Лидеры форума

(копия записи в моем lj, не редактировал) Вижу, что все время какие-то тесты проводят на "эвристику", пишут про различные NOD'ы, Avira'ы и прочие "поделки", что они такие замечательные, все так отлично ловят. Ну отлично. Меня это уже не в первый раз выводит из себя, когда все эти г-антивирусы с их г-детекторами (здесь приставка "г" не означает generic - хотя это основной вердикт у всего этого сборища торговцев "БАДами") начинают детектировать абсолютно нормальные программы. Собираешь какую-нибудь утилиту или новый продукт, заливаешь на virustotal - найдется сразу же 1-3 г-антивируса, которые детектируют только что собранную программу. Проходит дня 2-3 (это время нужно, чтобы остальные г-антивирусы от virustotal получили "тело" на препарирование и добавили детект, если не детектируется, посмотрев на окружающих - сами-то не знают)... и что же мы видим? Ага, уже не 2-3, а целых 10-15. Итак, смотрим. Продукт в данном случае - HL-DUMP, использует стандартное API от одного средства защиты компании Aladdin. Утилита распространена очень широко, распространена с 2003 года (то есть шесть лет). Файл запакован AsPack (он очень опасен!), UPX (а он так вообще ужасен!). Все, это ключевой момент. Размер - ~34kb. Нет VERSION_INFO. Идеальный trojan dropper для г-эвристических г-антивирусов. Утилита поставляется в исходниках (там же собранный упакованный вариант). Результаты VirusTotal: http://www.virustotal.com/ru/analisis/7f43...17fb-1249216377 (ниже приведена копия таблицы; срез на текущий момент, 02.08.2009 - вдруг оно изменится) 22 из 41 (~54%!) представленных продуктов просто автоматически занесли себя в список "поделок". Теперь внимательно просмотрите этот список и найдите там свой антивирус, которым защищен Ваш компьютер. А потом прочтите на два абзаца ниже. Это НЕ "случайное" ложное срабатывание, это ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ДЕТЕКТИРОВАНИЮ. Работа г-эвристиков по принципу "валим все" - самый лучший способ получить 100% детект. Только он будет даже не 100%-ым, а 1000% (ибо замесили "слегка" лишнего). Самое обидное в этой ситуации, что если всему этому сборищу скормить нормальное тело свеже-сделанного дропера - ни один не пискнет... Заверещат они все постфактум, когда это будет уже совершенно не актуально для реальных пользователей (а не тех, кто проводит тестирование на срезке уже "мертвых" тел). Потому что будет уже совершенно новое, другое АВТОМАТИЧЕСКИ СГЕНЕРИРОВАННОЕ тело. Ну и кому нужны такие продукты? Реальных угроз не детектируют, а нормальным программам "заодно" по шее дают. Кстати, большинство из компаний, выпускающих этот откровенный сброд еще и на письма не реагирует. Либо если реагирует, не убирают детектирование, по причине "у нас так сделано детектирование, оно не будет реагировать только при налиции ЭЦП" (подписи). А может мне еще сертификат качества у них купить надо? Когда же, наконец, на рынке закончится засилье этих торговцев "БАДами", и пользователи ОТРЕГУЛИРУЮТ рынок по качеству, выкинув (банально, не поддерживая) весь этот сброд и мусор. Те, кто оказался в этом списке -- вам стыдно должно быть за качество ваших "изделий". Для вас у меня есть лишь одно пожелание: чтобы вы захлебнулись в потоке различной (хорошей) автоматически генерируемой малвари, на которой все ваши г-детекторы запутаются и просто не смогут отличать уже более распространенные нормальные продукты от новых тел. Уважаемые торговцы БАДами, расскажите вот теперь рецепт, как одному пользователю, запустить данную утилиту. Нет, даже не запустить. СКАЧАТЬ! (Потому что она "блокируется" на момент скачивания). У него в компании установлен NOD, нет административных прав и, соответственно, нельзя даже занести в список игнорирования (при этом не запрещено скачивание и запуск нужных в работе приложений из интернета). Ответ могу подсказать: попросить админа снести NOD. Раньше было "не умеешь делать - иди учить", теперь предлагаю это слегка заменить: "ничего не знаешь и не умеешь - иди делать антивирус" (желательно - облачный, это модно!). (В этом плане особенно порадовол Гомодо с его "unclassified malware"). Для тех кто хочет поучаствовать в программе "смерть БАД-антивирусам" -- делайте дроперы размером ~500kb (+/- 100kb, случайные), не пакуйте их (есть другие способы сделать так, чтобы код не детектировали, не обфусцируйте по-тупому, обязательно делайте VERSION_INFO, причем лучше - рандомный и от реальных программ -- желательно от антивирусов даже, смешнее будет; покупайте на левые LTD сертификаты у того же гомодо и подписывайте вашу малварь - это в целом копейки - пусть NOD получит то, что он так жаждет). Пусть "побалансируют" слегка свои г-эвристики. Всяческая перепечатка и копирование приветствуются. С БАД-антивирусами можно бороться только публично и только силами пользователей. Файл hl-dump.exe получен 2009.08.02 12:32:57 (UTC) Антивирус | Версия | Обновление | Результат a-squared | 4.5.0.24 | 2009.08.02 | Trojan-Dropper!IK AhnLab-V3 | 5.0.0.2 | 2009.08.01 | Win-Trojan/Xema.variant AntiVir | 7.9.0.238 | 2009.07.31 | - Antiy-AVL | 2.0.3.7 | 2009.07.31 | - Authentium | 5.1.2.4 | 2009.08.01 | W32/Threat-HLLAU-based!Maximus Avast | 4.8.1335.0 | 2009.08.01 | Win32:Trojan-gen {Other} AVG | 8.5.0.406 | 2009.08.02 | Suspicion: unknown virus BitDefender | 7.2 | 2009.08.02 | Trojan.Generic.427724 CAT-QuickHeal | 10.00 | 2009.07.30 | - ClamAV | 0.94.1 | 2009.08.02 | - Comodo | 1838 | 2009.08.02 | UnclassifiedMalware DrWeb | 5.0.0.12182 | 2009.08.02 | - eSafe | 7.0.17.0 | 2009.07.30 | Suspicious File eTrust-Vet | 31.6.6650 | 2009.08.01 | - F-Prot | 4.4.4.56 | 2009.08.02 | W32/Threat-HLLAU-based!Maximus F-Secure | 8.0.14470.0 | 2009.08.01 | - Fortinet | 3.120.0.0 | 2009.08.02 | - GData | 19 | 2009.08.02 | Trojan.Generic.427724 Ikarus | T3.1.1.64.0 | 2009.08.02 | Trojan-Dropper Jiangmin | 11.0.800 | 2009.08.02 | - K7AntiVirus | 7.10.808 | 2009.08.01 | Trojan-Dropper.Win32.Small Kaspersky | 7.0.0.125 | 2009.08.02 | - McAfee | 5695 | 2009.08.01 | Generic.dx McAfee+Artemis | 5695 | 2009.08.01 | Generic.dx McAfee-GW-Edition | 6.8.5 | 2009.08.02 | - Microsoft | 1.4903 | 2009.08.02 | - NOD32 | 4298 | 2009.08.02 | probably a variant of Win32/Agent Norman | 6.01.09 | 2009.07.31 | W32/Smalldrp.TGC nProtect | 2009.1.8.0 | 2009.08.02 | - Panda | 10.0.0.14 | 2009.08.02 | Generic Trojan PCTools | 4.4.2.0 | 2009.08.02 | - Prevx | 3.0 | 2009.08.02 | Medium Risk Malware Rising | 21.40.62.00 | 2009.08.02 | - Sophos | 4.44.0 | 2009.08.02 | Sus/UnkPacker Sunbelt | 3.2.1858.2 | 2009.08.02 | Bulk Trojan Symantec | 1.4.4.12 | 2009.08.02 | Trojan Horse TheHacker | 6.3.4.3.375 | 2009.08.01 | - TrendMicro | 8.950.0.1094 | 2009.07.31 | PAK_Generic.001 VBA32 | 3.12.10.9 | 2009.08.02 | - ViRobot | 2009.7.31.1863 | 2009.07.31 | - VirusBuster | 4.6.5.0 | 2009.07.31 | - Дополнительная информация File size: 33792 bytes MD5...: 412aaada3524d8226f3fdd943fb087f3 SHA1..: 64d1f2e118640b1368064198655c6cb11eb5d1ec SHA256: 7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb ssdeep: 768:FfrMBXAiDAFYtdiYdjS8jfv1s7zyBZrtIVx8HaDS0+s5Hrc4EtRp:FfrOtaY aQ26fd8mBZrtGxEXgO4 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x16c90 timedatestamp.....: 0x44757096 (Thu May 25 08:53:42 2006) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xf000 0x8000 0x7e00 7.75 12677231f3c495ba4968f460910b29fc UPX2 0x17000 0x1000 0x200 1.38 ea5c908edeacae39dc1616f200aa4a7e ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > hlvdd.dll: - ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - packers (Kaspersky): UPX, ASPack Prevx info: http://info.prevx.com/aboutprogramtext.asp...05F11006D1A0F5E packers (F-Prot): UPX, Aspack packers (Authentium): UPX, Aspack P.S. К чести Avira, в данном случае не детектирует. Но, вполне допускаю, что просто "тела" не было у них раньше. Потому что Avira уж славится все подряд детектировать как XCRYPT (собственно, запаковано).

