Что нам показывает ВирусТотал?

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,467
Реакции
8,835
Баллы
753
Не совсем про тестирование, но все же:

В пятницу вечером поймал обычного нашего друга Trojan.Win32.Cidox (он же Trojan.Mayachok.1) по привычке проверил на VT (детект оказался примерно 4 из 42) разослал кому мог, и стал ждать.

В сегодняшнем утреннем обновлении мой Avast наконец-то стал определять нашего друга, как Win32:Agent-ANCL [Trj]. По этой причине решил, что время пришло и повторно заливаю файл на ВТ. Что я наблюдаю: а наблюдаю интересную картину примерно так:

Avast5 5.0.677.0 2011.07.24 -
Трясу головой, говоря брр ;). Еще раз сканирую файл: детект есть. Проверяю версию баз - последняя.
И делаю повторный анализ на ВТ, результат:

Avast5 5.0.677.0 2011.07.24 Win32:Agent-ANCL [Trj]
.

Уже не первый раз натыкаюсь, но раньше не обращал внимания, когда с Софоса мне писали, что детект добавлен, на ВТ он то появлялся, то исчезал.
Налицо так же ситуация с Emsisoft, замечаная во время нашего последнего теста, который в списке то появлялся, то исчезал.
На выводы просится то ли очень нестабильная работа сервиса, то ли его маркетинговая заинтересованность.
К сожалению не оставил ссылок на отчеты, кроме последней, так что верить мне придется на словах.

За сим откланюсь, Ваш Severnyj.
 

Rins

Активный пользователь
Сообщения
364
Реакции
48
Баллы
328
Доверяй но проверяй.
После двух проверок, на третий раз выдавало о проблеме с файлом.
Не какой то определенный аваст или иное фейлило, а по всем случается все по нулям с первого раза.
Так что, раза три прогнать не мешает, если есть подозрения, но файл выдается как чистенький.
 

Joker

Активный пользователь
Сообщения
22
Реакции
10
Баллы
303
Образец вируса не остался?
 

akok

Команда форума
Администратор
Сообщения
17,244
Реакции
13,289
Баллы
2,203
Судя по дате поста уже нет. Хотя Trojan.Mayachok.1 и сейчас в сети хоть пруд пруди.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,467
Реакции
8,835
Баллы
753
Особо понравился результат при нажатии на кнопку View Latest
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
В авиру я уже отправлял запрос о ложном срабатывание, но они его снова добавляют.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,467
Реакции
8,835
Баллы
753

akok

Команда форума
Администратор
Сообщения
17,244
Реакции
13,289
Баллы
2,203
Worm/Sohanad.aim - красота
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,467
Реакции
8,835
Баллы
753
Worm/Sohanad.aim - красота
Угу, пора расширять функционал:

Once downloaded onto the computer, the worm copies itself somewhere on the system under a name that is meant to be inconspicuous. Examples:

%windir%\system32\Microsoft\svhost32.exe
%windir%\system32\Microsoft\rvhost.exe


Note: %windir% represents the system's Windows folder.

Sohanad variants also create a registry entry that executes the worm at startup. Typically Sohanads also modify the registry to disable task manager and registry tools. Examples:

# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = 00000001
# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableRegistryTools = 00000001
 

Сергій

Разработчик
Сообщения
405
Реакции
216
Баллы
218
ВирусТотал - это просто фигня!!! Прото для интересующихся. И это не ИМХО, я так считаю и на своем мнении настаиваю!!!
На одном форуме поднимал этот вопрос. Если из 50-ти анивирусов есть только меньше 10 почтенных, а результат без индекса "адекватности", то файл 40\50 может быть соооовсем не вирусом, а человека его написавшего - побьют.
Сам пробовал.
Первый тест: отправил калькулятор на ВТ, результат = 12\46 (точно не помню), но калькулятор я сам нацарапал для подсчета нумерологического числа для введенного слова. Он АААбсолютно безопасен!!!
Второй тест: у меня была программа, которая из-за ошибки в коде повредила винду так, что пришлось переустанавливать - не запускается - черный экран при включении и всё. Отправил аналог проги, и что бы вы думали.... на ВТ = 0\47 !!!
Если у Вас антивирус установлен стационарно, то он отследит действия программы и тормознет, а если файл тестируется на урезанных анализаторах...
ВирусТотал = фигня!!! Но ради интереса можно пользоваться
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,704
Реакции
5,007
Баллы
743
ВирусТотал - это просто фигня!!!
результат = 12\46 (точно не помню)
Ссылку в студию, иначе это пустой разговор или попытка троллинга.
у меня была программа, которая из-за ошибки в коде повредила винду
И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,244
Реакции
13,289
Баллы
2,203
Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.
 

Сергій

Разработчик
Сообщения
405
Реакции
216
Баллы
218
Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.
Прошу прощения.
Ссылку в студию, иначе это пустой разговор или попытка троллинга.

И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.
Вот калькулятор:
https://www.virustotal.com/ru/file/081ebf4589daa0a3fc3df7cb1d444ce4f816b80d4b3670232049837b1bdafb29/analysis/1358694256/
Вот "вирус":
https://www.virustotal.com/ru/file/5d66f45b405864445ec132e8a5bedacd26d52ff4ecb7e7bd717209f62731fb3a/analysis/1358756551/
 
Последнее редактирование модератором:

edde

Ассоциация VN/VIP
VIP
Сообщения
1,817
Реакции
1,262
Баллы
553
Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.
 
Сверху Снизу