-
Junior Member
- Вес репутации
- 55
Касперский и "Зоркий глаз".
Почему? (здесь стояло другое слово, но оно не прошло модерацию) Примерно этим вопросом я доставал суппорт. Бестолку. Через сутки после выхода новой версии программы exnax.narod.ru/antivir.htm она начинает определяться KAV как троян - вор паролей. Через два дня, после ответа из суппорта, перестаёт определяться. РЕГУЛЯРНО! после каждого обновления. Это уже традиция. Как будто кто-то "стучит", что, мол, так и так, есть программка, больно подозрительная, надо бы ей сигнатурку придумать. Ведь проверяю же, всегда, перед тем как выложить на сайт - ничего нет. И вдруг! Ну что за ерундовина, а?
http://www.virustotal.com/ru/analisi...526-1279302590
Добавлено через 4 минуты
Я даже перестал сжимать exe-шник! Пусть три метра вместо 700 кб, уже всё равно! Последние три раза даже сигнатура ставится одна и та же.
Добавлено через 5 минут
Давно пользуюсь вашим продуктом,нареканий не было.Сегодня при скачивании версии 5,404 Касперский обнаружил троян.Извините,но ему я больше верю.
Спасибо, Женя
Последний раз редактировалось Postscripter; 16.07.2010 в 22:55.
Причина: Ещё эмоции...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Речь не о сжатии, а скорее всего о реагировании на поведение, которое у данной программы мягко говоря весьма странное. Выход из положения прост - или вносить в базу чистых все версии, или как вариант получить ЭЦП в солидной конторе, подписывать ей свои EXE и попросить доверять подписи.
-
-
Junior Member
- Вес репутации
- 55
Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?
Добавлено через 3 минуты
Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!
Добавлено через 2 часа 35 минут
эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)
Последний раз редактировалось Postscripter; 17.07.2010 в 14:06.
Причина: Добавлено
-
Сообщение от
Postscripter
Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?
Добавлено через 3 минуты
Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!
Добавлено через 2 часа 35 минут
эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)
Почему он детектится как Trojan-PSW - не знаю, уточним (если бы EXE задатетитили, это вообще-то детектилось бы как FraudTool.Win32 ... так как это в общем-то не антивирус и от флеш-червей в общем-то совершенно не защищает).
По поведению:
1. зачем основной EXE постоянно самопрописывается в автозапуск пи каждом запуске ?? (CurrentVersion\Run, параметр FlashAntivir). Прописывать "себя любимого" в автозапуск скрытно при каждом запуске присуще вирусам, но никак не легитимным программам, имеющим инсталлятор
2. Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!
Про устройства типа "Нечто неопознаное" и "Китайский ширпотреб (извините)" и "новые клевые альфа-скины" без комментариев
-
-
Junior Member
- Вес репутации
- 55
Почему он детектится как Trojan-PSW
Говорят, что это делает робот. Совпали сигнатуры. Вообще, на 7-м делфи много чего написано, может поэтому?
Антивирусная утилита. И, если сравнивать с аналогичными... ну ладно, молчу)))
от флеш-червей в общем-то совершенно не защищает
вы так думаете? Ну конечно, не от всех... но от маскирующихся точно. exnax.narod.ru/PSdownloads/antivir_testfiles.htm
самопрописывается в автозапуск при каждом запуске
на случай если программа была перемещена, переименована (такое часто бывает). Хотя да, излишне. Сначала следует проверять, а потом уже писать если данные не совпали...
Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!
Мне тоже это место не нравится, но что тут поделаешь - хендлы нужны для передачи в RegisterDeviceNotification, а она в свою очередь - для отлова сообщений о вставке карточки в кард-ридер. Дескрипторы тут же закрываются!
*Да, ещё - при вставке заражённой флешки, после очистки, производится попытка подключить её заново, уже чистую. Тем самым автозапуск стирается из кеша проводника и "процедура лечения не требует обязательной перезагрузки" Но для этого тоже нужен хендл диска.
"уровень опасности" всегда был 100%
В принципе, понятно... Понятно.
А вы видели шкурку "Няяя", на основе alpha skin? Нельзя же быть серьёзным во всём)) Мне предлагали вариант "Кавайненькие шкурочки", но я чего-то не решился
Последний раз редактировалось Postscripter; 17.07.2010 в 15:57.
