# Что нам показывает ВирусТотал?



## Severnyj

Не совсем про тестирование, но все же:

В пятницу вечером поймал обычного нашего друга *Trojan.Win32.Cidox* (он же *Trojan.Mayachok.1*) по привычке проверил на VT (детект оказался примерно 4 из 42) разослал кому мог, и стал ждать.

В сегодняшнем утреннем обновлении мой Avast наконец-то стал определять нашего друга, как *Win32:Agent-ANCL [Trj]*. По этой причине решил, что время пришло и повторно заливаю файл на ВТ. Что я наблюдаю: а наблюдаю интересную картину примерно так:



> Avast5	5.0.677.0	2011.07.24	-



Трясу головой, говоря брр . Еще раз сканирую файл: детект есть. Проверяю версию баз - последняя.
И делаю повторный анализ на ВТ, результат:



> Avast5	5.0.677.0	2011.07.24	Win32:Agent-ANCL [Trj]


.

Уже не первый раз натыкаюсь, но раньше не обращал внимания, когда с *Софоса* мне писали, что детект добавлен, на ВТ он то появлялся, то исчезал.
Налицо так же ситуация с *Emsisoft*, замечаная во время нашего последнего теста, который в списке то появлялся, то исчезал.
На выводы просится то ли очень нестабильная работа сервиса, то ли его маркетинговая заинтересованность.
К сожалению не оставил ссылок на отчеты, кроме последней, так что верить мне придется на словах.

За сим откланюсь, Ваш *Severnyj*.


----------



## Rins

Доверяй но проверяй.
После двух проверок, на третий раз выдавало о проблеме с файлом.
Не какой то определенный аваст или иное фейлило, а по всем случается все по нулям с первого раза.
Так что, раза три прогнать не мешает, если есть подозрения, но файл выдается как чистенький.


----------



## Joker

Образец вируса не остался?


----------



## akok

Судя по дате поста уже нет. Хотя Trojan.Mayachok.1 и сейчас в сети хоть пруд пруди.


----------



## regist

Смотрим на дату (точнее время) проверки файла и кол-во детектов 

https://www.virustotal.com/file/f0c...4cd20779fa11643caf6a928f/analysis/1347615924/

https://www.virustotal.com/file/f0c...ef72ce540704cd20779fa11643caf6a928f/analysis/

заодно посмотрите на дату обновления баз


----------



## Severnyj

Особо понравился результат при нажатии на кнопку View Latest


----------



## akok

*SPR/AutoIt.Gen*

https://www.virustotal.com/file/592...a90b8c8a5a33cf76e90277c0/analysis/1349007866/

Как весело наблюдать за такими детектами.


----------



## glax24

В авиру я уже отправлял запрос о ложном срабатывание, но они его снова добавляют.


----------



## Severnyj

akoK написал(а):


> *SPR/AutoIt.Gen*
> 
> https://www.virustotal.com/file/592...a90b8c8a5a33cf76e90277c0/analysis/1349007866/
> 
> Как весело наблюдать за такими детектами.



У меня больше:

https://www.virustotal.com/file/3d5...df8b0ef09ba6c409263e6f57/analysis/1349008515/


----------



## akok

Worm/Sohanad.aim - красота


----------



## Severnyj

akoK написал(а):


> Worm/Sohanad.aim - красота



Угу, пора расширять функционал:



> Once downloaded onto the computer, the worm copies itself somewhere on the system under a name that is meant to be inconspicuous. Examples:
> 
> %windir%\system32\Microsoft\svhost32.exe
> %windir%\system32\Microsoft\rvhost.exe
> 
> 
> Note: %windir% represents the system's Windows folder.
> 
> Sohanad variants also create a registry entry that executes the worm at startup. Typically Sohanads also modify the registry to disable task manager and registry tools. Examples:
> 
> # HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
> DisableTaskMgr = 00000001
> # HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
> DisableRegistryTools = 00000001


----------



## glax24

Severnyj написал(а):


> У меня больше:
> https://www.virustotal.com/file/3d51...is/1349008515/


А авира уже молчит


----------



## Severnyj

glax24 написал(а):


> А авира уже молчит


Это на мой конструктор детект))


----------



## glax24

Откомпилировал с новой версией UPX, детект 0
https://www.virustotal.com/file/bd8...74f31b4443e634bd2068f57b/analysis/1349010452/


