Jump to content
Sign in to follow this  
Noises

Странное определие вредоности файла

Recommended Posts

Здравствуйте.

 

Сегодня мне друг передал файл в виде .exe через скайп. Мне сразу же Kasperky выдал что это вирус. Друг очень был удивлён, так как проверял файл той же версией касперского и вирусов обнаружен не было. Начали ваяснять и поняли:

Если файл передаётся в виде .exe через скайп - Касперский определяет его как вирус.

Если файл передаётся архивом .rar через скайп и далее проверяется либо архив, либо уже сам файл после вскрытия архива - Касперский уже не видит вирус.

 

Вопрос: Есть ли какой либо вирус в данном файле.

 

Ссылка на файл:

http://rgho.st/6L5YGkfZB

 

0e083e884cde4b74968a923314d73396.png

 

Изображение показывае что при проверки ничего не обнаружено, но справа видно окно, что касперский ругается на данный файл.

Edited by Noises

Share this post


Link to post

Обратите внимание, касперский не "выдаёт что это вирус" а определяет подозрительное поведение файла, соответствующее поведению вируса. Подозрительность в данном случае это совокупность признаков начиная от нестандартного источника получения, недостоверной ЭЦП и поведения файла.

Про простой проверке файл не запускается и соответственно проверка ничего не находит в нем подозрительного.

Запускать на своём компьютере я бы такое не стал. Хорошо, если это просто пиратка, а если оно наставит рекламных примочек в браузеры?

Share this post


Link to post

при скачивании в Хроме, тоже есть предупреждение

post-328408-1480098357_thumb.jpg

 

при запуске попадет в группу ограничений, так как фаил подписан недействительным сертификатом, срабатывание происходит по базе облака в KSN

является ли это ложным срабатыванием, нужно выяснять у вирусных аналитиков

Share this post


Link to post

Установка ПО для удалённого управления без доверенной ЭЦП? Даже если конкретно этот файл чист, срабатывание правильное. А вносить в исключения в базах каждую пиратскую сборку не дело.

Share this post


Link to post

Почему тогда проверка файла не видит этой же проблемы с сертификатом?

 

"Про простой проверке файл не запускается и соответственно проверка ничего не находит в нем подозрительного. "

 

Но при запуске опять же видимо должен находить проблему на которую он ссылается, но почему то не находит.

 

Edited by Noises

Share this post


Link to post

Проверка файла не занимается сертификатами. Она ищет вирусы в нём, вирусов в данном фале не обнаружено, судя по приведённым вами результатам.

Share this post


Link to post
Проверка файла не занимается сертификатами. Она ищет вирусы в нём, вирусов в данном фале не обнаружено, судя по приведённым вами результатам.

 

Что занимается сертификатами, если:

1) При скачивании архива данное окно уведомления не отображается

2) При запуске программы данное окно уведомление не отображается

 

Получается проверка сертификата идёт только в случае скачивания .exe файла?

Edited by Noises

Share this post


Link to post
2) При запуске программы данное окно уведомление не отображается
в какую группу Контроля программ добавлен файл? и по какой причине?

 

Share this post


Link to post

Что вы прицепились к сертификату? Срабатывание идёт по КОМПЛЕКСУ признаков. Навскидку это пресловутый сертификат, получение exe файла нестандартным путём, действия производимые файлом при работе (наверняка установка драйвера).

Получая файл в архиве вы устраняете один из оценочных критериев и рейтинг файла недобирает до уровня когда его действия начинают блокироваться.

Share this post


Link to post
в какую группу Контроля программ добавлен файл? и по какой причине?

 

 

Слабые ограничения:

d1b255bc8b5e4c17a17888f8a55a45a1.png

Share this post


Link to post

Отправил этот же файл обратно другу так же использую скайп в ввиде .exe файла. У него сообщения такого не было. С чем это может быть связано?

