Почему? (здесь стояло другое слово, но оно не прошло модерацию) Примерно этим вопросом я доставал суппорт. Бестолку. Через сутки после выхода новой версии программы :http:exnax.narod.ru/antivir.htm она начинает определяться KAV как троян - вор паролей. Через два дня, после ответа из суппорта, перестаёт определяться. РЕГУЛЯРНО! после каждого обновления. Это уже традиция. Как будто кто-то "стучит", что, мол, так и так, есть программка, больно подозрительная, надо бы ей сигнатурку придумать. Ведь проверяю же, всегда, перед тем как выложить на сайт - ничего нет. И вдруг! Ну что за ерундовина, а?

http://www.virustotal.com/ru/analisis/1c568ba6c3b415e804148a8d84cb844bcf787f0310dd07c314 7b14a08fe2a526-1279302590

Добавлено через 4 минуты

Я даже перестал сжимать exe-шник! Пусть три метра вместо 700 кб, уже всё равно! Последние три раза даже сигнатура ставится одна и та же.

Добавлено через 5 минут


Давно пользуюсь вашим продуктом,нареканий не было.Сегодня при скачивании версии 5,404 Касперский обнаружил троян.Извините,но ему я больше верю.

Спасибо, Женя :furious3:

Речь не о сжатии, а скорее всего о реагировании на поведение, которое у данной программы мягко говоря весьма странное. Выход из положения прост - или вносить в базу чистых все версии, или как вариант получить ЭЦП в солидной конторе, подписывать ей свои EXE и попросить доверять подписи.

Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?

Добавлено через 3 минуты

Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!

Добавлено через 2 часа 35 минут

эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)

Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?

Добавлено через 3 минуты

Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!

Добавлено через 2 часа 35 минут

эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)
Почему он детектится как Trojan-PSW - не знаю, уточним (если бы EXE задатетитили, это вообще-то детектилось бы как FraudTool.Win32 ... так как это в общем-то не антивирус и от флеш-червей в общем-то совершенно не защищает).
По поведению:
1. зачем основной EXE постоянно самопрописывается в автозапуск пи каждом запуске ?? (CurrentVersion\Run, параметр FlashAntivir). Прописывать "себя любимого" в автозапуск скрытно при каждом запуске присуще вирусам, но никак не легитимным программам, имеющим инсталлятор
2. Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 (file://\\.\PhysicalDrive0) ... \\.\PhysicalDrive30 (file://\\.\PhysicalDrive30) ?!
Про устройства типа "Нечто неопознаное" и "Китайский ширпотреб (извините)" и "новые клевые альфа-скины" без комментариев :)

Почему он детектится как Trojan-PSW
Говорят, что это делает робот. Совпали сигнатуры. Вообще, на 7-м делфи много чего написано, может поэтому?



в общем-то не антивирус
Антивирусная утилита. И, если сравнивать с аналогичными... ну ладно, молчу)))


от флеш-червей в общем-то совершенно не защищает
вы так думаете? Ну конечно, не от всех... но от маскирующихся точно. :http: exnax.narod.ru/PSdownloads/antivir_testfiles.htm


самопрописывается в автозапуск при каждом запуске
на случай если программа была перемещена, переименована (такое часто бывает). Хотя да, излишне. Сначала следует проверять, а потом уже писать если данные не совпали...



Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!

Мне тоже это место не нравится, но что тут поделаешь - хендлы нужны для передачи в RegisterDeviceNotification, а она в свою очередь - для отлова сообщений о вставке карточки в кард-ридер. Дескрипторы тут же закрываются!
*Да, ещё - при вставке заражённой флешки, после очистки, производится попытка подключить её заново, уже чистую. Тем самым автозапуск стирается из кеша проводника и "процедура лечения не требует обязательной перезагрузки" 8) Но для этого тоже нужен хендл диска.


"уровень опасности" всегда был 100%
В принципе, понятно... Понятно.


