Реальный тест на эвристику "антивирусов"

[Skorpion 55]

Новый скан: http://www.virustotal.com/ru/analisis/4423...a8a7-1256841783

Доктор туда же

[Z.E.A. 190]

Новый скан: http://www.virustotal.com/ru/analisis/4423...a8a7-1256841783

Доктор туда же

Неплохо, детект разрастается.

[vaber 350]

Продолжаем тему =)):

TR/Dropper.Gen or how Avira restricts Ldr usage

[priv8v 960]

Там используется Делфи

детям и слабонервным просьба соблюдать необходимые меры предосторожности

На васме, помню, тоже была похожая тема (только с другими целями) о детекте загрузки вининет/урлмон с последующим нахождением адреса...в общем эвристика "как могу" - у каждого антивируса "могу" - разное, у кого-то больше, у кого-то меньше

[Deja_Vu 366]

Продолжаем тему =)):

TR/Dropper.Gen or how Avira restricts Ldr usage

Особенно убило

DbgPrint('RUSTOCK');

[spw 190]

Не знаю почему на этом форуме это прошло незамеченным и не обсжудали (я не слежу - может и пропустил где-то).

Но думаю, необходимо обратить внимание местной общественности. Поведение компании ESET продолжает оставлять желать лучшего.

Я даже в последнее время стал думать, не происходит ли туда отбор примерно таким способом (вне зависимости от положения офиса!)

- Я хороший вирусный аналитик, имею "за плечами" 10 лет анализа и т.д.

- Ммм, вы моральный урод?

- Нет, конечно нет.

- Следующий.

- Я имею опыт регистрации на форумах, создании фейк-аккаунтов, изменять стиль общения.

- Считают ли вас многие моральным уродом?

- Да. Практически все.

- Отлично! С завтрашнего дня можете приступать к работе.

Итак -- встречайте. Obeboss и его друзья из ESET:

http://habrahabr.ru/blogs/virus/77587/

P.S. Там в посте наивно советуют обратиться в головной офис. Хех. Ошибочка вышла. "Рыба гниет с головы". В головном офисе стиль ответов + поведение не такой же, а еще хуже.

[Zilla 340]

Sp0Raw, я читал эту штуку.. вместо ESET можно поставить любую антивирусную компанию. Я, в общем, на их стороне.. Не будут же они править правила эвристического анализатора для того, что бы не было аллерта на какую-то мало известную программку.. Конечно, отнеслись к человеку не красиво, но всё таки Российский Офис ESET не в состоянии править движок антивируса, и им и оставалось только то, что вносить прогу в белые листы..

[priv8v 960]

Цирк. Особенно это удивило:

>Нет, я не сотрудник данной компании.

Тогда наверное это случайное совпадение, что внешний IP адрес с которого вы пишите имеет доменное имя eset-mail.esetnod32.ru

Исходя из информации по ссылке приходится согласится со словами о знаниях людей в Российском офисе есета:

Я имею опыт регистрации на форумах, создании фейк-аккаунтов, изменять стиль общения

[spw 190]

Sp0Raw, я читал эту штуку.. вместо ESET можно поставить любую антивирусную компанию. Я, в общем, на их стороне.. Не будут же они править правила эвристического анализатора для того, что бы не было аллерта на какую-то мало известную программку.. Конечно, отнеслись к человеку не красиво, но всё таки Российский Офис ESET не в состоянии править движок антивируса, и им и оставалось только то, что вносить прогу в белые листы..

Вы, видимо, слишком плохо осведомлены о действиях компании ESET. Нет, нельзя на ее место поставить любую другую компанию. Ни одной столь неадекватной компании я больше не знаю. Даже Avira, которая детектирует все подряд, имеет отличный support, который решает проблемы, извиняется и действует в соответствии с тем, какую роль они занимают. А вот ESET себя считает владыкой мира. И вправе указывать каким разработчикам, что делать и куда идти.

Я же подчеркнул в своем сообщении: Российский офис тут не причем. В головном работают ребята еще хуже. Поэтому и намекнул, что компаша собралась - как на подбор. Тест на подбор персонала указан выше. Российский офис был набран столь же последовательно, как и сами организаторы.

