Оффтоп из "Исследование антивирусов"

[QUOTE=vaber;141631]Гы
[/QUOTE]
Бывает.:)

[B]drongo [/B],
P.S. Чо то как-то на этой странице слишком много свежеотправленных(свежедобавленных) детектов у каспера.
В глаза бросается.
Пореже надо. ;)

[quote=icon;141637]Бывает.:)

[B]drongo [/B],
P.S. Чо то как-то на этой странице слишком много свежеотправленных(свежедобавленных) детектов у каспера.
В глаза бросается.
Пореже надо. ;)[/quote]

всё в пределах правил, не везёт мне и они быстрее меня добавляют в базы.

[QUOTE=TANUKI;143723]Файл [B]C1AA5427d01[/B] получен 2007.10.20 00:15:08 (CET)

[B]F-Secure 6.70.13030.0 2007.10.19 Trojan-Downloader.JS.Remora.w [/B]
[B]Kaspersky 7.0.0.125 2007.10.19 Trojan-Downloader.JS.Remora.w[/B]
[/QUOTE]
TANUKI, а ручками ли вы его поймали? [URL="http://www.anti-malware.ru/phpbb/viewtopic.php=3fp=3d25788#25788"]Тут[/URL] вы пишите, что это заслуга антивируса.

[quote=SuperBrat;143736]TANUKI, а ручками ли вы его поймали? [URL="http://www.anti-malware.ru/phpbb/viewtopic.php=3fp=3d25788#25788"]Тут[/URL] вы пишите, что это заслуга антивируса.[/quote]

Ну ручками ловить не умею :) А здесь можно выкладывать результаты пойманные только ручками? Тогда извините, флудить не буду :)

[quote=TANUKI;143811]Ну ручками ловить не умею :) А здесь можно выкладывать результаты пойманные только ручками? Тогда извините, флудить не буду :)[/quote]
[B][I][COLOR=#ff0000]Постить в эту тему результаты проверки файлов исключительно пойманных руками на компьютерах.

[/COLOR][COLOR=blue]Не постить результаты проверки файлов найденных на других сайтах или в коллекциях. [/COLOR][/I]
[I][COLOR=blue]Не постить результаты проверки файлов изначально найденных антивирусом.[/COLOR][/I][/B]
[B][I][/I][/B]
Первый пост первой страницы :)

[quote=XL;144039]Почистил рабочую флэшку каспером[/quote]

Я так понял, тут выкладывают результаты ловли только руками, а не антивирами ;) :D:P

[B]TANUKI[/B]
Вы не то процитировали ... видимо.
[QUOTE=XL;144039]Почистил рабочую флэшку каспером, [B]вот что [U]не[/U] обнаружилось[/B]:[/QUOTE]


Извените за офтоп.

XL
[quote]Файл mpgcodec4441.exe получен 2007.10.23 16:21:51 (CET)[/quote]

Мне почему-то кажется что ложняк, я подобные файлы отсылаю в ЛК, они отвечают что вредоносного ничего не найдено..

[QUOTE=Surfer;144437]XL
Мне почему-то кажется что ложняк, я подобные файлы отсылаю в ЛК, они отвечают что вредоносного ничего не найдено..[/QUOTE]
Нет, не факт, что ложняк, хотя и очень возможно.
У этих Zlob действительно бывают серии без троянской dll, но не всегда.
Видимо, в тех, что Вы отсылали, ее не было. Эти "кодеки" часто детектят, как носитель, на всякий случай :).

Любопытная диаграмма. Видно изменение в лучшую сторону F-Secure, Webwasher-Cat.
Ikarus даже обошел Касперского. ;)

[quote=PavelA;146709]Любопытная диаграмма. Видно изменение в лучшую сторону F-Secure, Webwasher-Cat.
Ikarus даже обошел Касперского. ;)[/quote]

Так а чего Webwasher-у кукситься? Движок-то авировский ;) да и базы ;)

Обратил внимание, что на virustotal, а может и по жизни, AhnLab не распаковывает архивы zip и rar, а eTrust не знает rar. А что тут говорить про *.dta:)
Так что их доли занижены.

[quote=icon;146919]Обратил внимание, что на virustotal, а может и по жизни, AhnLab не распаковывает архивы zip и rar, а eTrust не знает rar. А что тут говорить про *.dta:)
Так что их доли занижены.[/quote]
Насколько помню, *.dta это обычный файл, только с изменённым расширением, так что всё нормально должно быть

Если антивирус не знает упаковщиков и даже в изменённом расширении не видит вирусного кода- по делом ему ;)

Да, действительно, просто смена расширения не смущает их.
Ну что ж, это радует.

