Чем чреваты тесты Anti-Malware.ru и VirusTotal

[Зайцев Олег 402]

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>:

  Цитата

Hello,

We have been made aware that the domain name 'z-oleg.com' registered under you is involved in spreading malware. Any domain names involved in any such activity, is strictly against Registrar PublicDomainRegistry.com's AUP.

Malicious Url/url's :

z-oleg.com/leaktest.exe

We have currently Suspended this domain name due to such abuse.

Regards,

PDR Abuse Desk.

Ticket ID: 22871

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ... Когда я проверил файл на VT - http://www.virustotal.com/file-scan/report...c985-1311523883 - то был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*, содержимое этого EXE:

CODE:00407DC8                 push    ebpCODE:00407DC9                 mov     ebp, espCODE:00407DCB                 add     esp, 0FFFFFFF0hCODE:00407DCE                 mov     eax, ds:off_4083A8CODE:00407DD3                 mov     byte ptr [eax], 1CODE:00407DD6                 mov     eax, offset dword_407D68CODE:00407DDB                 call    @Sysinit@@InitExe$qqrpv; Sysinit::__linkproc__ InitExe(void *)CODE:00407DE0                 push    0CODE:00407DE2                 push    offset aVirusDemoStubF; "Virus demo stub for AV test !"CODE:00407DE7                 push    offset aHelloThisIsDem; "Hello, this is demo file !!"CODE:00407DEC                 push    0CODE:00407DEE                 call    MessageBoxA_0CODE:00407DF3                 call    @System@@Halt0$qqrv; System::__linkproc__ Halt0(void)CODE:00407DF3; ---------------------------------------------------------------------------CODE:00407DF8 aVirusDemoStubF db 'Virus demo stub for AV test !',0CODE:00407DF8                                ; DATA XREF: CODE:00407DE2oCODE:00407E16                 align 4CODE:00407E18 aHelloThisIsDem db 'Hello, this is demo file !!',0; DATA XREF: CODE:00407DE7oCODE:00407E34                 align 200hCODE:00407E34 CODE            ends

Вот так вот я пострадал за тесты Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

[x-sis 10]

Ничего страшного, бывает со всеми, можно обратиться к администрации.

[Зайцев Олег 402]

  x-sis сказал:

Ничего страшного, бывает со всеми, можно обратиться к администрации.

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего

[x-sis 10]

  Зайцев Олег сказал:

Агаве я уже два раза объяснял то, что это за файл и откуда ... интересно другое - такое количество детектов совершенной пустышки. Она же ничем не упакована, не содержит ни одного опасного вызова, и не делает ровным счетом ничего

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

[Dmitriy K 603]

  Цитата

Ничего страшного, бывает со всеми, можно обратиться к администрации.

  x-sis сказал:

Это что - то вроде EICARа?

Да, детект ложный явно, ладно, где в детекте слово "Test", а там где просто троян, удивляет.

x-sis, может быть на сегодня facepalm'ов хватит?

  Цитата

ладно, где в детекте слово "Test"

Образец отсылал лично (было срабатывание trojan.avtest.a или подобное) с пометкой ложное срабатывание. И, о чудо, его (детект) убрали.

[x-sis 10]

  Dmitriy K сказал:

Я просто спросил, что вам опять не так?

[ALEX(XX) 60]

Один коммент на ВТ жжот )

[Wordmonger 35]

Напиши пост на корпоративный блог "ЛК" со скриншотами точки входа и результатов VT.

И убери слово "Virus". :-)

[Dmitriy K 603]

Когда AM забанят?

[Danilka 678]

Эммм, что то тут плохая тенденция - это так если каждый Фейк АВ задетектит что то на каком либо сайте, то его забанят? Вообще трындец...

[priv8v 960]

  ALEX(XX) сказал:

Один коммент на ВТ жжот )

ALEX(XX), привет!!!

по-моему, не один коммент, а минимум три ))))

  Зайцев Олег сказал:

Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит

Олег, а почему именно битрикс, кстати? (если я правильно понял)

  Зайцев Олег сказал:

в ответ тишина

но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

[Виталий Я. 859]

  Зайцев Олег сказал:

Сегодня мне пришло два письма - от саппорта agava.ru (с данными о том, что мой домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk <abuse@publicdomainregistry.com>

Вот так вот я пострадал за тесты Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.