Посмотрел новую бетку RegOrganizer 5.0 - чесслово jv16 при всем его потенциале проигрывает ей. Давно перебираю подобные программы , имхо новый RegOrg самый удачный вариант. Есть русский язык.

Мда обидно за портал становится=(

Вы правда верите в то, к чему призываете ? Реальный мир давно уже не такой. И ЕДИНСТВЕННАЯ ЗАДАЧА антивирусов - защищать СВОИХ клиентов. Как и какими методами - это проблемы исключительно антивирусной компании и больше ничьи. И если клиентов устраивает - все прочие могут совершенно официально идти найух. http://www.kaspersky.ru/news?id=207733014 "По роду производимого ею ПО «Лаборатория Касперского» в качестве «доброго самаритянина» имеет право на иммунитет (Good Samaritan immunity) от судебного преследования". Данное решение защищает право потребителя самостоятельно решать, какую информацию и программные продукты он использует на своем компьютере, а также право компаний-поставщиков антивирусного ПО определять и классифицировать некоторые программы как потенциально нежелательные и опасные для пользователей. " Вот ЭТО и дает право всяким там авирам и прочим недо-антивирусам детектировать пакеры, двойные расширения и все что угодно. А знаете почему антивирусные компании делают это ? Да потому что их вынудили - производители тех же адвар, которые то ли легальные, то ли непойми что. Их вынудили - создатели фейковых антивирусов, которые вроде и не трояны, но детектить тоже надо. Их вынудили изготовители "чистяков по два вебмани". Их вынудили создатели всяких авчек.ру - и многое-многое другое дерьмо, что выросло вокруг малвары и в последние годы. Я уже сказал, что каждый пожинает плоды трудов своих. И вы - и они.

Поступила дополнительная информация от VMProtect: ESET и с ЭЦП, оказывается, соврал (вначале врал, что будет ручками добавлять файлы в ignore, а реально в ignore добавлял тех, кто письма писал ). Так вот: при наличии ЭЦП может так же продолжать ругаться, до тех пор, пока в файле нет VERSION_INFO. AVG: ругается на файлы, пока секцию ".vmp" не заменить, например, на ".UPX" Avira: http://forum.avira.com/wbb/index.php?page=...;threadID=87679 Гениальнейшая эвристика!