Share this post


Link to post

надо у друга спрашивать, чем его настройки антивируса (если версия поддерживается) отличаются от ваших

Share this post


Link to post

C тем, что друг не запускал присланный файл. Или отключил мониторинг активности.

Share this post


Link to post

Сделали еще пару тестов, выяснили следующее:

 

Отправляю файл другу и сразу же он пытается запустить его из скайп, сразу же получает то же сообщение.

 

Вас поняли.

Share this post


Link to post
Проверка файла не занимается сертификатами.

Допустим..., но почему тогда при запуске файла сертификат так же не всегда играет роль при добавлении вредоноса в доверенный список?, ответьте пожалуйста!

 

Замечал и раньше у Антивируса Касперского (тестировались версии KIS / KTS) различные недостатки в проверках, в том числе и на уровне эвристического анализа, но то что случилось сегодня меня просто мягко говоря повергло в уныние! :unsure:

 

Прилетела мне сегодня от знакомого ссылка, на якобы ZIP архив, забегая вперед скажу что конечно же исполняемый файл оказался вовсе не архивом, а обычным рекламным трояном, с добавлением всякой нечести на рабочий стол, в панели задач, меню пуск, с изменениями настроек браузера и тп., по части всяческих Майл.ру агентов, спутников, служб, поисковых надстроек браузера и прочей рекламы.

Конечно же стоило проверить файл так как я делал это раньше, через песочницу эмулятора, с последующим дебагом и анализом последовательных действий, но почему то в этот раз я решил этого не делать, положился полностью на Каспера :dash1: очередной урок для себя самого!

 

В общем и целом при запуске наблюдал как KTS только и успел что показать мне уведомление о том что данный исполняемый файл не является вирусом, и возможно является рекламной программой, после долгих и продолжительных матов в адрес KTS, я все же взял себя в руки и занялся ручной очисткой системы от наволившегося на нее дерьма, так же я поковырялся в KTS и обнаружил интересную особенность, ниже приведу скриншот из KTS на котором у меня возник ряд вопросов:

 

post-620511-1487512358_thumb.jpg

 

PS: нет, ну я понимаю конечно что возможно исполняемый файл либо самописный либо модифицированный, и по этому не указан не производитель, не цифровая подпись, это относится ко всем сторонним файлам такого типа, и естественно подозревать все подобные файлы как вирусные антивирус не должен, но почему тогда он попал в список доверенных автоматически, ведь такие файлы как и в старых версиях Антивируса Касперского должны как минимум получать ограничения и блокироваться с дальнейшим запросом действий от пользователя, разве не так?, по крайней мере раньше такие "неизвестные" файлы каспер считал подозрительными, почему же сейчас он автоматически им начал вдруг доверять и по одной только информации из KSN давать ему необходимые разрешения?, почему уже наконец не внесут рекламные программы в список недоверенных, сколько можно ловить эту пакость пусть даже при дефолтных настройках Касперского? :angry:

А то какой то каламбур получается, TeamViewer указанный на предыдущем скриншоте добавляется в список с ограничениями, а рекламные трояны сразу попадают в доверенные?!

Edited by WhiteH@cK

Share this post


Link to post

сам по себе обновлятор от маилру безобидный как дитя.

потому по правилам KSN он в группе Доверенные

Share this post


Link to post
Допустим..., но почему тогда при запуске файла сертификат так же не всегда играет роль при добавлении вредоноса в доверенный список?, ответьте пожалуйста!

В современных антивирусах ЛК, начиная с версии 2017 подпись файла имеет значение только в том случае, если она подтверждается Вирлабом ЛК.

Т.е. если я подпишу свою программу моей подписью, она от этого не станет более доверенной, чем неподписанный файл, до тех пор, пока в ЛК не наберется статистика по этой подписи, а именно - что ей подписываются невредоносные программы.

 

Share this post


Link to post
сам по себе обновлятор от маилру безобидный как дитя.