----------



## Сергій

ВирусТотал - это просто фигня!!! Прото для интересующихся. И это не ИМХО, я так считаю и на своем мнении настаиваю!!!
На одном форуме поднимал этот вопрос. Если из 50-ти анивирусов есть только меньше 10 почтенных, а результат без индекса "адекватности", то файл 40\50 может быть соооовсем не вирусом, а человека его написавшего - побьют.
Сам пробовал.
Первый тест: отправил калькулятор на ВТ, результат = 12\46 (точно не помню), но калькулятор я сам нацарапал для подсчета нумерологического числа для введенного слова. Он АААбсолютно безопасен!!!
Второй тест: у меня была программа, которая из-за ошибки в коде повредила винду так, что пришлось переустанавливать - не запускается - черный экран при включении и всё. Отправил аналог проги, и что бы вы думали.... на ВТ = 0\47 !!!
Если у Вас антивирус установлен стационарно, то он отследит действия программы и тормознет, а если файл тестируется на урезанных анализаторах...
ВирусТотал = фигня!!! Но ради интереса можно пользоваться


----------



## shestale

Сергей написал(а):


> ВирусТотал - это просто фигня!!!





Сергей написал(а):


> результат = 12\46 (точно не помню)


Ссылку в студию, иначе это пустой разговор или попытка троллинга.


Сергей написал(а):


> у меня была программа, которая из-за ошибки в коде повредила винду


И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.


----------



## akok

Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.


----------



## Сергій

akok написал(а):


> Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.


Прошу прощения. 


shestale написал(а):


> Ссылку в студию, иначе это пустой разговор или попытка троллинга.
> 
> И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.


Вот калькулятор:
https://www.virustotal.com/ru/file/...4b3670232049837b1bdafb29/analysis/1358694256/
Вот "вирус":
https://www.virustotal.com/ru/file/...ecb7e7bd717209f62731fb3a/analysis/1358756551/


----------



## akok

Сергей написал(а):


> Вот калькулятор:


Я не вижу прямого детекта окромя Ikarus и Jiangmin, остальное эвристики сработки.


----------



## edde

Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.


----------



## Кирилл

Сергей, MBAM тогда что?
На VT выдается не инструкция а информация,которую необходимо анализировать.
Благодаря обновлению темы освежил себе и это в памяти.


----------



## Сергій

edde написал(а):


> Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.


Но ,тем не менее, сли на странице про калькулятор клацнуть "Показать последний анализ" в строке с датой анализа (это получится через месяц), то покажет результат аж *17*\46, а не *12*\46. То есть они настаивают на своем, и к ним присоединяются другие. Вероятно, что ровно так же они могут настаивать на своих ошибках в НЕдетектированиии именно вирусов.


----------



## regist

Сергей написал(а):


> То есть они настаивают на своем





Сергей написал(а):


> Вероятно, что ровно так же они могут настаивать на своих ошибках в НЕдетектированиии именно вирусов.


Кто они?


----------



## edde

Это ровным счетом ничего не значит. Так работает эвристик при анализе неизвестных угроз, лучше недобдеть чем перебдеть. Если вы полагаете что что подобные сервисы не работают- не пользуйтесь ими, заодно можете не пользоваться и антивирусным ПО вообще, так как все антивирусные программы используют эвристический анализ. Можете даже создать партию недоверия всяким симантекам, касперским и дрвебам и авторитетно доказывать на собственном примере что вирусов не существует потому что вы написали калькулятор и глюкнутую программу которая вам виндовс сломала. Что тут обсуждать я не понимаю. Я бы понял если бы вы написав калькулятор задались вопросом почему его детектят на вт. А а тут.... тему я думаю можно считать исчерпанной, в противном случае я расценю её продолжение как троллинг со всеми вытекающими


----------



## Сергій

edde написал(а):


> Это ровным счетом ничего не значит. Так работает эвристик при анализе неизвестных угроз, лучше недобдеть чем перебдеть. Если вы полагаете что что подобные сервисы не работают- не пользуйтесь ими, заодно можете не пользоваться и антивирусным ПО вообще, так как все антивирусные программы используют эвристический анализ. Можете даже создать партию недоверия всяким симантекам, касперским и дрвебам и авторитетно доказывать на собственном примере что вирусов не существует потому что вы написали калькулятор и глюкнутую программу которая вам виндовс сломала. Что тут обсуждать я не понимаю. Я бы понял если бы вы написав калькулятор задались вопросом почему его детектят на вт. А а тут.... тему я думаю можно считать исчерпанной, в противном случае я расценю её продолжение как троллинг со всеми вытекающими


