS/KAV), но мне кажется, что программе не удалось бы нормально запуститься, поскольку она была бы заблокирована (или ограничена в действиях) на основе поведенческого анализа при попытке установить неподписанный драйвер.

Или эффект будет такой-же?:

Хм, это как? Установка программы "поломалась" (ничего работать не будет). Программа не запустится. + К этому, как оказалось, пользователю подсунули "троян". Эээ? Как это не пострадает?

[spw 190]

Ещё McAfee-GW-Edition забыли, главного "вора" детектов Авиры.

Да этот вор ("вор") еще вчера отмечался. Сразу. Я о нем упоминал (в ключе -- washer).

[ak_ 395]

Да этот вор ("вор") еще вчера отмечался. Сразу. Я о нем упоминал (в ключе -- washer).

А ничего, что этот "вор", хоть и принадлежит сейчас McAfee, построен на движке Avira по лицензии?

[spw 190]

А ничего, что этот "вор", хоть и принадлежит сейчас McAfee, построен на движке Avira по лицензии?

Ничего. Именно поэтому он удостоился упоминания вор в кавычках. (Про необходимость таких программ написал чуть выше; когда все друг у друга лицензируют по кругу).

Возможно, КИС в детекте не трогал бы. Но, файл без цифровой подписи (и без белого списка) кинул бы в лучшем случае в слабые ограничения (никак не в доверенные) и в системную папку установиться ему запретил бы.

KAV/KIS его вообще никак не трогал бы. Детект не прошел (в смысле - с файлом все в порядке) - все. Это драйвер. Какие еще "слабые ограничения" для драйвера? Тем более - бутового, до сисрез. Вы вообще понимаете о чем говорите?

А в системную папку его устанавливает доверенное системное приложение. Называется - MSI.

Как видим на Вирустотал, Симантек этот файл не знает - "Suspicious.Insight". Ну не знает такая мощная корпорация как Симантек о таком системном файле.

Я уважаю компанию Symantec, безотносительно некоторых вещей. Но вот тому, кто прикрутил их "облако" к VirusTotal - нужно подрезать детородные органы. После этого на VT смотреть вердикты Symantec смысла нет. Ввиду того, что Symantec не может оценивать иные факторы происхождения файла - он на все (99%) пишет "suspicious", а посему теряет всякий смысл вообще.

Вряд ли и в ЛК этот файл проходит по белым спискам.

Это не помешает ему установится и отлично работать. Потому что в ЛК - не идиоты.

Перед вашим постом выложили оригинальный файл - вирустотал показал ноль.

А я выложил файл из другого дистрибутива. И там не ноль.

А по тому "нулевому" файлу люди писали, чтобы убрали детект. И? Ничего, что этому файлу уже 4 месяца?

Итак этот файл (именно ваш файл, перед вами выкладывали этот файл другого дистрибутива - чистый):

- Авира ваш системный файл удаляет

Avira детектирует файл, который не содержит в себе кода. Весь код - простановка статуса STATUS_SUCCESS и выход. Это очень опасно.

- Симантек ваш системный файл не знает.

И?

- КИС запретил бы вашему системному файлу (тем более, неизвестному драйверу) установится в системную папку.

Не запретил бы. Потому что устанавливается нормальное приложение. И устанавливается посредством MSI.

Вопрос: Так в чем же виноват антивирус? И откуда такая уверенность в файле?

Антивирусы не виноваты ни в чем. Они отлично работают. А цыг-ан-тивирусы виноваты в цыганщине -- во лжи пользователю.

P.S. Поставьте другой антивирус, который все-таки позволит этому неизвестному файлу-драйверу прописаться в системе и будет вам счастье.

Предлагаю это сказать фанатам Avira. Я за.

[sww 486]

Ради спортивного интереса я решил провести эксперимент. Поставил на XP SP3 KIS 2010 в автоматическом режиме, как раз для ботов. Скачал с сайта последний OSSS 1.4.

KIS был обновлен с паблика, машина была перезагружена.

Начал установку OSSS. Установка прошла, на запуск Мастера Установки OSSS было выдано желтое предупреждение (без подписи, все дела) - разрешил. Потом Мастер OSSS запустил сканирование системы и предложил перезагрузить машину. В этот момент вылезло другое предупреждение, уже красное о записи в файл драйвера - разрешил. Перезагрузился. OSSS работает, KIS работает.

Никаких подозрительных пустых файлов с мусором из памяти от компилятора (бугагашенька) не обнаружено.

Была бы подпись, то вообще никаких бы вопросов не было бы.

[Васька 45]

Фанатам цыган-тивируса Avira посвящается:

А почему "цыган-тивируса"? Это обоснованное мнение или просто писк обиженной малолетки?

Насколько я помню администрация портала обращалась с просьбой писать правильно названия брендов.

Avira солидная антивирусная компания. Так ее называют на мировом рынке и в частности на данном уважаемом портале.

Так на каком основании Вас заклинило на фразе "цыган-тивирус"??