Чего-то смотрю я на промежуточные результаты и удивляюсь - куда делся хороший детект у vba32 ?
Остальные более-менее в таких же пропорциях как и раньше.

[quote=Surfer;147146]Чего-то смотрю я на промежуточные результаты и удивляюсь - куда делся хороший детект у vba32 ?
Остальные более-менее в таких же пропорциях как и раньше.[/quote]
Да, действительно :(

результаты не утешительные так как
Heur.Trojan.Generic
Suspicious File
Packed/FSG
и прочие неконкретные определения за детект считать нельзя

вот это будет в большинстве случаев определятся как подозрительное/пакед/ и прочий бред

mov esi,asshole
mov ecx,size
m:
xor [esi], byte 0x66
inc esi
loop m

Для обсуждения тестирования есть отдельная тема.

2 [B][500mhz][/B] Ваше, небольшое пребывание на форуме, описано ниже:
[QUOTE]Добро пожаловать, Новичок ! (читать вдумчиво)

Дверь открыли ногой. Незнакомый тип прошел на кухню, сел, не дожидаясь приглашения и заявил:
- Неуютно у вас тут. И... - он потянулся, отобрал чашку чая, отхлебнул - Вот я чаю вашего отхлебнул - отстой. Заварки надо больше ложить. А сахару меньше.
Хозяин квартиры ошалел от такого напора и промямлил:
- Я так чай люблю... Что здесь происходит, а? Чем обязан? Вы кто?
- Я пришел вам сказать, что вы мне неинтересны. Вы понимаете? Мне абсолютно пофигу вы и все что у вас тут есть. Все равно у вас тут нет ничего интересного. Один пафос. Потуги на вкус. И ничего больше. Эти обои безвкусны, эта мебель.
- Да вы представьтесь сначала! Вы кто? Что вы делаете у меня на кухне?
- Вот!!!! Видите!!!! Опять этот пафос!!! Вы не понимаете, что мне плевать на вас и лезете с своими репликами! Да мне плевать!
- Успокойтесь, успокойтесь. Я понимаю - вам пофиг.
- Не надо меня успокаивать! Вы думаете вы меня можете как-то взбесить? Да ни за что! Вы - неадекватны! Не впадайте в истерику!!! Вам всего лишь сказали правду!! Это мое мнение! Вам понятно?! Когда вы уже научитесь уважать чужое мнение?
- Вы знаете, наверное, вам лучше уйти. У нас не получается разговора.
- Вот! Я говорил! Кто вы такой, чтоб указывать мне - уходить или нет?
- Но это, простите, моя квартира.
- Если бы вы не хотели, чтоб я сюда пришел - вы бы закрывали дверь! А так дверь не закрыта. Да у вас и квартира - так себе. Безвкусно все. Не нравится мне у вас. И посмотреть нечего.
- Стойте! Вы зачем у меня с полки мою шапку взяли?
- Да вы должны спасибо сказать! Шапка ваша - отстой. Давно из моды вышла! Если бы вы не хотели чтоб вашу шапку носили - вы бы запирали дверь! Понятно! Вы еще должны спасибо сказать, что я у вас шапку взял!
- Но.. Как... Положите шапку на место и идите вон отсюда!!!
- Да плевать мне на вашу шапку! И на вас мне плевать! Вы - ничтожество! Вы - полный деградант. И пожалуйста - я ухожу от вас! И ни один нормальный человек не останется в вашей квартире! Смотреть не на что! Убожество!
Он встал, вышел в прихожую и продолжал подглядывать за тем, что делается на кухне, изредка покрикивая "Убожество!! Глупость!! Кто так бутерброд мажет!!!"[/QUOTE]найдено [URL="http://forum.drweb.com/message/6403/0/#63553"]там[/URL]

[QUOTE=Ромео;149178]File BitAccelerator.exe received on 11.10.2007

[B]Kaspersky 7.0.0.125 2007.11.10 not-a-virus:AdWare.Win32.BHO.ic[/B]

[/QUOTE]

Детект есть, а захожу в "Вирусную энциклопедию" , с целью посмотреть дату добавления данной адвари в базы и получаю вот такой вот ответ [IMG]http://www.viruslist.com/ru/find?search_mode=virus&words=not-a-virus%3AAdWare.Win32.BHO.ic&x=34&y=9[/IMG]. Почему?