Agava.ru легко ответит на пост через Roem.ru

[Зайцев Олег 402]

  priv8v сказал:

1. Олег, а почему именно битрикс, кстати? (если я правильно понял)

2. но у меня сайт нормально отображается в браузере...

PS:

какой на сегодняшний день трафф с сайта и сколько выходит за него платить (если не секрет, конечно)?

(когда-то давно этот вопрос поднимался на ВИ, но вроде без таких подробностей)

1. да, там Битрикс. Все просто: случилоcь так, что я хорошо знаю его, приходилось сталкиваться и даже лекции довелось по нему вести. Система простая, довольно функциональная - поэтому когда я решил создать сайт, то купил себе битрикса и соорудил сайт за два вечера (причем мегадизайн сайта - это демо-пример Битрикса, немного доточенный - ибо дизайнер из меня нулевой ...).

2. не секрет, точно не помню - порядка 250$ в год сам хостинг, плюс за Битрикс примерно 250$, плюс домен и всякая прочая ерунда. AVZ сам по себе дублирован на зеркалах ЛК, так что трафик сайта не сильно большой - за июль например 17 миллионов обращений, порядка 5 терабайт трафика... (но он и у меня лежит - иногда помогает, когда малварь блокирует зеркала ЛК, равно как наоборот). Я бы давно поставил свой сервер на площадке у знакомых провайдеров, лишний сервер есть - но сила инерции и лени велика ...

PS: у меня домен стал отвечать (до этого пинг говорил, что не может определить IP - т.е. явная блокировка домена в DNS)

[Зайцев Олег 402]

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

  Цитата

Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее

время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл

http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно

модифицированный Win32/Agent.BCUVJHQ троянская программа соединение

прервано - изолирован Обнаружена угроза при попытке доступа в Интернет

следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Т.е. они проверяют файлы NOD32

[Danilka 678]

  Зайцев Олег сказал:

Т.е. они проверяют файлы NOD32

Молодцы они....

[Deja_Vu 366]

  Зайцев Олег сказал:

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

Т.е. они проверяют файлы NOD32

Класс... счас наберу упаковщиков и запакую ими notepad.exe

пускай блочат мой акк 8-)

p.s.

держите в курсе развития событий - очень интересно -))

[RuJN 21]

Скорее всего кто-то им настучал. Много лет работало и ничего было.

[RuJN 21]

@Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина.@

Я отправил файл исету как фолс, а в агава написал, что вы сделали с клиентом и ссылка на эту тему. Посмотрим.

[RuJN 21]

Вот ответ Агавы (исет молчат)

On Суб. Авг. 06 13:43:39 2011, siz wrote:

Здравствуйте. Почитайте тут, что вы сделали с

клиентом:?http://www.anti-malware.ru/forum/index.php?showtopic=19043&st=0

Исправьте, пожалуйста, ситуацию

--

Здравствуйте.

В настоящее время мы решаем возникшую ситуацию, как только она будет

решена доменное имя возобновит работу.

С уважением, Тератьев Илья

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Служба поддержки хостинга AGAVA

http://hosting.agava.ru/ --

[VictorVG 10]

Ну, не удивительно. Они в репертуаре. Меня они давно заблокировали под предлогом "Партнёры попросили". Хотя и с иной формулировкой - "Распространение переводов и ПО против которых возражают патентообладатели". Просто, ясно и понятно.

[Зайцев Олег 402]

Мне только что ответили:

  Цитата

Здравствуйте!

Приносим извинения за доставленные неудобства.

К сожалению, сотрудники, имеющие доступ к управлению Вашим доменом

работают только в будни.

Всего доброго.

--

С уважением, Полянский Николай

Менеджер по работе с клиентами

E-mail: support@agava.com

Многоканальные телефоны:

+7 (495) 781-65-37

+7 (800) 333-65-37

Вот такой вот цирк ...

[RuJN 21]

А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

[Зайцев Олег 402]

  RuJN сказал:

А тогда почему сайт http://www.z-olegcom.57.com1.ru/leaktest.exe работает?

Это доменное имя для инженерных целей. В остальном беда в том, что блокировка домена убила не только сайт, но и почту

[priv8v 960]

а почему агава? почему не nic.ru/reg.ru и т.д???

[RuJN 21]

  priv8v сказал:

а почему агава? почему не nic.ru/reg.ru и т.д???

эти хостинги не надежны, но почему из надежных именно агава, вопрос остается.

Вас только забанили или к тому же все стерли?