Полностью с Вами согласен: антивирусами (кроме одноразовых) не пользуюсь, вопрос с детектом решился сменой упаковщика с ASPack на UPX (стал 1\50). Просто тема о том, что показывает ВирусТотал ... непонятно что он показывает


----------



## regist

Сергей написал(а):


> Просто тема о том, что показывает ВирусТотал ... непонятно что он показывает


Сергей, мой вопрос вы проигнорировали


regist написал(а):


> Кто они?


теперь после вашего ответа становится понятно, что вы путаете сервис Вирустотал и антивирусы, которые не могут распаковать ASPack и для того чтобы не пропустить вирус предпочитают на всякий случай рявкнуть. Но это проблема антивирусов, которые не могут самостоятельно определить вредоносен файл или нет и поэтому воруют детект у других антивирусов которые тоже не могут это определить и распаковать файл. При этом этот сервис показывает "качество" этих антивирусов.


----------



## Сергій

"Настаивают они" - не ВирусТоталовци, а антивирусы, "мнение" которых ВирусТотал нам преподносит, как посредник между нами и антивирусами.
Интересно, как там это все организовано? ВирусТотал шлет файл в антивирусные лаборатории "домой" и получает ответы, или самому серверу организована сеть ЭВМ, на которых стоят 50 антивирусов, настроеных на получение и анализ файлов по сети (в пределах одной комнаты). Сама схема срабатывания сервиса ,наверное, очень сложна. Может кто знает принцип действия ВирусТотала? (просто интересно)


----------



## edde

Ну вот вот видите всё в порядке, стоило сменить пакер и доверие к вам растет на глазах. Надеюсь проблема исчерпана. 
Удачи.


----------



## regist

Сергей написал(а):


> Интересно, как там это все организовано? ВирусТотал шлет файл в антивирусные лаборатории "домой" и получает ответы, или самому серверу организована сеть ЭВМ, на которых стоят 50 антивирусов, настроеных на получение и анализ файлов по сети (в пределах одной комнаты). Сама схема срабатывания сервиса ,наверное, очень сложна. Может кто знает принцип действия ВирусТотала? (просто интересно)


стоят антивирусы и парсится их ответ. На одном компе несколько разных или сеть компов в разных странах это значение не имеет. Зато что вендор предоставляет им свой движок для сканирования взамен они ему отсылают файлы, который этот вендор не детектит.


----------



## Phoenix

Сергей написал(а):


> Интересно, как там это все организовано?


https://www.virustotal.com/ru/faq/ - сам фак на инглише, правда.


----------



## Сергій

edde написал(а):


> Ну вот вот видите всё в порядке, стоило сменить пакер и доверие к вам растет на глазах. Надеюсь проблема исчерпана.
> Удачи.


Да ничего личного. Я на них не злюсь. А свои ошибки\недоработки надо кр-кр.
Дак а остальные? Отправляешь чужой файл, а результат ничего не говорит, так как ему доверять нельзя


----------



## regist

Сергей написал(а):


> Отправляешь чужой файл, а результат ничего не говорит, так как ему доверять нельзя


надо просто знать какому антивирусу можно доверять (у кого процент ошибки низкий), а который ругается на любой пакер. А также примерно разбираться в название детектов. Называть конкретных вендоров не буду, у каждого наверно свой список.


----------



## Сергій

regist написал(а):


> надо просто знать какому антивирусы можно доверять (у кого процент ошибки низкий), а который ругается на любой пакер. А также примерно разбираться в название детектов. Называть конкретных вендоров не буду, у каждого наверно свой список.


Полностью с Вами согласен. Во если бы на ВирусТотале предлагались и розшифровки названий вирусов, ато в Гугле ищешь-ищешь, а названия у каждого антивируса по собственной класификации. Клацнул по красненькому - всплывает справка, мол лаборатория такая то так класифицирует файлы, которые.... Или если вирус проидентифицирован точно, то описание его действий (типа возможно рекламный червь, или ну о-о-очень опасный воришка электричества (был такой вирус, который в мире больше миллиарда долларов спалил электричеством из-за увеличения энергопотребления ЭВМ, и безвредной теневой перекачкой трафика)). Согласитесь, что колонка со справками не помешает.


