Не, лавасофт - приличные люди.Сообщение от memorex
Бред сивой кобылы, правда, порой ловят - куки всякие и т.п. ерунду, это они юзают модный на западе бзик на секурности. Себя, родного, не прорекламируешь, никто и не оценит.
Но заразу не втюхивают, это точно.
P.S. А с SAV Вы еще к нам наведаетесь, это как пить дать
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да вроде все относительно продвинутые мониторы сейчас по своей сути руткиты с той или иной функциональностью. Вопрос, как обычно, для чего предназначен топор, для рубки дров или... %))
Это, вероятнее всего, ошибка аналитиков "Антивирусной лаборатории Данилова". Я не стал "поднимать волну" во вторник вечером, когда увидел это сообщение - думал, что тема уже исчерпала себя и фидбека больше не будет. Оказалось - нет!
Тогда же для удовлетворения любопытства я сделал две проверки этого файла, noadwareutils.dll, в онлайне (после всех этих экспериментов с программами TrojanHunter и NoAdware у меня последняя еще до сих пор установлена, а, значит, и файл на своем месте!) - на сайте DrWeb и Viruslist.com. Вот результат: DrWeb - noadwareutils.dll - OK и Viruslist - noadwareutils.dll - OK. ОК, подумал я - или не успели обновить вирусную базу, или же у меня действительно "чистый" файл! В других местах проверять было влом, решил подождать немного. И что же! Вчера DrWeb уже радостно сообщил мне, что этот файл - троян (DrWeb - noadwareutils.dll - Trojan.NtRootKit.103)! Не может быть, решил я - что-то тут не так, надо копать!
Что же оказалось? Файл noadwareutils.dll - это обычный keylogger по способу своего внедрения в процессы. Он служит для организации real-time protection в программе NoAdware 4-й версии (в 3-й, возможно, его еще не было), перехватывая в user-mode функции CreateProccessA, CreateProccessW и WinExec. Ничего подозрительно, в общем, вполне нормальный файл. Как же он тогда мог попасть в лаборатории Данилова в трояны? Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103!
В общем, полагаю, это ложная тревога. Для тех, кому интересно самостоятельно посмотреть на файл, я сделал вложение (noadwareutils.zip). Кроме того, можно зайти на сайт программы NoAdware (NoAdware.net) и скачать оттуда триальную 4-ю версию. Кстати, инсталлятор программы подписан цифровой подписью (сами же программные модули - нет), сертификат от VeriSign действителен: noadware.exe certificate. Правда, почему сертификат выдан какой-то "левой" компании - MarketFlip Technologies (не нашел о ней толком ничего, кроме того, что ее домен зарегистрирован на Go Daddy, а сайта нет вообще), и почему не подписаны сами модули - неясно...
И, самое главное - чуть не забыл!Этот файл, noadwareutils.dll, находится в "базе чистых" утилиты AVZ - и именно поэтому утилита не давала в своем отчете информацию о том, что это keylogger!!! Как он туда попал (вполне заслуженно, впрочем!) и когда - это уже вопрос к Олегу Зайцеву.
Последний раз редактировалось aintrust; 14.08.2007 в 22:40.
Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку.Естественно, пересылались только те файлы, которые были присланы, но не совсем без контекста... ссылка на эту тему была включена в письмо.Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103!
на данный момент так:
DrWeb 4.33 03.16.2006 Trojan.NtRootKit.103
Ewido 3.5 03.16.2006 Adware.WebRebates
Нет, я тут другое имел ввиду: не путь (способ) попадания, а "логику" попадания - т.е. что заставило ребят из лаборатории так думать об этом файле!Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку.
Ну, а что еще вы могли сделать в вашей ситуации? Вы-то как раз все сделали правильно - это просто недоработка аналитиков. В данной ситуации невозможно (или затруднительно) было провести анализ "вне контекста", а аналитики, насколько я понимаю, его (контекст) так и не получили - это следует уже хотя бы из того факта, что головной модуль этой программы, NoAdware4.exe, который управляет этой noadwareutils.dll, обеспечивает ее внедрение в процессы и всячески с ней взаимодействует, не попал в трояны (я только что специально это проверил).