Это тот самый подход, о котором я говорю. Рассуждения на уровне: "Много людей пользуются мизинцами? Давайте их отрезать при рождении!". У меня - много. И я не один такой. UPX - один из популярнейших упаковщиков под Windows (да и не только под Windows, к слову о). В первую очередь, из-за того, что поставляется с исходниками и был одним из первых. Но еще раз повторю - это ровным счетом не имеет никакого значения. Просто никто из таких недо-компаний не хочет брать на себя ответственность за то, что они творят. По банальной причине: никто им в тык не дал, и дать пока, к сожалению, не может. Но несколько судебных решений исправили бы эту ситуацию. Дали бы хоть какую-то возможность потребителям (а главное - разработчикам) защищать их права. К сожалению, как можно было уже заметить даже по этому топику, есть достаточно большое число "фанатов". И именно эти фанаты и держат в тонусе потребление данных продуктов. А вот то, что я за последний год только и занимаюсь, что перед выкладыванием новых версий различных программ, сканирую их через virustotal и рассылаю пачки "спама" различным vendor'ам, чтобы убрали "детектирование" - это никого не волнует. И не я один такой. Могу целый список дать тех, кому я постоянно шлю (AVG, Avira, Avast, ESET NOD, McAfee -- эти наиболее часто) и несколько других. Могу дать список тех, кому вообще бесполезно писать - либо они вообще игнорируют письма, либо ничего не делают (Sophos, TrendMicro, еще какие-то -- на другом компьютере могу посмотреть). Могу сказать список самых бОрзых от безнаказанности, которым просто наплевать на все и вся, кроме популяризации своего продукта и получаемых с этого денег -- ESET NOD (выше уже описывалось про их шантаж с ЭЦП и молчаливые отказы добавить в список игнорирования по хэшам). Это принципиальные позиции компаний. К сожалению, мир не совершенен. И так же как куча различных "лопухов" лечится у колдунов и прочих знахарей (я имею в виду от обычных болезней, в обычной жизни), так же большое число обычных людей (которые не могут оценить качество продукта, кроме как по различным пресс-релизам, пиар-материалам и тестам, которые слишком несовершенны) -- используют вот такие, уж простите, "БАДы". P.S. Кстати, McAfee как антивирус так же серьезный игрок (именно в подходе). Но в последнее время сдулся своими криками на все и вся. А еще больше это стало заметно после их Artemis и купленного washer'а. Самое "смешное", когда из-за вот таких "антивирусов" не попасть на download.com. Потому что... Правильно! Все детектируют, как malware... Кстати, это невнимательно прочитал. К сожалению, если "за последние несколько месяцев" означает 1-3 месяца, то я ничего сказать не могу, ни за, ни против. В этот период занимался иными вещами, не могу судить.

Тестирование встроенной защиты Windows 7 набором тестов ”Elementary PDM tests” Методология: физическая машина, Windows 7 Максимальная (7600 ru), встроенная учётная запись с включенными UAC и Windows Defender. Результаты: Тест 0 – пройден Тест 1 – пройден Тест 2 – пройден Тест 3 – пройден Тест 4 – пройден Тест 4а – пройден Тест 4б – пройден Тест 4в – пройден Тест 5 – пройден (ошибка записи файла hosts) Тест 6 – провален Тест 7 – провален Тест 7а – провален Тест 8 – пройден Тест 9 – провален Тест 10 – пройден Тест 11 – пройден Тест 12 – пройден Тест 13 – пройден Тест 14 – провален Тест 15 – провален Тест 16 – пройден Тест 17 – пройден Тест 18 – провален (доступ к папке заблокирован)

Ну вот, прошел год... И КИС 2009, которого на момент выхода хаяли за неудобоваримось, непонятность, странность, тормознутость и т.д. потихоньку становится эталоном.. Рискну предположить, что еще через год про КИС7 никто особо и вспоминать не станет. А еще через год начнут появляться конкуренты, где сетевой экран станет частью ХИПСа, что вполне разумно и правильно. И было нами реализовано год назад

У Вас устаревшая информация. У VMP налажен контакт и с DrWEB, и с ЛК. И там все отлично. А вот другим производителям AV это не нужно. Монетки и так приятно звенят.