потому по правилам KSN он в группе Доверенные

Как я полагаю, безобидным должен считаться тот обновлятор, даже если он действительно таковым является, который имеет как минимум авторство (что тоже конечно ни о чем не говорит по части вредоносов), и подпись, а то получается что какой то файл с похожей сигнатурой, назвавшейся должным образом должен быть добавлен в доверенный список?

Вы же сами видите по скриншоту что файл по сути и с точки зрения Антивирусной проверки имеет сходство с реальным апдейтером MailRu только в названии, у него даже иконки нет, ну максимум похожая сигнатура, вряд ли бы тогда Каспер его просто так залупил в доверенный список, или я в чем то ошибаюсь, и все гораздо печальней?

 

В современных антивирусах ЛК, начиная с версии 2017 подпись файла имеет значение только в том случае, если она подтверждается Вирлабом ЛК.

Т.е. если я подпишу свою программу моей подписью, она от этого не станет более доверенной, чем неподписанный файл, до тех пор, пока в ЛК не наберется статистика по этой подписи, а именно - что ей подписываются невредоносные программы.

Да, так и должно быть, и это правильно с точки зрения безопасности, именно об этом я и говорю, что проверяться это всеровно должно в любому случае, и пусть даже этот файл действительно легальный и не несет в себе никакого лишнего функционала, но при этом имеет не проверенную подпись, то он ВСЕРОВНО ДОЛЖЕН БЫТЬ "not-a-virus с ограничениями", а уж никак не в доверенный список автоматом, и запрос пользователю нужно как в старых версиях Каспера выводить, разрешить дальнейшие действия программе или же запретить, что бы как минимум снимать с себя ответственность за действия пользователя, если он разрешит работу вредоносу!, из этого следует вопрос, где сейчас этот функционал в Каспере, за каким простите...., его убрали? <_<

Edited by WhiteH@cK

Share this post


Link to post

какая может быть иконка, у файла, с 0 размером, и которого физически нет.

В отчете, при первом запуске программ, пишется причина занесения программы в ту или иную группу, так вот в группу Доверенные заносятся программы с доверительной подписью или по правилам KSN

Согласно скриншоту, именно по правилам из KSN, программа добавлена в группу Доверенные

Edited by kmscom

Share this post


Link to post
Как я полагаю, безобидным должен считаться тот обновлятор, даже если он действительно таковым является, который имеет как минимум авторство (что тоже конечно ни о чем не говорит по части вредоносов), и подпись, а то получается что какой то файл с похожей сигнатурой, назвавшейся должным образом должен быть добавлен в доверенный список?

Даже у очень похожих файлов, отличающихся буквально в один байт очень непохожие SHA-хеши.

 

Вы же сами видите по скриншоту что файл по сути и с точки зрения Антивирусной проверки имеет сходство с реальным апдейтером MailRu только в названии,

Это не значит, что файл вредоносный.

 

у него даже иконки нет, ну максимум похожая сигнатура, вряд ли бы тогда Каспер его просто так залупил в доверенный список, или я в чем то ошибаюсь, и все гораздо печальней?

Я не знаю, что такое "похожая сигнатура", но файл добавили в базу KSN в качестве доверенного отнюдь не по причине "похожести" сигнатуры.

 

Да, так и должно быть, и это правильно с точки зрения безопасности, именно об этом я и говорю, что проверяться это всеровно должно в любому случае, и пусть даже этот файл действительно легальный и не несет в себе никакого лишнего функционала, но при этом имеет не проверенную подпись, то он ВСЕРОВНО ДОЛЖЕН БЫТЬ "not-a-virus с ограничениями", а уж никак не в доверенный список автоматом

С какой радости? Вот сами Вы как себе представляете: легальный файл (про который Вы знаете что он легальный, о чем и пишите) дететкить как not-a-virus?

 

 

и запрос пользователю нужно как в старых версиях Каспера выводить, разрешить дальнейшие действия программе или же запретить, что бы как минимум снимать с себя ответственность за действия пользователя, если он разрешит работу вредоносу!, из этого следует вопрос, где сейчас этот функционал в Каспере, за каким простите...., его убрали? <_<

Так включите запросы, и будут Вам запросы.

