Перейти к содержанию
Anmawe

Каким антивирусам можно верить ?

Recommended Posts

Anmawe

https://www.virustotal.com/ru/file/1c25b23b...4ec34/analysis/

У антивирусов разный результат. У кого-то ничего нет, у кого-то Backdoor , Riskware, Trojan, HackTool, Trojan.Encoder , not-a-virus , Generic Trojan .

Что там на самом деле - безобидный кейген, или Backdoor , а может Trojan.Encoder ? Кому поверить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

без всяких поисков в инете можно по одному только отчету на ВТ сказать, что это кряк, а не энкодер или винлок.

а верить нужно симантеку, разумеется...:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

что это кряк, а не энкодер или винлок

Откуда такая уверенность ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

HackTool там только в контексте Keygen и с определением кейген, там согласны больше половины антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. большинство аверов сходятся во мнении, что это кейген/хактул (одно и тоже)

2. файл первый раз залит был оочень давно, а детекта от каспера нет до сих пор, хотя этот файл мегапопулярен и не мог выпасть из поля зрения (видно что 25 раз как минимум его заливали)

3. самый изящный аргумент: его как нот-а-вирус детектит икарус, а он берет детекты у каспера, значит у каспера был такой детект когда-то, но файл настолько хороший, что даже этот детект они удалили...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

+ надо помнить, что у многих вендоров на virustotal включен параноидальный режим, и они всё что не белое по их облаку могут например метить как подозрительное с невразумительными вердиктами. при этом на тот же самый файл на пользовательских машинах никакого возбуждения не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

к своему предыдущему сообщению хочу добавить, что третий пункт лишь предположение с некоей долей вероятности...

DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

http://whitelisting.kaspersky.com/advisor-...3ca71aa0ca78248 реально популярный файлик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

2 раздачи

http://rutracker.org/forum/viewtopic.php?t=3684709

http://rutracker.org/forum/viewtopic.php?t=3613287 .

Касперский в обеих раздачах находит троянскую программу Trojan.Win32.Chifrax.a , эвристический анализ выключен . Nod находит потенциально опасную программу Hacktool . Разный вердикт на один и тот же файл. Авира тоже находит троян. Другие антивирусы (Avast, Comodo, Microsoft, AVG, Dr Web) ничего не обнаружили .

Неужели Касперский и Авира ошибаются и там нет трояна ? Максимум, что там может быть - Hacktool ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

f428350687.jpg

вообще то это первый запрос, за последние сутки, в чём может быть проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

+1 у меня тоже самое ;).

А также капчу можно было бы поставить более разборчивую.

05780789ea4e.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Рекапча же. Я так понимаю, это запросы с одноо IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Рекапча же. Я так понимаю, это запросы с одноо IP.

дык это понятно и моему коту, но каким образом, если я один раз обратился к этому ресурсу, ip у меня белый, если что)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> Неужели Касперский и Авира ошибаются и там нет трояна ?

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DrGolova

> DrGolova, имеешь в виду, что у некоторых там в конфиге прописан максимальный уровень эвристики или там реально некоторые детектят почти все подряд?

Что у них там прописано мне не ведомо, но похоже, что я наврал - не могу воспроизвести прошлогодний опыт. Тогда реально несколько вендоров детектили все подряд свежескомпиленые файлы как suspicious.

Толи что-то поменялось, толи тогда что-то было сломано, но сейчас получаются только обычные сигнатурные фалсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ip у меня белый, если что

От с того и стоило начинать :) Тогда не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Anmawe вы так сюда из-за каждого файла будете бегать спрашивать ?

По сабжу видно же по детектам, что ругаются на пакер - Packed.VMProtect

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
theon

ну верить антивирусу или нет, можно понять только после того, как сам долго юзаешь. сам могу посоветовать из бесплатных - они все приблизительно одинаковые, но если хочешь что-то понадежней, то покупай mcafe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Зачем покупать McAfee. Его и так бесплатно на пол года на каждом углу раздают (причём официально)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
gerome

это если подфартит, а вы ж знаете когда срачка-гарячка? Новый девайс сразу хочется под себя сделать: все поставить красивенько, пленочки-приложения, забить сразу всю карту памяти)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Посты про разные ответы от вирлабов и обсуждение идеи личного вирусного аналитика выделены в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=26304

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

http://www.anti-malware.ru/forum/index.php...st&p=171256

Цитата

Конкретно в этом случае ошибаются.

Вместо трояна там есть до безобразия модифицированный самораспаковывающийся RAR архив с перебитыми сигнатурами/русурсами пожатый сверху модифицированным UPX'ом.

Обычно так тщательно сбивают распаковку для распространения вовсе не ломаных игрушек =)

( http://rutracker.org/forum/viewtopic.php?t=3613287 )

Из вирлаба касперского такое письмо пришло

Hello,

My apologies in the delay for getting back to you.

It turns out that this detection is correct. It is using an infected installer. We will not fix the detection.

Sincerely yours,

Paul Ambroso,

Junior Malware analyst.

_____________________

Kaspersky Lab

Bellevue, USA

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В комментах доверяют файликоу .NFO и рекомендации выключить антивирус, но не доверяют антивирусу. Ну ладушки. Шифровальщики и до них дойдут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×