# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  > Ложные срабатывания  >  Касперский и "Зоркий глаз".

## Postscripter

Почему? (здесь стояло другое слово, но оно не прошло модерацию) Примерно этим вопросом я доставал суппорт. Бестолку. Через сутки после выхода новой версии программы  :"http://": exnax.narod.ru/antivir.htm она начинает определяться KAV как троян - вор паролей. Через два дня, после ответа из суппорта, перестаёт определяться. РЕГУЛЯРНО! после каждого обновления. Это уже традиция. Как будто кто-то "стучит", что, мол, так и так, есть программка, больно подозрительная, надо бы ей сигнатурку придумать. Ведь проверяю же, всегда, перед тем как выложить на сайт - ничего нет. И вдруг! Ну что за ерундовина, а?

http://www.virustotal.com/ru/analisi...526-1279302590

*Добавлено через 4 минуты*

Я даже перестал сжимать exe-шник! Пусть три метра вместо 700 кб, уже всё равно! Последние три раза даже сигнатура ставится одна и та же.

*Добавлено через 5 минут*




> Давно пользуюсь вашим продуктом,нареканий не было.Сегодня при скачивании версии 5,404 Касперский обнаружил троян.Извините,но ему я больше верю.


*Спасибо, Женя *

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Речь не о сжатии, а скорее всего о реагировании на поведение, которое у данной программы мягко говоря весьма странное. Выход из положения прост - или вносить в базу чистых все версии, или как вариант получить ЭЦП в солидной конторе, подписывать ей свои EXE и попросить доверять подписи.

----------


## Postscripter

Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?

*Добавлено через 3 минуты*

Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!

*Добавлено через 2 часа 35 минут*

эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)

----------


## Зайцев Олег

> Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?
> 
> *Добавлено через 3 минуты*
> 
> Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!
> 
> *Добавлено через 2 часа 35 минут*
> 
> эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)


Почему он детектится как Trojan-PSW - не знаю, уточним (если бы EXE задатетитили, это вообще-то детектилось бы как FraudTool.Win32 ... так как это в общем-то не антивирус и от флеш-червей в общем-то совершенно не защищает). 
По поведению:
1. зачем основной EXE постоянно самопрописывается в автозапуск пи каждом запуске ?? (CurrentVersion\Run, параметр FlashAntivir). Прописывать "себя любимого" в автозапуск скрытно при каждом запуске присуще вирусам, но никак не легитимным программам, имеющим инсталлятор
2. Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!
Про устройства типа "Нечто неопознаное" и "Китайский ширпотреб (извините)" и "новые клевые альфа-скины" без комментариев  :Smiley:

----------


## Postscripter

> Почему он детектится как Trojan-PSW


Говорят, что это делает робот. Совпали сигнатуры. Вообще, на 7-м делфи много чего написано, может поэтому?





> в общем-то не антивирус


Антивирусная утилита. И, если сравнивать с аналогичными... ну ладно, молчу)))




> от флеш-червей в общем-то совершенно не защищает


вы так думаете? Ну конечно, не от всех... но от маскирующихся точно.  :"http://":  exnax.narod.ru/PSdownloads/antivir_testfiles.htm




> самопрописывается в автозапуск при каждом запуске


на случай если программа была перемещена, переименована (такое часто бывает). Хотя да, излишне. Сначала следует проверять, а потом уже писать если данные не совпали...





> Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!


Мне тоже это место не нравится, но что тут поделаешь - хендлы нужны для передачи в RegisterDeviceNotification, а она в свою очередь - для отлова сообщений о вставке карточки в кард-ридер. Дескрипторы тут же закрываются!
*Да, ещё - при вставке заражённой флешки, после очистки, производится попытка подключить её заново, уже чистую. Тем самым автозапуск стирается из кеша проводника и "процедура лечения не требует обязательной перезагрузки"  :Cool:  Но для этого тоже нужен хендл диска.




> "уровень опасности" всегда был 100%


В принципе, понятно... Понятно.