----------



## грум

Сергей написал(а):


> 50 антивирусов


50 антивирусов еще конфетки.
*Тут* конкурент вирустотала 68 антивирусами проверяет.Представляю сколько фолсов будет.


----------



## Phoenix

Sorry, could not find a match for the MD5 has of 9173572eea1ca7c234da87ca1dbfec30
Sorry, could not find a match for the SHA-1 has of 2244cc6d1f79c8a3cdd426f793479003ed13182b
Он ничего не знает..


----------



## akok

грум написал(а):


> Тут конкурент вирустотала 68 антивирусами проверяет.Представляю сколько фолсов будет.


Не конкурент, это облачный сканер системы. Но да... фолсов будет море


----------



## regist

https://www.virustotal.com/ru/file/...4f4909f559355cc2a11f96b4/analysis/1426662612/





Бит и антивирусы на его движке ругаются даже на файл от антивируса касперского с цифровой подписью.


----------



## shestale




----------



## Охотник

А почему это происходит? Неужели у них есть специальный зуб на продукты конкурентов.
А если аваст туда закинуть?

Вот закинул установочный файл avast_free_antivirus_setup_online.exe
https://www.virustotal.com/ru/file/...834e07e6303e4cbfd6f7498b/analysis/1426849479/

Никто не ругается.


----------



## regist

Забавные детекты от AVG 
https://www.virustotal.com/ru/file/...3159d845c3c7fb1fe5545e87105a322cf25/analysis/






и вот ещё один


----------



## SNS-amigo

Как говорится, УЗНАЛ! 
А икарус удивил на первом скрине по ссылке больше всех - Opera - Trojan.Zbot.


----------



## Phoenix

Кстати на firefox ночные сборки разрабы доктора долго не снимали детект, ибо было за что.


----------



## Охотник

Phoenix написал(а):


> ибо было за что.


И за что именно? Я сам мозилой давно перестал пользоваться. Может просто почувствовал, что с ними что то не так.


----------



## Phoenix

inject (инъекция в процессы), но это давно было.


----------



## regist

Выделил посты с обсуждением KMPlayer в отдельную тему.


----------



## SNS-amigo

Phoenix, Посмотрим, что они скажут после этого...
https://www.mozilla.org/en-US/firefox/37.0/releasenotes/
http://bitsup.blogspot.ru/2015/03/opportunistic-encryption-for-firefox.html


----------



## Phoenix

SNS-amigo написал(а):


> Phoenix, Посмотрим, что они скажут после этого...
> https://www.mozilla.org/en-US/firefox/37.0/releasenotes/
> http://bitsup.blogspot.ru/2015/03/opportunistic-encryption-for-firefox.html


То то он не запускается.. вообще




HTML:



__
__
__



 Несовместимая программа Обнаружено Обнаружено
firefox несовместимо.
Исправить программу firefox Завершено
Предоставляет шаги для исправления несовместимой программы.
Информационное Режим совместимости
Примененные режимы совместимости:
Windows 8
Масштабирование с высоким коэффициентом
Запуск от имени администратора
Проверка пользователем: исправление не работает


__


----------



## regist

regist написал(а):


> Бит и антивирусы на его движке ругаются даже на файл от антивируса касперского с цифровой подписью.


поменялись ролями, теперь ругаются на файл от бита https://www.virustotal.com/ru/file/...d0cc3b6f28b886c0f59742f2/analysis/1430400260/


----------



## regist

regist написал(а):


> поменялись ролями, теперь ругаются на файл от бита


бит ответил тем же https://www.virustotal.com/ru/file/...2c97c993390649f4b0b15784/analysis/1430826108/


----------



## Phoenix

Интересно.. лежал в папке без доступа




Код:



__
__
__



SUPERAntiSpyware Scan Log
http://www.superantispyware.com
..
Trojan.Dropper/SVCHost-Fake
    C:\WINDOWS\TEMP\3DB03751-92A0-436B-843C-82D242C1C6B8\SVCHOST.EXE
    C:\WINDOWS\Prefetch\SVCHOST.EXE-B43ADB9E.pf


__

https://www.virustotal.com/ru/file/...ed11966294b1d24b8294054e/analysis/1432536153/
Publisher AVAST Software a.s.
Signature verification Signed file, verified signature


