Показано с 1 по 17 из 17.

Касперский и "Зоркий глаз".

  1. #1
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53

    Касперский и "Зоркий глаз".

    Почему? (здесь стояло другое слово, но оно не прошло модерацию) Примерно этим вопросом я доставал суппорт. Бестолку. Через сутки после выхода новой версии программы exnax.narod.ru/antivir.htm она начинает определяться KAV как троян - вор паролей. Через два дня, после ответа из суппорта, перестаёт определяться. РЕГУЛЯРНО! после каждого обновления. Это уже традиция. Как будто кто-то "стучит", что, мол, так и так, есть программка, больно подозрительная, надо бы ей сигнатурку придумать. Ведь проверяю же, всегда, перед тем как выложить на сайт - ничего нет. И вдруг! Ну что за ерундовина, а?

    http://www.virustotal.com/ru/analisi...526-1279302590

    Добавлено через 4 минуты

    Я даже перестал сжимать exe-шник! Пусть три метра вместо 700 кб, уже всё равно! Последние три раза даже сигнатура ставится одна и та же.

    Добавлено через 5 минут

    Давно пользуюсь вашим продуктом,нареканий не было.Сегодня при скачивании версии 5,404 Касперский обнаружил троян.Извините,но ему я больше верю.
    Спасибо, Женя
    Последний раз редактировалось Postscripter; 16.07.2010 в 22:55. Причина: Ещё эмоции...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Речь не о сжатии, а скорее всего о реагировании на поведение, которое у данной программы мягко говоря весьма странное. Выход из положения прост - или вносить в базу чистых все версии, или как вариант получить ЭЦП в солидной конторе, подписывать ей свои EXE и попросить доверять подписи.

  4. #3
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?

    Добавлено через 3 минуты

    Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!

    Добавлено через 2 часа 35 минут

    эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)
    Последний раз редактировалось Postscripter; 17.07.2010 в 14:06. Причина: Добавлено

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от Postscripter Посмотреть сообщение
    Это не повод называть его вором паролей, имхо. Почему он начинает реагировать только через сутки?

    Добавлено через 3 минуты

    Да, "уровень опасности" всегда был 100% (почему?), но ведь это тянет максимум на предупреждение. А тут - определённая сигнатура. Которая появляется как только программа попадает в сеть!

    Добавлено через 2 часа 35 минут

    эцп это неверное дорого... Да и спасет ли от нападок? Если некоторые даже системные файлы типа svchosts за вирусы считают. А у них подпись наверняка покруче чем у любой конторы :-)
    Почему он детектится как Trojan-PSW - не знаю, уточним (если бы EXE задатетитили, это вообще-то детектилось бы как FraudTool.Win32 ... так как это в общем-то не антивирус и от флеш-червей в общем-то совершенно не защищает).
    По поведению:
    1. зачем основной EXE постоянно самопрописывается в автозапуск пи каждом запуске ?? (CurrentVersion\Run, параметр FlashAntivir). Прописывать "себя любимого" в автозапуск скрытно при каждом запуске присуще вирусам, но никак не легитимным программам, имеющим инсталлятор
    2. Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!
    Про устройства типа "Нечто неопознаное" и "Китайский ширпотреб (извините)" и "новые клевые альфа-скины" без комментариев

  6. #5
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Почему он детектится как Trojan-PSW
    Говорят, что это делает робот. Совпали сигнатуры. Вообще, на 7-м делфи много чего написано, может поэтому?


    в общем-то не антивирус
    Антивирусная утилита. И, если сравнивать с аналогичными... ну ладно, молчу)))

    от флеш-червей в общем-то совершенно не защищает
    вы так думаете? Ну конечно, не от всех... но от маскирующихся точно. exnax.narod.ru/PSdownloads/antivir_testfiles.htm

    самопрописывается в автозапуск при каждом запуске
    на случай если программа была перемещена, переименована (такое часто бывает). Хотя да, излишне. Сначала следует проверять, а потом уже писать если данные не совпали...


    Лобовое открытие дисков в цикле по маске \\.\PhysicalDrive0 ... \\.\PhysicalDrive30 ?!
    Мне тоже это место не нравится, но что тут поделаешь - хендлы нужны для передачи в RegisterDeviceNotification, а она в свою очередь - для отлова сообщений о вставке карточки в кард-ридер. Дескрипторы тут же закрываются!
    *Да, ещё - при вставке заражённой флешки, после очистки, производится попытка подключить её заново, уже чистую. Тем самым автозапуск стирается из кеша проводника и "процедура лечения не требует обязательной перезагрузки" Но для этого тоже нужен хендл диска.

    "уровень опасности" всегда был 100%
    В принципе, понятно... Понятно.

