• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Что нам показывает ВирусТотал?

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,437
Симпатии
8,714
#1
Не совсем про тестирование, но все же:

В пятницу вечером поймал обычного нашего друга Trojan.Win32.Cidox (он же Trojan.Mayachok.1) по привычке проверил на VT (детект оказался примерно 4 из 42) разослал кому мог, и стал ждать.

В сегодняшнем утреннем обновлении мой Avast наконец-то стал определять нашего друга, как Win32:Agent-ANCL [Trj]. По этой причине решил, что время пришло и повторно заливаю файл на ВТ. Что я наблюдаю: а наблюдаю интересную картину примерно так:

Avast5 5.0.677.0 2011.07.24 -
Трясу головой, говоря брр ;). Еще раз сканирую файл: детект есть. Проверяю версию баз - последняя.
И делаю повторный анализ на ВТ, результат:

Avast5 5.0.677.0 2011.07.24 Win32:Agent-ANCL [Trj]
.

Уже не первый раз натыкаюсь, но раньше не обращал внимания, когда с Софоса мне писали, что детект добавлен, на ВТ он то появлялся, то исчезал.
Налицо так же ситуация с Emsisoft, замечаная во время нашего последнего теста, который в списке то появлялся, то исчезал.
На выводы просится то ли очень нестабильная работа сервиса, то ли его маркетинговая заинтересованность.
К сожалению не оставил ссылок на отчеты, кроме последней, так что верить мне придется на словах.

За сим откланюсь, Ваш Severnyj.
 

Rins

Активный пользователь
Сообщения
366
Симпатии
49
#2
Доверяй но проверяй.
После двух проверок, на третий раз выдавало о проблеме с файлом.
Не какой то определенный аваст или иное фейлило, а по всем случается все по нулям с первого раза.
Так что, раза три прогнать не мешает, если есть подозрения, но файл выдается как чистенький.
 

akok

Команда форума
Администратор
Сообщения
15,127
Симпатии
12,374
#4
Судя по дате поста уже нет. Хотя Trojan.Mayachok.1 и сейчас в сети хоть пруд пруди.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,122
Симпатии
5,767
#5
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,437
Симпатии
8,714
#6
Особо понравился результат при нажатии на кнопку View Latest
 

glax24

Разработчик
Сообщения
2,002
Симпатии
1,490
#8
В авиру я уже отправлял запрос о ложном срабатывание, но они его снова добавляют.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,437
Симпатии
8,714

akok

Команда форума
Администратор
Сообщения
15,127
Симпатии
12,374
#10
Worm/Sohanad.aim - красота
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,437
Симпатии
8,714
#11
Угу, пора расширять функционал:

Once downloaded onto the computer, the worm copies itself somewhere on the system under a name that is meant to be inconspicuous. Examples:

%windir%\system32\Microsoft\svhost32.exe
%windir%\system32\Microsoft\rvhost.exe


Note: %windir% represents the system's Windows folder.

Sohanad variants also create a registry entry that executes the worm at startup. Typically Sohanads also modify the registry to disable task manager and registry tools. Examples:

# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = 00000001
# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableRegistryTools = 00000001
 

Сергій

Активный пользователь
Сообщения
337
Симпатии
174
#15
ВирусТотал - это просто фигня!!! Прото для интересующихся. И это не ИМХО, я так считаю и на своем мнении настаиваю!!!
На одном форуме поднимал этот вопрос. Если из 50-ти анивирусов есть только меньше 10 почтенных, а результат без индекса "адекватности", то файл 40\50 может быть соооовсем не вирусом, а человека его написавшего - побьют.
Сам пробовал.
Первый тест: отправил калькулятор на ВТ, результат = 12\46 (точно не помню), но калькулятор я сам нацарапал для подсчета нумерологического числа для введенного слова. Он АААбсолютно безопасен!!!
Второй тест: у меня была программа, которая из-за ошибки в коде повредила винду так, что пришлось переустанавливать - не запускается - черный экран при включении и всё. Отправил аналог проги, и что бы вы думали.... на ВТ = 0\47 !!!
Если у Вас антивирус установлен стационарно, то он отследит действия программы и тормознет, а если файл тестируется на урезанных анализаторах...
ВирусТотал = фигня!!! Но ради интереса можно пользоваться
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,666
Симпатии
4,961
#16
ВирусТотал - это просто фигня!!!
результат = 12\46 (точно не помню)
Ссылку в студию, иначе это пустой разговор или попытка троллинга.
у меня была программа, которая из-за ошибки в коде повредила винду
И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,127
Симпатии
12,374
#17
Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.
 

Сергій

Активный пользователь
Сообщения
337
Симпатии
174
#18
Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.
Прошу прощения.
Ссылку в студию, иначе это пустой разговор или попытка троллинга.

И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.
Вот калькулятор:
https://www.virustotal.com/ru/file/...4b3670232049837b1bdafb29/analysis/1358694256/
Вот "вирус":
https://www.virustotal.com/ru/file/...ecb7e7bd717209f62731fb3a/analysis/1358756551/
 
Последнее редактирование модератором:

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Симпатии
1,262
#20
Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.
 
Сверху Снизу