Что нам показывает ВирусТотал?

[Severnyj]

Не совсем про тестирование, но все же:

В пятницу вечером поймал обычного нашего друга Trojan.Win32.Cidox (он же Trojan.Mayachok.1) по привычке проверил на VT (детект оказался примерно 4 из 42) разослал кому мог, и стал ждать.

В сегодняшнем утреннем обновлении мой Avast наконец-то стал определять нашего друга, как Win32:Agent-ANCL [Trj]. По этой причине решил, что время пришло и повторно заливаю файл на ВТ. Что я наблюдаю: а наблюдаю интересную картину примерно так:

Avast5 5.0.677.0 2011.07.24 -

Трясу головой, говоря брр . Еще раз сканирую файл: детект есть. Проверяю версию баз - последняя.
И делаю повторный анализ на ВТ, результат:

Avast5 5.0.677.0 2011.07.24 Win32:Agent-ANCL [Trj]

.

Уже не первый раз натыкаюсь, но раньше не обращал внимания, когда с Софоса мне писали, что детект добавлен, на ВТ он то появлялся, то исчезал.
Налицо так же ситуация с Emsisoft, замечаная во время нашего последнего теста, который в списке то появлялся, то исчезал.
На выводы просится то ли очень нестабильная работа сервиса, то ли его маркетинговая заинтересованность.
К сожалению не оставил ссылок на отчеты, кроме последней, так что верить мне придется на словах.

За сим откланюсь, Ваш Severnyj.

 

[Rins]

Доверяй но проверяй.
После двух проверок, на третий раз выдавало о проблеме с файлом.
Не какой то определенный аваст или иное фейлило, а по всем случается все по нулям с первого раза.
Так что, раза три прогнать не мешает, если есть подозрения, но файл выдается как чистенький.

 

[Joker]

Образец вируса не остался?

 

[akok]

Судя по дате поста уже нет. Хотя Trojan.Mayachok.1 и сейчас в сети хоть пруд пруди.

 

[regist]

Смотрим на дату (точнее время) проверки файла и кол-во детектов

https://www.virustotal.com/file/f0c...4cd20779fa11643caf6a928f/analysis/1347615924/

https://www.virustotal.com/file/f0c...ef72ce540704cd20779fa11643caf6a928f/analysis/

заодно посмотрите на дату обновления баз

 

[Severnyj]

Особо понравился результат при нажатии на кнопку View Latest

 

[akok]

SPR/AutoIt.Gen

https://www.virustotal.com/file/592...a90b8c8a5a33cf76e90277c0/analysis/1349007866/

Как весело наблюдать за такими детектами.

 

[glax24]

В авиру я уже отправлял запрос о ложном срабатывание, но они его снова добавляют.

 

[Severnyj]

SPR/AutoIt.Gen

https://www.virustotal.com/file/592...a90b8c8a5a33cf76e90277c0/analysis/1349007866/

Как весело наблюдать за такими детектами.

У меня больше:

https://www.virustotal.com/file/3d5...df8b0ef09ba6c409263e6f57/analysis/1349008515/

 

[akok]

Worm/Sohanad.aim - красота

 

[Severnyj]

Worm/Sohanad.aim - красота

Угу, пора расширять функционал:

Once downloaded onto the computer, the worm copies itself somewhere on the system under a name that is meant to be inconspicuous. Examples:

%windir%\system32\Microsoft\svhost32.exe
%windir%\system32\Microsoft\rvhost.exe


Note: %windir% represents the system's Windows folder.

Sohanad variants also create a registry entry that executes the worm at startup. Typically Sohanads also modify the registry to disable task manager and registry tools. Examples:

# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = 00000001
# HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableRegistryTools = 00000001

 

[glax24]

У меня больше:
https://www.virustotal.com/file/3d51...is/1349008515/

А авира уже молчит

 

[Severnyj]

А авира уже молчит

Это на мой конструктор детект))

 

[glax24]

Откомпилировал с новой версией UPX, детект 0
https://www.virustotal.com/file/bd8...74f31b4443e634bd2068f57b/analysis/1349010452/

 

[Сергій]

ВирусТотал - это просто фигня!!! Прото для интересующихся. И это не ИМХО, я так считаю и на своем мнении настаиваю!!!
На одном форуме поднимал этот вопрос. Если из 50-ти анивирусов есть только меньше 10 почтенных, а результат без индекса "адекватности", то файл 40\50 может быть соооовсем не вирусом, а человека его написавшего - побьют.
Сам пробовал.
Первый тест: отправил калькулятор на ВТ, результат = 12\46 (точно не помню), но калькулятор я сам нацарапал для подсчета нумерологического числа для введенного слова. Он АААбсолютно безопасен!!!
Второй тест: у меня была программа, которая из-за ошибки в коде повредила винду так, что пришлось переустанавливать - не запускается - черный экран при включении и всё. Отправил аналог проги, и что бы вы думали.... на ВТ = 0\47 !!!
Если у Вас антивирус установлен стационарно, то он отследит действия программы и тормознет, а если файл тестируется на урезанных анализаторах...
ВирусТотал = фигня!!! Но ради интереса можно пользоваться

 

[shestale]

ВирусТотал - это просто фигня!!!

результат = 12\46 (точно не помню)

Ссылку в студию, иначе это пустой разговор или попытка троллинга.

у меня была программа, которая из-за ошибки в коде повредила винду

И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.

 

[akok]

Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.

 

[Сергій]

Казнить нельзя помиловать. В общем предупреждение за коверканье русского языка выдано.

Прошу прощения.

Ссылку в студию, иначе это пустой разговор или попытка троллинга.

И что, эта программа превратилась после этого в малварь? VT вообще то не анализатор кода ваших программ.

Вот калькулятор:
https://www.virustotal.com/ru/file/...4b3670232049837b1bdafb29/analysis/1358694256/
Вот "вирус":
https://www.virustotal.com/ru/file/...ecb7e7bd717209f62731fb3a/analysis/1358756551/

 

[akok]

Вот калькулятор:

Я не вижу прямого детекта окромя Ikarus и Jiangmin, остальное эвристики сработки.

 

[edde]

Технология проверки неизвестных программ включает в себя проверку упаковщиков и доверенных подписей. Симантек определил ваш калькулятор как Suspicious - подозрительный только и всего, Trojan.Peed.Gen это примерно тоже самое, но в принципе можно считать что фолс. То, как вы пишите ваши программы антивирусы в этом не виноваты.