Если Вы думаете, что зарубежные сколько-либо адекватны - Вы ошибаетесь. Они так же врали на wilders security, что будут добавлять в исключения. И так же посылали (либо отвечая, как Российский офис, либо банально НЕ отвечая - просто игнорируя), когда, собственно, им писали о ложном детекте (кстати, они не считают его ложным -- это тоже еще важный момент).

Так что ошибка в том, если Вы думаете, что это не последовательная политика данной компании. Она очень четкая.

[Alex_Goodwin 81]

Да про есет все давным-давно ясно.. Помнится и клоунада на этом форуме и Веталег и т.д.

[Zilla 340]

В головном работают ребята еще хуже.

У вас был опыт общения с головным офисом?

[Deja_Vu 366]

Ну могли бы отвечать по адекватнее, ведь с разработчиком стороннего ПО переписываются.

Например:

"Укажем центральному офису на ошибках в эвристиках, но не стоит ждать, что исправят быстро, советую уведомить пользователе о ложном срабатывании."

Или предложили бы сертифицировать прожку и по сертификату бы в белый лист.

[spw 190]

Ну могли бы отвечать по адекватнее, ведь с разработчиком стороннего ПО переписываются.

Например:

"Укажем центральному офису на ошибках в эвристиках, но не стоит ждать, что исправят быстро, советую уведомить пользователе о ложном срабатывании."

Или предложили бы сертифицировать прожку и по сертификату бы в белый лист.

Оплата сертификатов спонсируется?

Не нужно случаем у ESET купить наклейку "я не преступник", чтобы тебя не считали преступником?

Слегка напоминает поведение различных "анти-спам" блокираторов по IP (авторов списков). Которые туда заносят всех подряд (не учитывая никак динамические IP-адреса, взломанные машины и т.п.), а потом шантажируют провайдеров - по $50 за IP.

Не слишком ли много на себя берут?

И чем это отличается от hoax/rogue AV? А то вот борятся с fake-av, а сами-то чем отличаются?

[Deja_Vu 366]

Что за негатив?

При таком подходе, хотя бы было видно, что вендор работает с разработчиками, а не тупо отшивает.

[spw 190]

Что за негатив?

При таком подходе, хотя бы было видно, что вендор работает с разработчиками, а не тупо отшивает.

Негатив спровоцирован "навязыванием коммерческих услуг", в которых разработчик не испытывает никакой необходимости, пока не попадает в "некий список" вот таких вот коммерческих "доброхотов" (подчеркну здесь слово "коммерческих).

Вот допустим, есть некий производитель shareware, получает $30 в месяц (не шибко популярный софт, но кому какая разница? его устраивает). Почему он должен тратить $500/год (а то и больше) из-за того, что какие-то непонятные люди решили ложно детектировать его программное обеспечение (и полностью лишить его простых пользователей) лишь потому, что его исполняемый файл начинается на букву 'x' (это такой механизм супер-эвристики; как там "веталя" говорил -- технологии-стелс)?

Хочу лишь сказать простую истину: проблема ложных срабатываний или неправильного (необоснованного) детектирования - это полностью проблема производителя антивирусных средств. А не пользователей -- "занесите этот файл в исключение" -- легко сказать, во-первых, пользователю программа неизвестна, и ему проще не разбираться, ведь там "вирус"; во-вторых, программу банально не скачать, чтобы занести в какие-либо исключения). А так же уж никак не разработчиков -- купите сертификат (кстати, это не помогает с любыми ESET'ом), попляшите с бубном и т.п.

Если производитель лекарственных препаратов будет производить такие лекарства, от которых дохнут люди, как Вы думаете, что с ним будет? И поверьте, "отрегулируют" это не люди своими голосами (к сожалению, у них уже не будет такой возможности, потому что они -- сдохнут), а другие "регуляторы рынка" (специальные комиссии, министерства, государство). И не остануться они безнаказанными. Или по крайней мере, не смогут продавать то, что может причинять (и причиняет) пользователям и другим лицам вред.

Вот некая строительная корпорация ESET построила дом.

