-
Детект вредоноса или ложные срабатывания?
Имеются четыре файла, которые ни KIS, ни AVZ, не считают сколько-нибудь подозрительными, но продукты Symantec считали и считают вредоносными. Отправка образцов в январе текущего года на [email protected] привела к в общем-то ожидаемому результату: ЛК не нашла ничего вредоносного (и до сих пор не считает, судя по сканированию со современными базами). Symantec повторно указала на их вредоносность. Остальные вендоры повторили свои вердикты Вирустотала. Кто-то проигнорировал. Кто-то поблагодарил за сэмплы, не дав их оценки.К сожалению, самостоятельное дизассемблирование выходит за пределы моей компетенции. Так что как в известном сериале, истина снова осталась "где-то рядом". Может, кому-то будет интересно "покопаться", чтоб выяснить объективную истину?
Последний раз редактировалось Lemmit; 20.05.2008 в 14:58.
Причина: для ясности :)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Результат проверки на Virustotal:
1. Infostealer.Gampass - http://www.virustotal.com/ru/analisi...b650631c99c8ef
2. Hacktool, Tool.DVTPatch (DrWeb) - http://www.virustotal.com/ru/analisi...b3af44bedacdae
3. Trojan Horse - http://www.virustotal.com/ru/analisi...03624e593aed80
4. Infostealer.Lineage - http://www.virustotal.com/ru/analisi...b6560ac0720ff3
Набивать вирусные базы всяким мусором было модно еще несколько лет назад. Лаборатория Касперского этим тоже иногда грешила, но теперь им, наверное, хватает реальных зловредов.
-
-
Спасибо, AndreyKa. Мне эти вердикты известны.
И все-таки большая разница, скажем, назвать образец №3 страшным троянцем, или честно сообщить, что это - "potentially unwanted program Keygen", как это делают McAfee, AntiVir и др. И пусть пользователь сам думает, что с таким файлом делать.
Очень похоже, что некоторые антивирусные производители имеют соглашения с производителями ПО, считать программы взлома этого ПО троянцами и прочими ужастиками.
-
В соответствии с полученными разъяснениями файл сохранён как 080520_054846_troj_or_keygen_4832ac8e6779d.zip
MD5 f42448b5c73ca9ab9395a6af57f925be
(если кому-то интересно) ;-)
-
Посмотрел, ничего зловредного не наблюдается.
Если антивирусная компания определяет их как "программа для взлома других программ"
- то это уже на усмотрение пользователя, в другом случае - ложное срабатывание очевидно.
-
-
Симантек всегда занимал суровую политику по отношению к кейгенам и прочим взломщикам.
Сколько у меня в свое время он удалял всякого такого барахла.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Прекрасно. И пусть детектирует себе как кейген, потенциально нежелательное ПО, riskware и т.п.
Но когда компания Симантек сообщает, что это троян, Infostealer.Gampass aka Bloodhound.KillAV (название-то какое!), или что-то еще более адское, да еще и упирается в таком вердикте, то она, IMHO, мягко говоря, намеренно дезинформирует клиентов.
-
Сообщение от
Lemmit
что это троян, Infostealer.Gampass aka Bloodhound.KillAV (название-то какое!),
Если смотреть на название, то это похоже на срабатывание эвристического анализатора (на это указывает слово Bloodhound)
Left home for a few days and look what happens...
-
-
Я имел в виду это описание. Там вроде на эвристик не похоже.
Последний раз редактировалось Lemmit; 22.05.2008 в 16:29.
Ответить с цитированием
