Что нам показывает ВирусТотал?

Тема в разделе "Тестовая площадка", создана пользователем Severnyj, 24 июл 2011.

Метки:
  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Не совсем про тестирование, но все же:

    В пятницу вечером поймал обычного нашего друга Trojan.Win32.Cidox (он же Trojan.Mayachok.1) по привычке проверил на VT (детект оказался примерно 4 из 42) разослал кому мог, и стал ждать.

    В сегодняшнем утреннем обновлении мой Avast наконец-то стал определять нашего друга, как Win32:Agent-ANCL [Trj]. По этой причине решил, что время пришло и повторно заливаю файл на ВТ. Что я наблюдаю: а наблюдаю интересную картину примерно так:

    Трясу головой, говоря брр ;). Еще раз сканирую файл: детект есть. Проверяю версию баз - последняя.
    И делаю повторный анализ на ВТ, результат:

    .

    Уже не первый раз натыкаюсь, но раньше не обращал внимания, когда с Софоса мне писали, что детект добавлен, на ВТ он то появлялся, то исчезал.
    Налицо так же ситуация с Emsisoft, замечаная во время нашего последнего теста, который в списке то появлялся, то исчезал.
    На выводы просится то ли очень нестабильная работа сервиса, то ли его маркетинговая заинтересованность.
    К сожалению не оставил ссылок на отчеты, кроме последней, так что верить мне придется на словах.

    За сим откланюсь, Ваш Severnyj.
     
    15 пользователям это понравилось.
  2. Rins
    Оффлайн

    Rins Активный пользователь

    Сообщения:
    370
    Симпатии:
    50
    Доверяй но проверяй.
    После двух проверок, на третий раз выдавало о проблеме с файлом.
    Не какой то определенный аваст или иное фейлило, а по всем случается все по нулям с первого раза.
    Так что, раза три прогнать не мешает, если есть подозрения, но файл выдается как чистенький.
     
  3. Joker
    Оффлайн

    Joker Пользователь

    Сообщения:
    22
    Симпатии:
    10
    Образец вируса не остался?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Судя по дате поста уже нет. Хотя Trojan.Mayachok.1 и сейчас в сети хоть пруд пруди.
     
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Последнее редактирование: 14 сен 2012
    5 пользователям это понравилось.
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Особо понравился результат при нажатии на кнопку View Latest
     
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
  8. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    В авиру я уже отправлял запрос о ложном срабатывание, но они его снова добавляют.
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Worm/Sohanad.aim - красота
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Угу, пора расширять функционал:

     
  12. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Это на мой конструктор детект))
     
  14. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
  15. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    252
    Симпатии:
    120
    ВирусТотал - это просто фигня!!! Прото для интересующихся. И это не ИМХО, я так считаю и на своем мнении настаиваю!!!
    На одном форуме поднимал этот вопрос. Если из 50-ти анивирусов есть только меньше 10 почтенных, а результат без индекса "адекватности", то файл 40\50 может быть соооовсем не вирусом, а человека его написавшего - побьют.
    Сам пробовал.
    Первый тест: отправил калькулятор на ВТ, результат = 12\46 (точно не помню), но калькулятор я сам нацарапал для подсчета нумерологического числа для введенного слова. Он АААбсолютно безопасен!!!
    Второй тест: у меня была программа, которая из-за ошибки в коде повредила винду так, что пришлось переустанавливать - не запускается - черный экран при включении и всё. Отправил аналог проги, и что бы вы думали.... на ВТ = 0\47 !!!
    Если у Вас антивирус установлен стационарно, то он отследит действия программы и тормознет, а если файл тестируется на урезанных анализаторах...
    ВирусТотал = фигня!!! Но ради интереса можно пользоваться
     
  16. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Ссылку в студию, иначе это пустой разговор или попытка троллинга.
    И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.
     
    Последнее редактирование: 28 янв 2014
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.
     
  18. Сергей
    Оффлайн

    Сергей Активный пользователь

    Сообщения:
    252
    Симпатии:
    120
    Прошу прощения.
    --- Объединённое сообщение, 28 янв 2014 ---
    Вот калькулятор:
    https://www.virustotal.com/ru/file/...4b3670232049837b1bdafb29/analysis/1358694256/
    Вот "вирус":
    https://www.virustotal.com/ru/file/...ecb7e7bd717209f62731fb3a/analysis/1358756551/
     
    Последнее редактирование модератором: 28 янв 2014
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Я не вижу прямого детекта окромя Ikarus и Jiangmin, остальное эвристики сработки.
     
  20. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.
     

Поделиться этой страницей