Share this post


Link to post
какая может быть иконка, у файла, с 0 размером, и которого физически нет.

Согласен, не проверил это сразу, виноват, каюсь.

 

Даже у очень похожих файлов, отличающихся буквально в один байт очень непохожие SHA-хеши.

Верно, Вы хотите сказать что Hash файла проверяется в процессе первого запуска, я конечно сильно в этом сомневаюсь, хотя бы потому что обновления выходят постоянно, и вряд ли каспер хранит в базах у себя все хеши пусть даже только официального софта.

 

Это не значит, что файл вредоносный.

А это уже с какой стороны посмотреть, например с Вашей точки зрения возможно вредоносные файлы это именно вирусы, трояны, черви, боты, и тп., но с точки зрения обычного пользователя, файл который заполоняет после запуска все кругом рекламными ярлычками, файлами, картинками, плагинами в браузерах и тп., создает в планировщике задач - задания на запуск браузера и переход по ссылке (пусть даже рекламной а не вредоносной) каждые 10-30 минут, как раз таки так же будет считаться файлом вредителем, пусть даже мы с Вами понимаем что вред между рекламным инсталлятором и трояном имеет значительную разницу, и что после рекламного инсталла все можно почистить самостоятельно вручную, но для обычного пользователя и то и другое наносит вред, и не должно быть просто так пропущено Антивирусом, тем более не каким то там, а входящим в десяток мировых лидеров на рынке антивирусного ПО!

 

Так включите запросы, и будут Вам запросы.

В том то и дело что они были включены, в этом то и парадокс.

 

В общем эту дискуссию можно разводить еще на много много страниц текста, я лишь хочу акцентрировать Ваше внимание, как представителей, на то что не помешало бы блокировать дальнейший запуск и выполнение каких либо действий всех программ, который антивирус посчитал подозрительными или "рекламными", и выводить пользователю по мимо уведомления еще и окно выбора дальнейших действий, а то как я уже ранее говорил, пропускать без вопросов рекламные программы это не дело, получается что можно создать простейший файл-распаковщик, засерающий все свободное пространство жестких дисков, встроенных накопителей, подключенных накопителей и расшаренных сетевых ресурсов рекламными (как вы говорите безобидными) файликами и ярлычками, и подвесить его на различные сайты в банерах, или же на торрентах и файлообменниках под видом полезного ПО, посмотрим как быстро Вы добавите такую "not-a-virus, возможно реклама" программу в свою базу как ВИРУС, ведь по сути между первым и вторым случаем разница только в количестве дерьма вылившегося на ПК, не так ли?

 

PS: конечно же с распаковщиком я преувеличил, но мысль я думаю Вы мою поняли.

Edited by WhiteH@cK

Share this post


Link to post

вы не там внимание акцентируете, и совсем не тех, кого думаете. перед вами такие же пользователи.

у вас включена опция "Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя" ?

Share this post


Link to post
Верно, Вы хотите сказать что Hash файла проверяется в процессе первого запуска, я конечно сильно в этом сомневаюсь, хотя бы потому что обновления выходят постоянно, и вряд ли каспер хранит в базах у себя все хеши пусть даже только официального софта.

Напрасно сомневаетесь.

 

В общем эту дискуссию можно разводить еще на много много страниц текста, я лишь хочу акцентрировать Ваше внимание, как представителей, на то что не помешало бы блокировать дальнейший запуск и выполнение каких либо действий всех программ, который антивирус посчитал подозрительными или "рекламными", и выводить пользователю по мимо уведомления еще и окно выбора дальнейших действий,

Боюсь, что после этого у Вас перестанет работать ну так навскидку каждая первая вновь устанавливаемая программа. :D

 

а то как я уже ранее говорил, пропускать без вопросов рекламные программы это не дело,

Осталась самая малость: написать код по различению рекламных программ от всех остальных. Можете заняться на досуге.

 

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.