-
Сообщение от
Postscripter
вы так думаете? Ну конечно, не от всех... но от маскирующихся точно.
exnax.narod.ru/PSdownloads/antivir_testfiles.htm
Я не думаю, я знаю наверняка ... желание "спаси мир" конечно весьма похвально, только нужно сначал выяснить, что такое мир и от чего его нужно спасать (для чего стоит поработать лет 5-10 админом конторы на 1000+ ПК .. или хотя бы пройти стажировку на данном форуме, полечить полгодика в ранге хелпера зараженные ПК и посмотреть на практике, какие есть проблемы и как они решаются). Я например столкнулся с данной тулзой у себя в ЛВС, ее ИТ-шник филила юзерам на несколько ПК поставил - защищаться от вирусов на флешке. Утилиту я заметил в ходе разборки случая заражения "защищенного" ПК дрянью с флешки ... далее было предписание снести ее в 24 часа и писать объяснительную
Добавлено через 8 минут
PS: что до детекта, то аналитики же отписались Вам о том, что детект как Trojan-PSW является фолсой и пофикшен, все оперативно было поправлено и наложена антифолса (основные причины в я указал выше)
Последний раз редактировалось Зайцев Олег; 17.07.2010 в 16:41.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 55
заражения "защищенного" ПК
Забавно)) Наверняка старая версия была? Я за компьютером всего три года, так что сейчас сам бы не поставил себе то что когда-то кодил... Но свежая, та реально находит больше чем аналоги... кроме шуток. Даже вот такое:
Код:
[AUTorUN
;KDkjfajfls.....
open=wscript.exe .\..\123///.jpg
shell\\\\\\\\open\command=cmd /c start "" "RECYCL ER\kog8" & exit
shelLExECUte=RuNdLl32.EXE .\windoascodecsext.dll,AddAtomT
Абсолютно рабочий, между прочим, файл. Корректно обрабатывается только глазом. Поэтому по прочтению придётся его отсюда удалить - вдруг кто увидит))
Ну.. с вирусами я отчасти знаком потому, что специфика нашего интернета не позволяет людям регулярно скачивать базы. Поэтому большинству приходится помогать... за шоколадку) Позавчера, например, вот такой же случай был
http://virusinfo.info/showthread.php?t=83101 , свежий НОД умер, напоследок удалив драйвер ndis (откуда он взялся - не знаю) и порушив интернет. А я после него вытащил штук десять win32.krap.hf/hl из темпа, userini из ADS потока и из system32, Win32.Iksmas.hsv из documents & settings, заменил null.sys (60 кб мне показалось многовато=) ... обошлось без переустановки))
Добавлено через 54 минуты
И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит. Сплошной профит. В америке такое стоит 50$ yandsearch?text=usb+disk+security
Последний раз редактировалось Postscripter; 17.07.2010 в 17:49.
Причина: Добавлено
-
Сообщение от
Postscripter
И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит.
Подобное вредоносное ПО - прошлый век...
-
-
Junior Member
- Вес репутации
- 55
Подобное вредоносное ПО - прошлый век...
А что сейчас практикуется?
-
Сообщение от
Postscripter
А что сейчас практикуется?
Посмотрите заявки в разделе "Помогите!" к примеру
-
-
Junior Member
- Вес репутации
- 55
Вот свежий (пол-года) пример: Worm.Win32.Agent.zx. Время детектирования - 31 окт 2009. Он и на папку похож, и расширение прячет. Такого мусора полно и будет полно только потому, что для изготовления не требуется большого напряжения главной мышцы.
-==Имхо.==-
Посмотрите заявки в разделе "Помогите!" к примеру
так я же говорю сейчас только о флешечных вирусах! А там обсуждаются в основном больные. Всм компы.
Последний раз редактировалось Postscripter; 17.07.2010 в 18:34.
-
Рассматривайте актуальные угрозы
-
-
Junior Member
- Вес репутации
- 55
-
Сообщение от
Venus Doom
Подобное вредоносное ПО - прошлый век...
У меня недавно попалось такое на флешку. При этом один и тот же исполняемый файл замаскировался под несколько папок с именами реальных папок на флешке.
-
Junior Member
- Вес репутации
- 55
Вот он, глас народа! *thumb up*
-
Сообщение от
Postscripter
где ж их взять...
Не знаю. Может Вам повезет в создании другого вида ПО...
-
-
Junior Member
- Вес репутации
- 55
Спасибо, мне и тут неплохо
Добавлено через 10 минут
Только вот некоторые противные личности^W роботы, как мне написали в саппорте, не так недавно уронили статистику загрузок на 40 процентов. И это четвёртый случай.
Последний раз редактировалось Postscripter; 18.07.2010 в 02:31.
Причина: Добавлено