Купил будущий жилец квартирку в нем. Хочет поднятся в квартиру - а не получается. Лифт не работает (не подключен), а лестницы нет (особенности разработки -- мы не занимаемся внедрением лестниц в наши дома). Вам, как будущему жильцу, необходимо самому решать проблему проникновения в Вашу квартиру. В конце-концов, мы Вам сделали в ней окна - будьте добры, Вы можете ими воспользоваться.

Или вот некий гражданин Н. идет мимо милого такого дома, построенного корпорацией ESET. Вдруг бац, и на него сверху падает полстены этого дома. Корпорация ESET тут же заявляет: "При хождении под нашими домами Вам необходимо использовать специальную каску, выдерживающую падение стены. Приобрести ее можно, пройдя специальную регистрацию за несколько месяцев и оплатив спец-взнос".

Ох, незавидная судьба, как мне кажется, будет у данной корпорации в реальном мире.

[Umnik 997]

Добавлю, что ЭЦП не есть показатель чистоты и ложное срабатывание также убьет файл, подписанный доверенным СА. Так что не нужно считать это панацеей.

[dr_dizel 385]

Итак -- встречайте. Obeboss и его друзья из ESET:

http://habrahabr.ru/blogs/virus/77587/

Так разобрались же уже. Ругань шла на такой код:

procedure SetQDOMAutoStart(aSetTo: boolean);varR: TRegistry;begin{$IFNDEF NOD32FRIENDLY}R:=TRegistry.Create;tryR.RootKey:=HKEY_LOCAL_MACHINE;if R.OpenKey('\SOFTWARE\Microsoft\Windows\CurrentVersion\Run',false) thenbeginif aSetTothen R.WriteString(sPath,sPath+'QuikOrdersDOM.exe' )else R.DeleteValue(sPath);end;finallyR.CloseKey;R.Free;end;{$ENDIF}end;

Хоть я и не пишу на дельфи, но код выглядит минимум кривоватым, а уж с позиции идеологии написания прог - ужасным. И я думаю, что если копнуть глубже, то вылезла бы не только запись в HKLM.

Если бы за автором не пришел ESET, то пришел бы UAC.

[priv8v 960]

Хоть я и не пишу на дельфи, но код выглядит минимум кривоватым, а уж с позиции идеологии написания прог - ужасным

Поясните

[spw 190]

Так разобрались же уже. Ругань шла на такой код:

[...]

Ну да. Страшнейший код. ESET дико плачет в углу от страха.

А я бьюсь в истерике. От смеха.

Хоть я и не пишу на дельфи, но код выглядит минимум кривоватым, а уж с позиции идеологии написания прог - ужасным.

Что же здесь такого "кривоватого" или, тем более (!), "ужасного"?..

И я думаю, что если копнуть глубже, то вылезла бы не только запись в HKLM.

Если бы за автором не пришел ESET, то пришел бы UAC.

"Windows'9x-style" программирование. Да, встречается среди 90% "программистов" (в любую сторону копнуть). Но ничего. Такие люди добавляют манифест для получения максимальных привилегий - и вперед. За ними не заржавеет. Но ESET'у-то с его Obeboss'ом (не имеющим никакого отношения к ним, естественно!) как это поможет оправдаться?

[dr_dizel 385]

Поясните

Что именно пояснить? Я не программер на дельфи, а только анализирую код.

Гуёвая юзермодовая прога хочет прописаться в системный автостарт (уже только за это нужно отправлять по рельсам навстречу бронепоезду). Процедура установки (set) на основе параметра может осуществлять противоположное действие. В процедуре используется какая-то левая переменная - sPath, причём в качестве имени ключа и их данных, что похоже на баг. Используется смешанный подход (частично дублирующийся) к обработке ошибок и при всём при этом велика вероятность неопределённого результата работы функции.

А это всего лишь небольшой кусочек кода программы. Поэтому можно предположить, что вся прога представляет собой один большой "undefined behavior" и противопоказана к исполнению.

[priv8v 960]

Гуёвая юзермодовая прога хочет прописаться в системный автостарт (уже только за это нужно отправлять по рельсам навстречу бронепоезду).