Хм...
Последний раз редактировалось aintrust; 16.03.2006 в 13:24.
троянов подписанных цифровой подписью - ВАГОН.
а это уже серьезная заявка. то ли автор один, то ли и правда используется в WebRebates
Возможно и первое, и второе, и даже оба одновременно - кто их там разберет!
PS. Только что обсудили с Олегом Зайцевым ее попадание в базу "чистых" AVZ. Он ее тоже смотрел - ничего подозрительного...
PPS. Заодно и еще одно замечание:
Я статистику по троянам не собираю - для уточнения сейчас спросил у Олега, действительно ли это так? Он говорит, что подписанный троян - большая редкость. Очень часто подписывают adware/spyware - но это и не удивительно, т.к. типа почти "легально"...
Последний раз редактировалось aintrust; 16.03.2006 в 14:30.
Этот файл попал в базы 2006-03-07, т.е. совсем недавно. Я мельком посмотрел его (как обычно - дизассемблер + причие анализаторы), по моему мнению это что-то типа монитора для RealTime защиты. Вот он и попал в базы чистых, я думаю вполне законно. Кстати, в базы одновременно с ним еще один экспонат попал zlbw.dll - библиотека-компрессор. Ее часто детектят антивирусы и антишпионы, т.к. она применяется спам-ботами (но при этом совершенно безопасна)И, самое главное - чуть не забыл!
Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов
Последний раз редактировалось Зайцев Олег; 16.03.2006 в 14:31.
когда я ее разглядывал, я сказал, что добавление или недобавление в базы зависит от того, кто анализирует и насколько он параноидален, т.е. на любителя (на форуме такого не нашел - наверно нетмылом кому-то написал).Возможно и первое, и второе, и даже оба одновременно - кто их там разберет!
пардон, но я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan" - все выполняют не то, что нужно (поэтому так обобщающе выразился). и таких файлов реально полно.
Принципиальные различия, технические и... экономические - есть.я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan"
вот в плане функциональности - есть. а в плане необходимости детектирования - нет.
Насчет необходимости детектирования согласен ;-)
Т.е. вопрос в том, чья это защита - заразы или нет.
На zlbw.dll аналитики дрвеба уже давненько ответили - "это не вирус". Отправлял как-то со спамботом, было.
Вообще они правильно относятся к этим вещам - если файл сам по себе безвреден, то детектировать его не будут. Достаточно сообщить, а лучше отправить. Безвинно задетектированные уберут из баз, без проблем.
Во-во. Хорошо бы с ними разобраться - чьи файлы.Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов
С месяц назад мельком заметил, что некоторые файлы в автозапуске из комплекта заразы помечены зеленым цветом, но дело было уже глубокой ночью и вникать было уже некогда. А потом уже не нашел, на что именно. Давно хочу предложить перепроверить базу чистых, имхо, что-то там все же есть не слишком гуманное.
Если действительно зря детектят - отправь, плиз. Уберут и добавят в свою базу чистых (в тест-лабе).
Адреса, думаю, знаешь - [email protected], веб-форма http://support.drweb.com/sendnew. И там, и там есть учет, придет тикет от RT.
меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят!
Нет, "это не вирус" - четко означает harmless.меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят!
Мне их позиция как раз кажется правильной - если этот софт сам по себе безопасен и лишь используется в составе каких-то троянов - максимум занесут в рискварь. Детектится лишь опасный софт.
Бывают ошибки, конечно, аналитики действительно здорово загружены и не всегда есть время для детального анализа. Но в целом так.
Можно с ними поспорить - лучше для этого занести отдельным запросом, т.к. ответы на уже обработанные тикеты смотрят довольно редко, можно прождать долго. Это неправильно, конечно, но оно есть.
Уважаемый(ая) memorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