[dr_dizel 385]

бла-бла-бла

Сначала разберитесь как формируется машинный код, узнайте разницу между malloc и calloc или хотя бы что означает dup (?) в асме, также что означает детект по сигнатурам кода и данных, посмотрите наконец весь файл в хексе, а потом с вами можно будет поговорить, но уже не нужно т.к. вы сгорите от стыда.

P.S. Кстати, в подписи ссылки на сайты с варезом запрещены.

[spw 190]

А почему "цыган-тивируса"? Это обоснованное мнение или просто писк обиженной малолетки?

Да, это писк обиженной малолетки, имеющей за плечами ~15-летний опыт RE.

Насколько я помню администрация портала обращалась с просьбой писать правильно названия брендов.

Avira солидная антивирусная компания. Так ее называют на мировом рынке и в частности на данном уважаемом портале.

Так на каком основании Вас заклинило на фразе "цыган-тивирус"??

Это просто статус антивируса по результату проведенных публичных тестов (которые могут повторить любые пользователи) в данном топике (от его начала и до конца).

Вот знаете, статусы там назначают. Advanced+ и т.п. Вот тут такая же медалька выдается, на ней написано: цыг-ан-тивирус. Выдается по результатам тестирования.

P.S. AMTSO нужно предложить ввести еще один критерий тестирования: тест на цыганщину.

Сначала разберитесь как формируется машинный код, узнайте разницу между malloc и calloc или хотя бы что означает dup (?) в асме, также что означает детект по сигнатурам кода и данных, посмотрите наконец весь файл в хексе, а потом с вами можно будет поговорить, но уже не нужно т.к. вы сгорите от стыда.

"Так-так-так" ©, как говаривал Mr. Hukkers

На что мне нужно обратить внимание в этом файле? Не стесняйтесь, расскажите всем. Я публично сгорю от стыда.

Специально, чтобы все могли мне объяснить "разницу между malloc и calloc", а так же "что означает dup (?) "в асме", я выкладываю файл. Вот он.

Вперед! Застыдите меня, не знающего "разницу между malloc-calloc"! (В кавычках - это все прямые цитаты).

P.S. Большинство из Вас, к сожалению, думаю, скачать этот файл не сможет. Ведь супер-технологичные антивирусы будут считать его опасным модифицированным трояном.

P.S. Кстати, в подписи ссылки на сайты с варезом запрещены.

Кстати, само-присвоение себе званий экспертов так же запрещено. И в подписи это ставить.

В ФСБ сейчас есть специальный отдел, занимающийся отловом лже-генералов. Пора вводить нечто подобное и на AM. Отдел борьбы с лже-экспертами.

[sww 486]

Кстати, само-присвоение себе званий экспертов так же запрещено. И в подписи это ставить.

В ФСБ сейчас есть специальный отдел, занимающийся отловом лже-генералов. Пора вводить нечто подобное и на AM. Отдел борьбы с лже-экспертами.

Я готов его возглавить и гнать ссаными тряпками таких экспертов прямо на Чудское Озеро, где и топить баграми.

[Razboynik 105]

Предлагаю это сказать фанатам Avira. Я за.

А так же все остальным, фанатам других вендоров, у кого антивирус мешает установить именно ваш файл-драйвер?

--------

Ложные срабатывания есть у всех - у кого больше, у кого меньше. Каждый выбирает антивирус под свои потребности. Кому-то важна скорость и легкость, кому-то красивый интерфейс и значок в трее, кому-то лечение, кому-то минимум ложных срабатываний, кому-то максимальный детект даже ценой ложняков, и т.д. и т.п.

Не у всех вкусы такие как у вас. О вкусах не спорят.

Если бы это был глюк программы, нестабильность работы - тогда нужно обсуждать, добиваться исправления.

А когда речь идет о ложном срабатывании на ваш файл. Если вам это критично - выбирайте другой антивирус, который не будет реагировать именно на ваш файл.

Уже две страницы текста накатали - у антивируса ложное срабатывание на файл. Подумать только - ложное срабатывание! Не лень писать то столько страниц?

P.S. Можно было тихонько этот файл отправить в вирлаб как - ложное срабатывание - делов на две минуты. Пофиксят достаточно быстро. Это если отправить, а не на форуме романы писать.

[Васька 45]

Да, это писк обиженной малолетки, имеющей за плечами ~15-летний опыт RE.

Это просто статус антивируса по результату проведенных публичных тестов (которые могут повторить любые пользователи) в данном топике (от его начала и до конца).

Вот знаете, статусы там назначают. Advanced+ и т.п. Вот тут такая же медалька выдается, на ней написано: цыг-ан-тивирус. Выдается по результатам тестирования.

P.S. AMTSO нужно предложить ввести еще один критерий тестирования: тест на цыганщину.

Ну тогда если следовать вашей логики то исходя из анализа ваших постов данном топике записываюших Avira и Симантек в цыган-тивирусы... Вы заслужили звание балабола

[spw 190]

Ну тогда если следовать вашей логики то исходя из анализа ваших постов данном топике записываюших Avira и Симантек в цыган-тивирусы... Вы заслужили звание балабола

Уважаемый, Васька, Symantec мною в цыг-ан-тивирусы не записан. Советую ознакомиться с первоисточником.