    новые клевые альфа-скины
    А вы видели шкурку "Няяя", на основе alpha skin? Нельзя же быть серьёзным во всём)) Мне предлагали вариант "Кавайненькие шкурочки", но я чего-то не решился
    Последний раз редактировалось Postscripter; 17.07.2010 в 15:57.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3411
    Цитата Сообщение от Postscripter Посмотреть сообщение
    вы так думаете? Ну конечно, не от всех... но от маскирующихся точно. exnax.narod.ru/PSdownloads/antivir_testfiles.htm
    Я не думаю, я знаю наверняка ... желание "спаси мир" конечно весьма похвально, только нужно сначал выяснить, что такое мир и от чего его нужно спасать (для чего стоит поработать лет 5-10 админом конторы на 1000+ ПК .. или хотя бы пройти стажировку на данном форуме, полечить полгодика в ранге хелпера зараженные ПК и посмотреть на практике, какие есть проблемы и как они решаются). Я например столкнулся с данной тулзой у себя в ЛВС, ее ИТ-шник филила юзерам на несколько ПК поставил - защищаться от вирусов на флешке. Утилиту я заметил в ходе разборки случая заражения "защищенного" ПК дрянью с флешки ... далее было предписание снести ее в 24 часа и писать объяснительную

    Добавлено через 8 минут

    PS: что до детекта, то аналитики же отписались Вам о том, что детект как Trojan-PSW является фолсой и пофикшен, все оперативно было поправлено и наложена антифолса (основные причины в я указал выше)
    Последний раз редактировалось Зайцев Олег; 17.07.2010 в 16:41. Причина: Добавлено

  8. #7
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    заражения "защищенного" ПК
    Забавно)) Наверняка старая версия была? Я за компьютером всего три года, так что сейчас сам бы не поставил себе то что когда-то кодил... Но свежая, та реально находит больше чем аналоги... кроме шуток. Даже вот такое:

    Код:
    [AUTorUN
    ;KDkjfajfls.....
    open=wscript.exe .\..\123///.jpg
    shell\\\\\\\\open\command=cmd /c start "" "RECYCL    ER\kog8" & exit
    shelLExECUte=RuNdLl32.EXE .\windoascodecsext.dll,AddAtomT
    Абсолютно рабочий, между прочим, файл. Корректно обрабатывается только глазом. Поэтому по прочтению придётся его отсюда удалить - вдруг кто увидит))



    Ну.. с вирусами я отчасти знаком потому, что специфика нашего интернета не позволяет людям регулярно скачивать базы. Поэтому большинству приходится помогать... за шоколадку) Позавчера, например, вот такой же случай был
    http://virusinfo.info/showthread.php?t=83101 , свежий НОД умер, напоследок удалив драйвер ndis (откуда он взялся - не знаю) и порушив интернет. А я после него вытащил штук десять win32.krap.hf/hl из темпа, userini из ADS потока и из system32, Win32.Iksmas.hsv из documents & settings, заменил null.sys (60 кб мне показалось многовато=) ... обошлось без переустановки))



    Добавлено через 54 минуты

    И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит. Сплошной профит. В америке такое стоит 50$ yandsearch?text=usb+disk+security
    Последний раз редактировалось Postscripter; 17.07.2010 в 17:49. Причина: Добавлено

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от Postscripter Посмотреть сообщение
    И всё-таки, вирусы, маскирующиеся под папку она ловит на ура. Вирусы невидимые, но ставящие на себя привлекательный ярлык с безобидным значом тоже ловит. Двойное расширение находит. Расширение, скрытое за цепочкой пробелов находит.
    Подобное вредоносное ПО - прошлый век...

  10. #9
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Подобное вредоносное ПО - прошлый век...
    А что сейчас практикуется?

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от Postscripter Посмотреть сообщение
    А что сейчас практикуется?
    Посмотрите заявки в разделе "Помогите!" к примеру

  12. #11
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Вот свежий (пол-года) пример: Worm.Win32.Agent.zx. Время детектирования - 31 окт 2009. Он и на папку похож, и расширение прячет. Такого мусора полно и будет полно только потому, что для изготовления не требуется большого напряжения главной мышцы.

    -==Имхо.==-



    Посмотрите заявки в разделе "Помогите!" к примеру
    так я же говорю сейчас только о флешечных вирусах! А там обсуждаются в основном больные. Всм компы.
    Последний раз редактировалось Postscripter; 17.07.2010 в 18:34.

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Рассматривайте актуальные угрозы

  14. #13
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    где ж их взять...

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.07.2008
    Сообщений
    57
    Вес репутации
    79
    Цитата Сообщение от Venus Doom Посмотреть сообщение
    Подобное вредоносное ПО - прошлый век...
    У меня недавно попалось такое на флешку. При этом один и тот же исполняемый файл замаскировался под несколько папок с именами реальных папок на флешке.

  16. #15
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Вот он, глас народа! *thumb up*

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от Postscripter Посмотреть сообщение
    где ж их взять...
    Не знаю. Может Вам повезет в создании другого вида ПО...

  18. #17
    Junior Member Репутация Репутация
    Регистрация
    26.02.2010
    Сообщений
    55
    Вес репутации
    53
    Спасибо, мне и тут неплохо

    Добавлено через 10 минут

    Только вот некоторые противные личности^W роботы, как мне написали в саппорте, не так недавно уронили статистику загрузок на 40 процентов. И это четвёртый случай.
    Последний раз редактировалось Postscripter; 18.07.2010 в 02:31. Причина: Добавлено

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  2. Ответов: 5
    Последнее сообщение: 26.04.2010, 22:18
  3. Ответов: 6
    Последнее сообщение: 14.08.2009, 10:45
  4. Ответов: 3
    Последнее сообщение: 22.02.2009, 09:42
  5. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:39

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00912 seconds with 19 queries