Спойлер: files name



Имена файлов 987b322548ad7c05119f1c38dae3bb6b7f8e4492ed11966294b1d24b8294054e.bin
dwm.exe
seamonkey.exe
unsecapp.exe
chrome.exe
vti-rescan
spoolsv.exe
winlogon.exe
file-7525333_exe
chrome.exe
csrss.exe
csgo.exe
explorer.exe
GFNEXSrv.exe
WmiPrvSE.exe
wmiprvse.exe
gta3.exe
smss.exe
svchost.exe
RtkBtMnt.exe
444
svchost.exe
punto.exe
smss.exe
UnityWebPlayer.exe


----------



## Dragokas

Открытым текстом пишут, что "воруют" детекты:
Прям прецедентное право. 



> Hi
> 
> Thank you for having contacted us.
> 
> We would like to clarify a couple of things regarding the issue reported.
> 
> The file(s) you have submitted are being reported by our product as an unwanted program (i.e. PUA) and not as malware. Accordingly, our product does not remove the file(s) from the client s PC but just reports it. These file(s) are also reported by other reputable Anti-Virus vendors.
> 
> In addition, certain well-known Anti-Virus testing bodies have similar samples as part of their test sets which all Anti-Virus vendors are expected to detect.
> 
> If you need further assistance please contact K7 Support at support@k7computing.com. You may also use the Chat facility available on our websitewww.k7computing.com.
> 
> Our support timings - 9:00 a.m to 9:00 p.m India Standard Time
> 
> Hope that helps.
> 
> Regards
> K7 Team


----------



## regist

Antivirus scan for def3cbf8450550d80c377b18ed990894df15bcae45dba21dda321b079717451a at 2016-07-04 10:27:01 UTC - VirusTotal
Файл с цифровой подписью от симантека, VBA32 обзывает его OScope.*Trojan.Cidox*.07


----------



## regist

#*Win32.Trojan.WisdomEyes*
Antivirus scan for 39c926526adb06ea4c75ac3b0cd77c0cf10b8da9fc0f44925541678e9f2cff73 at 2017-05-10 08:40:00 UTC - VirusTotal
Antivirus scan for 2c789261953e22b02550241bc22e8550be91c3da713ece10fd2914235bfd6a5f at 2017-05-10 08:40:02 UTC - VirusTotal
Antivirus scan for ff1b2a3760884da058c4ad89888fa8f9974fc4c373d3251c89817ee71be0fa60 at 2017-05-10 08:41:10 UTC - VirusTotal
Antivirus scan for 0f6236e0f99709ff628db0568e673da80292874d78ab89ca6c3bb07e4813786e at 2017-05-10 08:59:02 UTC - VirusTotal
Байду ругается на файлы с цифровой подписью от каспера, до этого видел, что он также обзывал тимвьювер также с цифровой подписью.
Так что уже говорить, что он с таким же детектом ругается на Автологер, у которого никакой цифровой подписи нет и даже на Hello word завёрнутое в модуль от Автологера, с которого уже полгода не могу снять детект .



regist написал(а):


> Hello world завёрнутое в модуль от Автологера, с которого уже полгода не могу снять детект .


ссылка на отчёт Antivirus scan for 438edfdabd5d86424623f13378a9e886cc45b809e96cbc4a9678263d0ff90cb4 at 2016-11-29 16:14:41 UTC - VirusTotal


----------



## shestale

regist написал(а):


> даже на Hello word завёрнутое в модуль от Автологера, с которого уже полгода не могу снять детект .


А ты шутник однако))) А какой там пароль?


----------



## regist

Зачем тебе пароль? Скачай - запусти - увидешь Hello world. Уже полгода им на почту и через форму и через сам антивирус посылаю, обещают что отреагируют в течение 24 часов. А на форуме у них уже несколько лет порно-спамеры спамеры резвятся при полном отсутствие модераторов.


----------



## shestale

regist написал(а):


> Зачем тебе пароль?


Распаковать хотел.


regist написал(а):


> Скачай - запусти - увидешь Hello word.


Так я видел))


----------



## regist

shestale написал(а):


> Распаковать хотел.


При запуске он сам распаковывает, тут также как и у Автологера.


----------



## fseto

regist написал(а):


> увидешь Hello word


я извиняюсь.., может world ?


----------



## regist

Да разумеется опечатался сейчас, не ворд и не экселл там.


----------

