Перейти к содержанию
Danilka

Антивирусы и кряки,кейгены.

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Отвечаю как сотрудник вирлаба ЛК.

Reg-файл задетектил как троян неопытный дятел в январе, для кряков/кейгенов к нашим продуктам у нас есть семейство HackTool.*.Kiser - завтра с утра буду на работе и переименую детект.

Позиция ЛК: детектим кейгены/кряки только к нашим продуктам.

  • Upvote 35

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Отвечаю как сотрудник вирлаба ЛК.

Reg-файл задетектил как троян неопытный дятел в январе, для кряков/кейгенов к нашим продуктам у нас есть семейство HackTool.*.Kiser - завтра с утра буду на работе и переименую детект.

Позиция ЛК: детектим кейгены/кряки только к нашим продуктам.

Правильная позиция и правильный детект (как HackTool). Заранее спасибо за помощь.

Может сможете разузнать, что такое Kiser.a? Раз неопытный дятел задетектил Troyan.WinREG.Kiser.b, то по-моему еще какая-то фигня должна быть в ваших базах под именем Troyan.WinREG.Kiser.a. Если этот "вирус" есть в базах, то его тоже нужно переименовать в HackTool.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Позиция ЛК: детектим кейгены/кряки только к нашим продуктам.

Правильная позиция!

Любая антивирусная компания имеет право не только детектить кейгены/кряки к своим продуктам, но и удалять их без возможности восстановления в чистом виде.

Чем популярнее и чем дороже продукт, тем опаснее становится использование кейгена/крака к нему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Отвечаю как сотрудник вирлаба ЛК.

Reg-файл задетектил как троян неопытный дятел в январе, для кряков/кейгенов к нашим продуктам у нас есть семейство HackTool.*.Kiser - завтра с утра буду на работе и переименую детект.

Позиция ЛК: детектим кейгены/кряки только к нашим продуктам.

Поднимите там,по возможности,о вообще не внесении кряков в базу.

Ну,кроме ваших продуктов.Это понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений.

http://www.securelist.com/ru/descriptions/....WinREG.Kiser.b

Описание "убеймоск". Зачем эта приписка в конце?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Поднимите там,по возможности,о вообще не внесении кряков в базу.

Ну,кроме ваших продуктов.Это понятно.

Если это кряк к другому продукту и этот кряк имеет функции трояна, то можно его детектить как троян. Например если кряк не только взламывает "свой" (пусть это будет какая-то игрушка) софт, но и ворует пароли от почты, тогда это троян и он должен быть в базах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
но и ворует пароли от почты, тогда это троян и он должен быть в базах.

.... или тайно откладывает "личинки" в системные папки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
.... или тайно откладывает "личинки" в системные папки.

Да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ответ Юра дал,вопрос исчерпан. Моя позиция остается моей позицией.

Кряки к своим продуктам это одно их можно детектить,а вот к чужим это другое-это отсебятина и т.д.

...это отсебятина...

...ЛК не детектят кряки и кейгены за то,что они кряки и кейгены...(кроме кряков к своим продуктам)

...Мое мнение,что проблемы пиратства это проблемы самих производителей софта-пусть делают нормальную защиту и т.д....(что ЛК и делает)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Если это кряк к другому продукту и этот кряк имеет функции трояна, то можно его детектить как троян. Например если кряк не только взламывает "свой" (пусть это будет какая-то игрушка) софт, но и ворует пароли от почты, тогда это троян и он должен быть в базах.

Конечно,это само собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Trojan.WinREG.Kiser.b переименовал в Hacktool.Win32.Kiser.b (http://www.virustotal.com/analisis/603f647c54b8e555e0a47df7010154559353fc3ad164b62f5b5030f7e353f134-1246868496)

Trojan.WinREG.Kiser.a также переименовал в Hacktool.WinREG.Kiser.a (http://www.virustotal.com/analisis/7b2232324756ebcb6646b8b3fd24808942b0ec254da314237ae68d07857c7267-1246904108)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Trojan.WinREG.Kiser.b переименовал в Hacktool.Win32.Kiser.b (http://www.virustotal.com/analisis/603f647c54b8e555e0a47df7010154559353fc3ad164b62f5b5030f7e353f134-1246868496)

Trojan.WinREG.Kiser.a также переименовал в Hacktool.WinREG.Kiser.a (http://www.virustotal.com/analisis/7b2232324756ebcb6646b8b3fd24808942b0ec254da314237ae68d07857c7267-1246904108)

Reg-файл Kiser.b теперь детектим правильно, как HackTool, без визга.

Спасибо.

А теперь, с таким доказательством (два детекта другими АВ того, что "опасно" только для продуктов ЛК), можно поднимать вопрос - кто пи... базы у ЛК, не разбираясь что в этих базах :).

F-Secure свой, а Ikarus и a-squared попали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
F-Secure свой, а Ikarus и a-squared попали.

Не, только Икарус)))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Не, только Икарус)))))

У a-squared тоже лицензирован движок от ЛК?

Тогда только Ikarus попал. Как компенсацию, можно взять его сотрудников в ЛК. Эти люди расковыряли формат баз ЛК, значит это спецы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
У a-squared тоже лицензирован движок от ЛК?

Нет, у них движок от Икаруса, и сигнатуры Эмси берут у них автоматом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Нет, у них движок от Икаруса, и сигнатуры Эмси берут у них автоматом.

Значит Икарус не только для себя чужие базы берет, но и другим продает?

ЛК славится хорошим быстро соображающим вирлабом. Этот Икарус, с базами от ЛК, может стать альтернативой продуктам ЛК для тех, кому нужен качественный детект, но не нужны сомнительные рюшки продуктов ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Этот Икарус, с базами от ЛК, может стать альтернативой продуктам ЛК для тех, кому нужен качественный детект, но не нужны сомнительные рюшки продуктов ЛК.

Yen-Jasker, вряд ли. По крайней мере, не для всех. Там такой эвристик, что, когда ваш покорный слуга поставил этот а квадрат и он нашел у него (после Авиры) 200 экземпляров заразы, которые все при детальном анализе оказались фолсами... пацталом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker

Удалено чтобы не уводить топик далеко в сторону, отправил в ПМ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
99-й

Хотел продолжить сообщение,

http://www.anti-malware.ru/forum/index.php...ost&p=74695

но тема оказалась закрыта.

И это даже хорошо, т.к относится не только к симантеку.

Не уверен, на 100%, но включеный DEP для всех программ, часто блокирует многие кряки, кейгены и т.п.

Т.е. вроде как, кейген никаких особых для пользователя вредоносных действий не выполняет, но DEP срабатывает.

Может быть исходя из этого тоже заносятся в базы подобные кряки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
ЛК славится хорошим быстро соображающим вирлабом. Этот Икарус, с базами от ЛК, может стать альтернативой продуктам ЛК для тех, кому нужен качественный детект, но не нужны сомнительные рюшки продуктов ЛК.

Икарус,правит фолсы мгновенно.Ну,почти.

Через 5-10 минут приходит письмо с тем,что детект поправлен.Так что тут ещё спорно,у кого вирлаб быстрее.:D

Yen-Jasker, вряд ли. По крайней мере, не для всех. Там такой эвристик, что, когда ваш покорный слуга поставил этот а квадрат и он нашел у него (после Авиры) 200 экземпляров заразы, которые все при детальном анализе оказались фолсами... пацталом.

По-моему,у него нет эвристика.

Всё давит чисто сигнатурами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×