Т.е если бы она была без гуя это было бы лучше? -> программа без видимых окон прописывает себя в автозапуск. По-моему, нет.

Если говорить про запись себя в автозагрузку, то это делают многие программы - мейл.ру агент, ася, винамп и т.д

В процедуре используется какая-то левая переменная - sPath, причём в качестве имени ключа и их данных, что похоже на баг. Используется смешанный подход (частично дублирующийся) к обработке ошибок и при всём при этом велика вероятность неопределённого результата работы функции.

Поэтому можно предположить, что вся прога представляет собой один большой "undefined behavior" и противопоказана к исполнению

не будем придираться к стилистике кодинга. это имеет отдаленное отношение к обсуждаемой теме.

"мега-эвристик" нода детектит не кривую обработку исключений и странное имя ключа, а сам факт того, что в программе имеется кусок кода, который занимается тем, что пишет что-то в этот ключ. на этом супер-технологии нода заканчиваются - он не обращает никакого внимания на кривость кода, на цвет кожи автора, на объявление переменных и т.д - все это нельзя приплести сюда никаким боком. на лицо лишь факт, что нод ругается на кусок кода, который ответственен за пропись в автозапуск и офис есета не захотел решать эту проблему, а лишь устроил цирк (без цирка было бы немного лучше).

[Zilla 340]

То что у автора кривой код не есета проблеммы..как правильно сказал главный в есет Россия (извиняюсь, не помню ни должности ни имени ) - одно дело править эвристику для того, что бы избавиться от фолсов на ПО от компаний Apple или Adobe, и совсем другое дело делать это ради какой-то малоизвестной програмки да и еще и в ущерб эвристике.

[dr_dizel 385]

Если говорить про запись себя в автозагрузку, то это делают многие программы - мейл.ру агент, ася, винамп и т.д

Есть много мест для автозапуска. Тот же бут-сектор.

на лицо лишь факт, что нод ругается на кусок кода, который ответственен за пропись в автозапуск

У эвристика может быть много флагов. Пропись в HKLM на запуск может быть одной из составляющих, взводящих алерт.

[DiabloNova 175]

Есть много мест для автозапуска. Тот же бут-сектор.

Не могли бы вы пояснить, как осуществить запуск mail агента из бутсектора?

Быть может это ваша 0day разработка?

How much?

Используется смешанный подход (частично дублирующийся) к обработке ошибок и при

всём при этом велика вероятность неопределённого результата работы функции.

Что касается кода, приведенного выше. Он очень напоминает книжные примеры конца 9x.

Это не функция, а процедура. Где переменная sPath скорее всего глобальная и

представляет собой полный путь до приложения.

В данном случае try/finally гарантирует высвобождение ресурсов в случае ошибки и по окончании выполнения блока.

UAC тут не при чем. Будет добавлен манифест, как сказал sporaw и программа априори затребует

админские права на старте. Подозреваю что детектирование (в случае проверки файла) здесь идет по строчке

Довольно забавно, что не будучи судя по всему знакомым с предметной областью (Delphi) вы беретесь

комментировать чужой код.

Зачетная тема, спасибо, смешно.

[sww 486]

Что именно пояснить? Я не программер на дельфи, а только анализирую код.

Т.е. вы вирусный аналитик? В какой компании работаете?

Гуёвая юзермодовая прога хочет прописаться в системный автостарт (уже только за это нужно отправлять по рельсам навстречу бронепоезду).

Мне кажется, что вот таких вот аналитиков надо отправлять навстречу бронепоезду, ну или, хотя бы работать в ESET. К слову, у меня 4 года вирусного анализа. Прописывание себя в автостарт - это совершенно нормальная процедура, ничем не подозрительная.

В процедуре используется какая-то левая переменная - sPath, причём в качестве имени ключа и их данных, что похоже на баг.

У эвристика ESET'а нет никакой переменной sPath, нет никакого бага. О чем вы вообще?

А это всего лишь небольшой кусочек кода программы. Поэтому можно предположить, что вся прога представляет собой один большой "undefined behavior" и противопоказана к исполнению.

Вам противопоказано давать какие-либо технические комментарии, ибо вы совершенно некомпетентны в этом вопросе.