новые клевые альфа-скины
А вы видели шкурку "Няяя", на основе alpha skin? Нельзя же быть серьёзным во всём)) Мне предлагали вариант "Кавайненькие шкурочки", но я чего-то не решился :>

вы так думаете? Ну конечно, не от всех... но от маскирующихся точно. :http: exnax.narod.ru/PSdownloads/antivir_testfiles.htm

Я не думаю, я знаю наверняка ... желание "спаси мир" конечно весьма похвально, только нужно сначал выяснить, что такое мир и от чего его нужно спасать :) (для чего стоит поработать лет 5-10 админом конторы на 1000+ ПК .. или хотя бы пройти стажировку на данном форуме, полечить полгодика в ранге хелпера зараженные ПК и посмотреть на практике, какие есть проблемы и как они решаются). Я например столкнулся с данной тулзой у себя в ЛВС, ее ИТ-шник филила юзерам на несколько ПК поставил - защищаться от вирусов на флешке. Утилиту я заметил в ходе разборки случая заражения "защищенного" ПК дрянью с флешки ... далее было предписание снести ее в 24 часа и писать объяснительную :)

Добавлено через 8 минут

PS: что до детекта, то аналитики же отписались Вам о том, что детект как Trojan-PSW является фолсой и пофикшен, все оперативно было поправлено и наложена антифолса (основные причины в я указал выше)

заражения "защищенного" ПК
Забавно)) Наверняка старая версия была? Я за компьютером всего три года, так что сейчас сам бы не поставил себе то что когда-то кодил... Но свежая, та реально находит больше чем аналоги... кроме шуток. Даже вот такое:


[AUTorUN
;KDkjfajfls.....
open=wscript.exe .\..\123///.jpg
shell\\\\\\\\open\command=cmd /c start "" "RECYCL ER\kog8" & exit
shelLExECUte=RuNdLl32.EXE .\windoascodecsext.dll,AddAtomT

Абсолютно рабочий, между прочим, файл. Корректно обрабатывается только глазом. Поэтому по прочтению придётся его отсюда удалить - вдруг кто увидит))



Ну.. с вирусами я отчасти знаком потому, что специфика нашего интернета не позволяет людям регулярно скачивать базы. Поэтому большинству приходится помогать... за шоколадку) Позавчера, например, вот такой же случай был
http://virusinfo.info/showthread.php?t=83101 , свежий НОД умер, напоследок удалив драйвер ndis (откуда он взялся - не знаю) и порушив интернет. А я после него вытащил штук десять win32.krap.hf/hl из темпа, userini из ADS потока и из system32, Win32.Iksmas.hsv из documents & settings, заменил null.sys (60 кб мне показалось многовато=) ... обошлось без переустановки))



Добавлено через 54 минуты

И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит. Сплошной профит. В америке такое стоит 50$ yandsearch?text=usb+disk+security

И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит.Подобное вредоносное ПО - прошлый век...

Подобное вредоносное ПО - прошлый век...

А что сейчас практикуется?

А что сейчас практикуется?Посмотрите заявки в разделе "Помогите!" к примеру

Вот свежий (пол-года) пример: Worm.Win32.Agent.zx. Время детектирования - 31 окт 2009. Он и на папку похож, и расширение прячет. Такого мусора полно и будет полно только потому, что для изготовления не требуется большого напряжения главной мышцы.

-==Имхо.==-




Посмотрите заявки в разделе "Помогите!" к примеру
так я же говорю сейчас только о флешечных вирусах! А там обсуждаются в основном больные. Всм компы.

Рассматривайте актуальные угрозы

где ж их взять...

Подобное вредоносное ПО - прошлый век...
У меня недавно попалось такое на флешку. При этом один и тот же исполняемый файл замаскировался под несколько папок с именами реальных папок на флешке.

Вот он, глас народа! *thumb up*

где ж их взять... Не знаю. Может Вам повезет в создании другого вида ПО...

Спасибо, мне и тут неплохо ;)

Добавлено через 10 минут

Только вот некоторые противные личности^W роботы, как мне написали в саппорте, не так недавно уронили статистику загрузок на 40 процентов. И это четвёртый случай.