А про "балабола" - Ваше право. Я живу делами, не словами.

[sww 486]

Уже две страницы текста накатали - у антивируса ложное срабатывание на файл. Подумать только - ложное срабатывание! Не лень писать то столько страниц?

Как же вы не понимаете, что дело не в ложном срабатывании, а в том, на что оно. На пустой файл в котором 2 инструкции кода. Это просто бред какой-то и такие вот цыган-тивирусы еще кто-то покупает, они выпускаются солидными компаниями с именем (ну, так считают люди).

Не первый случай гениальнейшей эвристики и рождается логичный вопрос: а с остальными технологиями так же? На уровне: "позолоти ручку, я тебе погадаю"?

[dr_dizel 385]

бла-бла-бла

Так вот же - sww. Ловите его. Во время того вэбовского фолса он работал вирусным аналитиком там. Спросите как они колбасили сигнатуры, что были фолсы просто на данных. Он вам всё объяснит.

[spw 190]

Так вот же - sww. Ловите его. Во время того вэбовского фолса он работал вирусным аналитиком там. Спросите как они колбасили сигнатуры, что были фолсы просто на данных. Он вам всё объяснит.

Нет уж, извольте. Вы (именно Вы) утверждали, что мне не хватает каких-то знаний и я должен сгореть от стыда. Я предложил публично рассказать в чем именно дело. SWW вот так, например, не считает. Почему это Вы вдруг стали прятаться за его спину? Он Ваш лучший друг и всегда придет на помощь Вам?

Вы что-то хотели нам всем поведать - поведайте. Файл выложен. Любой его может скачать, посмотреть. Проверить на наличие там всяких malloc, calloc и dup(?), а заодно рассказать про разницу между ними всеми...

[Юрий Паршин 330]

P.S. Можно было тихонько этот файл отправить в вирлаб как - ложное срабатывание - делов на две минуты. Пофиксят достаточно быстро. Это если отправить, а не на форуме романы писать.

Ошибаетесь, я несколько раз лично отправлял к ним (Avira) в вирлаб пачки наших утилит для исправления г-детекта на пакер - все разы письма игнорировались. Trend Micro, к слову сказать, пофиксила аналогичный детект уже через 5 часов после отправки письма.

[Васька 45]

Уважаемый, Васька, Symantec мною в цыг-ан-тивирусы не записан.

А что у Вас двойные стандарты? По вашим данным Симантек так же как и Авира детектив ваш файл.

[spw 190]

А так же все остальным, фанатам других вендоров, у кого антивирус мешает установить именно ваш файл-драйвер?

Да это не мой файл. А файл производителя продуктов по ИБ.

Вот вначале топика был мой файл (как автора некоего продукта). А тут так не получится Вам сказать.

Ложные срабатывания есть у всех - у кого больше, у кого меньше.

Эээ, нет. Вы не поняли. Вопрос не в ложных срабатываниях как таковых, а в сути детектирования. Как именно производится детектирование и на что именно ложное срабатывание. Вызывает недоумение (хотя что душой кривить -- неудомения не вызывает, это известные уже факты) именно эта ситуация с такими антивирусами.

Каждый выбирает антивирус под свои потребности. Кому-то важна скорость и легкость, кому-то красивый интерфейс и значок в трее, кому-то лечение, кому-то минимум ложных срабатываний, кому-то максимальный детект даже ценой ложняков, и т.д. и т.п.

Вы сможете мне сказать хотя бы 10 факторов, отличающих FakeAV, построенный на базе движка Ad-Aware/MBAM/ClamAV от Avira?

Почему такие антивирусы называют FakeAV, их детектируют, гнобят и т.д., а Avira - это "продукт с мировым именем" (по мнению ряда присутствующих тут)?

Не у всех вкусы такие как у вас. О вкусах не спорят.

О вкусах может и не спорят, только дело тут вовсе не во вкусе. А в качестве технической состовляющей данного антивируса (или даже -- набора антивирусов). Вкусы тут не причем.

Если бы это был глюк программы, нестабильность работы - тогда нужно обсуждать, добиваться исправления.

А когда речь идет о ложном срабатывании на ваш файл. Если вам это критично - выбирайте другой антивирус, который не будет реагировать именно на ваш файл.

Про "ваш файл" - писал уже выше.

Уже две страницы текста накатали - у антивируса ложное срабатывание на файл. Подумать только - ложное срабатывание! Не лень писать то столько страниц?

Еще раз. Вопрос не в "ложном срабатывании", а в сути этого срабатывания. В принципах, использование которых постоянно приводит к таким результатам. Это не ошибка - это технология.

P.S. Можно было тихонько этот файл отправить в вирлаб как - ложное срабатывание - делов на две минуты. Пофиксят достаточно быстро. Это если отправить, а не на форуме романы писать.

Нужно каждую копию этого файла отсылать? Их бесконечное множество. Это изменяемый файл. Что, прошлых 1.5 лет false detect'ов не хватило, чтобы понять, как убрать его окончательно? Это, кстати, тоже вопрос о подходе к технологиям и принципам компании.