> новые клевые альфа-скины


А вы видели шкурку "Няяя", на основе alpha skin? Нельзя же быть серьёзным во всём)) Мне предлагали вариант "Кавайненькие шкурочки", но я чего-то не решился  :Roll Eyes (Sarcastic):

----------


## Зайцев Олег

> вы так думаете? Ну конечно, не от всех... но от маскирующихся точно.  exnax.narod.ru/PSdownloads/antivir_testfiles.htm


Я не думаю, я знаю наверняка ... желание "спаси мир" конечно весьма похвально, только нужно сначал выяснить, что такое мир и от чего его нужно спасать  :Smiley:  (для чего стоит поработать лет 5-10 админом конторы на 1000+ ПК .. или хотя бы пройти стажировку на данном форуме, полечить полгодика в ранге хелпера зараженные ПК и посмотреть на практике, какие есть проблемы и как они решаются). Я например столкнулся с данной тулзой у себя в ЛВС, ее ИТ-шник филила юзерам на несколько ПК поставил - защищаться от вирусов на флешке. Утилиту я заметил в ходе разборки случая заражения "защищенного" ПК дрянью с флешки ... далее было предписание снести ее в 24 часа и писать объяснительную  :Smiley: 

*Добавлено через 8 минут*

PS: что до детекта, то аналитики же отписались Вам о том, что детект как Trojan-PSW является фолсой и пофикшен, все оперативно было поправлено и наложена антифолса  (основные причины в я  указал выше)

----------


## Postscripter

> заражения "защищенного" ПК


Забавно)) Наверняка старая версия была? Я за компьютером всего три года, так что сейчас сам бы не поставил себе то что когда-то кодил... Но свежая, та реально находит больше чем аналоги... кроме шуток. Даже вот такое: 



```
[AUTorUN
;KDkjfajfls.....
open=wscript.exe .\..\123///.jpg
shell\\\\\\\\open\command=cmd /c start "" "RECYCL    ER\kog8" & exit
shelLExECUte=RuNdLl32.EXE .\windoascodecsext.dll,AddAtomT
```

Абсолютно рабочий, между прочим, файл. Корректно обрабатывается только глазом. Поэтому по прочтению придётся его отсюда удалить - вдруг кто увидит))



Ну.. с вирусами я отчасти знаком потому, что специфика нашего интернета не позволяет людям регулярно скачивать базы. Поэтому большинству приходится помогать... за шоколадку)  Позавчера, например, вот такой же случай был
http://virusinfo.info/showthread.php?t=83101   ,  свежий НОД умер, напоследок удалив драйвер ndis (откуда он взялся - не знаю) и порушив интернет. А я после него вытащил штук десять win32.krap.hf/hl из темпа, userini из ADS потока и из system32, Win32.Iksmas.hsv из documents & settings, заменил null.sys (60 кб мне показалось многовато=) ... обошлось без переустановки))



*Добавлено через 54 минуты*

И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит. Сплошной профит. В америке такое стоит 50$ yandsearch?text=usb+disk+security

----------


## Никита Соловьев

> И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит.


Подобное вредоносное ПО - прошлый век...

----------


## Postscripter

> Подобное вредоносное ПО - прошлый век...


А что сейчас практикуется?

----------


## Никита Соловьев

> А что сейчас практикуется?


Посмотрите заявки в разделе "Помогите!" к примеру

----------


## Postscripter

Вот свежий (пол-года) пример: Worm.Win32.Agent.zx. Время детектирования - 31 окт 2009. Он и на папку похож, и расширение прячет. Такого мусора полно и будет полно только потому, что для изготовления не требуется большого напряжения главной мышцы. 

                                                                                                                          -==Имхо.==-






> Посмотрите заявки в разделе "Помогите!" к примеру


так я же говорю сейчас только о флешечных вирусах! А там обсуждаются в основном больные. Всм компы.

----------


## Никита Соловьев

Рассматривайте актуальные угрозы

----------


## Postscripter

где ж их взять...

----------


## avsdeg

> Подобное вредоносное ПО - прошлый век...


У меня недавно попалось такое на флешку. При этом один и тот же исполняемый файл замаскировался под несколько папок с именами реальных папок на флешке.

----------


## Postscripter

Вот он, глас народа! *thumb up*

----------


## Никита Соловьев

> где ж их взять...


Не знаю. Может Вам повезет в создании другого вида ПО...

----------


## Postscripter

Спасибо, мне и тут неплохо  :Wink: 

*Добавлено через 10 минут*

Только вот некоторые противные личности^W роботы, как мне написали в саппорте, не так недавно уронили статистику загрузок на 40 процентов. И это четвёртый случай.

----------