Не добавили, значит он не сильно отличается от остального семейства:
[url]http://www.viruslist.com/ru/find?words=AdWare.Win32.BHO.&search_mode=virus&search=%F0%CF%C9%D3%CB[/url]

[quote=Maxim;149457]
Будет детектиться КАВом в следущем обновлении как not-a-virus:FraudTool.Win32.SmartAntiSpyware.b

Файл setup.exe получен 2007.11.11 16:59:44 (CET)
Дополнительная информация
File size: 391187 bytes
MD5: 6c126e36a73970b4fd841ff7dc45f372
SHA1: 66dc9501d808aeaa1c1ef7052c55c164afb77005
packers: RAR, Unicode[/quote]

Попробуйте ещё раз выгрузить на вирустотал, он бывает глючит и выдает нулевой результат.

Каспер добавил детект, а в остальном тоже самое

[B]to Maxim![/B]
[QUOTE]Постить в эту тему результаты проверки файлов исключительно пойманных руками на компьютерах.[/QUOTE]

Вражеский BHO:
Файл avz00001.dta получен 2007.11.23
[QUOTE]AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
[B]DrWeb - - Trojan.PWS.Finanz.origin
eSafe - - suspicious Trojan/Worm[/B]
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
[B]Ikarus - - Trojan-Spy.Win32.BZub.dl[/B]
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
[B]Webwasher-Gateway - Win32.UPXpacked.gen!94 (suspicious)[/B][/QUOTE]

[QUOTE=Shu_b;152197][B]Maxim, TANUKI, rubin[/B]
Большая просьба не резать, и публиковать полный лог.[/QUOTE]

теперь и [B]XL[/B].

Все дело в том, что таким мне его выдал virustotal, ссылаясь на то, что файл уже исследовался ранее...
см. здесь:
[url]http://www.virustotal.com/ru/resultado.html?5df96c0fafab2b9671c09350c3c2e166[/url]
Так что "не виноватая я..." =)

[QUOTE=XL;153283]Все дело в том, что таким мне его выдал virustotal, ссылаясь на то, что файл уже исследовался ранее...[/QUOTE]

тем более незачем публиковать результаты - 2007.11.21 18:01:37 (CET)
можно было выбрать "сделать новое"

[QUOTE]Месячный итог забавным получился.... ;-)[/QUOTE]Почему забавным?

Елы-палы, Вас же человек попросил выделять детекты, иначе сбор статы сложнее идёт %)

rubin и Maxim

Нас просили не резать логи :smile: учту

По поводу "воровства" сигнатур. Смотрим [URL="http://virusinfo.info/showpost.php?p=166683&postcount=135"]вот этот пост[/URL] и видим, что у Ikarus'а в 3 исследовании стоит детект MalwareScope. А эта технология используется только в антивирусе VBA32. Дальше - больше. Видно, что этот файл VBA32 вообще не детектит! И как это понимать? :smile:

[quote=strawser;166683]File Vista_Automated_Activation_Crack_ received on 01.02.2008 23:28:24 (CET)
Result: 6/31 (19.36%)[/quote]
Насчёт этого файла - 100% ложняк, я его дал однажды другу, который почему-то решил поставить этот аЦЦтой висту =)) Всё нормально, никаких троянов.

[QUOTE=Surfer;166831]Насчёт этого файла - 100% ложняк, я его дал однажды другу, который почему-то решил поставить этот аЦЦтой висту =)) Всё нормально, никаких троянов.[/QUOTE]Точно [B]другу[/B] давали? ;)

А что, не у всех же есть деньги на ОСь =))) Или речь о другом ?

Неудачная шутка :) Сделано ударение на слово "друг", давать другу подозрительный файл, который детектится антивирусами...

[QUOTE=Surfer;166831]Насчёт этого файла - 100% ложняк, я его дал однажды другу, который почему-то решил поставить этот аЦЦтой висту =)) Всё нормально, никаких троянов.[/QUOTE]

Да ложняк.
Hello.
No malicious software was found in the attached file.
Ответ Касперского через 20 минут после запроса.

[B]strawser, [/B]Ну если ложняк, то редактируем своё сообщение, дабы не портить статистику :cool:

Слушаюсь и повинуюсь. :xmas: