Avast WEBforum

Non-English Zone => Русский => Topic started by: thesis on September 09, 2011, 04:48:25 PM

Title: Что делать с ложными срабатываниями?
Post by: thesis on September 09, 2011, 04:48:25 PM
Hi

Аваст, вин-хр/32, бесплатный, нерегистрированный, четвертый день как установлен

Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.

Кто тут врёт? Если врёт аваст, как его вразумить?

Многовато ложных тревог, раздражают уже.

Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Title: Re: Что делать с ложными срабатываниями?
Post by: bAGrat on September 09, 2011, 09:48:33 PM
отправьте NDD.EXE в он-лайн проверкa аваста (http://onlinescan.avast.com/)
Title: Re: Что делать с ложными срабатываниями?
Post by: George Yves on September 09, 2011, 10:15:47 PM
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 10, 2011, 04:02:15 AM
аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже)

отправьте NDD.EXE в он-лайн проверкa аваста (http://onlinescan.avast.com/)

Хм.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 10, 2011, 04:16:16 AM
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 10, 2011, 05:29:31 AM
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.
Другими словами антивирусное ядро и фаервол могут лишь дополнять друг друга, но никак не заменять.
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 10, 2011, 05:45:49 AM
Часто возникающая ситуация: аваст видит вирус в файле (и сканер и монитор и онлайнсканер тоже),
а другие антивиры (drweb-онлайн, каспер-онлайн) ничего подозрительного не обнаруживают.
Например, NDD.EXE (досовский пакет norton utilities 6) по мнению аваста заражен Burglar-1150.
1. Так уж часто возникающая? Примеры в студию.
2. "Burglar-1150" достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))
Title: Re: Что делать с ложными срабатываниями?
Post by: George Yves on September 10, 2011, 12:45:33 PM
Оба экрана - и веб и сетевой - в процессе работы браузера рапортуют о проверке открываемых www-страниц. Только веб-экран именует их "Last page scanned", а сетевой - "Last analyzed connection".
Вы же знаете английский, так что же Вам тут не понятно? Веб-экран сканируект именно страницы, которые Вы посещаете. Он ищет угрозы от элементов на этих страницах и поэтому он сообщает о "проверенных страницах". Сетевой экран сканирует соединения Вашего компьютера через внешние порты. Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о "просмотренных соединениях". За время нахождения в сети компьютер устанавливает множество соединений, но в большинстве - это технические ("невидимые" для пользователя) соединения (например, пользователь не видит на экране процесс поиска запрашиваемого сайта, а компьютер за это время может установить несколько соединений - начиная от поиска сайта и до установления с ним связи).
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 10, 2011, 03:02:12 PM
Вэб-экран делает антивирусную проверку трафика, а фаервол контролирует сетевую активность.

Пожалуйста, еще раз внимательно прочитайте то, что я выше написал.
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 10, 2011, 03:39:02 PM
Пожалуйста, еще раз внимательно прочитайте то, что я выше написал.
Да хоть сто раз прочитаю, ответ остаётся прежним.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 10, 2011, 03:48:56 PM
1. Так уж часто возникающая? Примеры в студию.
2. "Burglar-1150" достаточно древний и известный вирус и его детект идёт по базам, а не эвристикой, поэтому врятли это ложная тревога.
3. Онлайн-сканеры могут и не находить вируса в файле т.к. его там уже нет. При работающих экранах Аваста заражённый фал просто не отправился бы в сеть. По всей видимости этот файл проходит процедуру лечения антивирусным ядром Аваста и только после этого отправляется в сеть, и естественно, он оказывается чистым.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

1. А я разве не в "студии"? Я - плохой пример? Этот NDD - не единственный экземпляр. Есть и другие, просто менее звестные широкой публике. Имена файлов вам ни  о чем не скажут. Файл NEWBIRD.X вам знаком? Полагаю, что нет. Это хранилище каких-то данных, по всей видимости графических элементов, от ДОСовской игрушки 80Ñ‹Ñ… годов. Аваст полагает, что в этом файле есть Dark Avenger-1536/1800. Да, и онлайн-аваст тоже. Да, все остальные антивирусы ничего подозрительного в этом файле не видят.
Файлик размером 32000 байт, структура совершенно прозрачна. Хотите посмотреть на него сами? Вот, пожалуйста (http://meteodata.spb.ru/temp/NEWBIRD.zip)
И так далее.

2. "Burglar-1150" вирус и правда не новый. Дрвеб и Nod32 его не видят. Онлайнсканеры Дрвеб и Каспера его не видят. Древние версии антивирусов - современником этого Бурглара - ничего не обнаруживают.
Аваст же его видит - и сканер и онлайнсканер.
Почему?

3. Онлайн-сканеры могут и не находить вируса
Онлайнсканер _аваста_ его таки находит. Чтение этого зараженного (или нет) файла Аваст позволяет. Этот NDD я могу совершенно безнаказанно открыть и посмотреть, скопировать в NULL, отправить по ftp. Скопировать на другой диск не могу, запустить не могу - аваст блокирует.

Но это все лирика. Меня в первую очередь интересует можно ли уменьшить количиество ложных тревог без ущерба для безопасности, и если можно, то как это сделать.

П.С. решили просканировать залежи древнего хлама, раз такое нашлость? )))

Ага. При смене антивируса. Полная проверка всей файлопомойки. Полезно бывает весьма, иной раз такие сюрпризы всплывают!
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 10, 2011, 04:48:38 PM
thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Можно было бы согласиться с ложным детектом если бы это был проактивный детект, но эти вирусы чётко обнаруживаются по базам, поэтому ложняк маловероятен.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 10, 2011, 04:54:53 PM
Соединение, установленное для просмотра страницы, это всего лишь частный случай множества соединений, устанавливаемых Вашим компьютером, и поэтому Сетевой экран сообщает о "просмотренных соединениях".

ОК. Я сформулирую вопрос иначе.

Исходящее сетевое соединение, в случае с TCP, есть открытый по моей инициативе сокет. Если клиент (мой браузер) запрашивает страницу www.host.com/page.htm, то соединение здесь www.host.com:80, а '/page.htm' - содержание запроса, оформленного согласно протоколу http. По тому же соединению клиент примет от сервера то, что сервер посчитает нужным выдать. Скорее всего эту самую page.htm плюс немного http-заголовков.

Вопрос: что из этого проверяет "сетевой экран"?
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 10, 2011, 05:28:04 PM
Вопрос: что из этого проверяет "сетевой экран"?
Думается, что это вопрос разрабам.
Title: Re: Что делать с ложными срабатываниями?
Post by: George Yves on September 10, 2011, 06:11:57 PM
thesis Повторяю, Сетевому экрану до лампочки содержимое данных, пересылаемых через порты. Его задача - проверка допустимости самого соединения. Веб-экран же контролирует именно содержимое полученных данных.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 11, 2011, 04:49:19 AM
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.

В яблочко.

Я (наконец-то!) сообразил, что можно и собственными глазами посмотреть, а не полагаться на сканеры. Бурглар таки там есть.
Code: [Select]
00036A70:  41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20  AT THE GRAVE OF
00036A80:  47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C  GRANDMA.... â–²Ð· Ь
Так что эту фишку я мысленно перекладываю из "ложные срабатывания" в "надо же, молодец, что нашел!"


Вопрос с DarkAvanger-ом, однако, остается открытым. У этого дырпыр.X нет никаких признаков исполняемого кода. Не говоря уж о сигнатурах вируса (хотя, емнип, были полиморфные варианты)

А может разрабам послать? Может кому любопытно станет.
Практического-то смысла задача начисто лишена.
Title: Re: Что делать с ложными срабатываниями?
Post by: Nikol@y on September 11, 2011, 08:54:32 AM

Я (наконец-то!) сообразил, что можно и собственными глазами посмотреть, а не полагаться на сканеры. Бурглар таки там есть.
Code: [Select]
00036A70:  41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20  AT THE GRAVE OF
00036A80:  47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C  GRANDMA.... ▲з Ь
Так что эту фишку я мысленно перекладываю из "ложные срабатывания" в "надо же, молодец, что нашел!"

А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть..

Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm

Уточню только, что веб-экран держит под контролем порты, прописанные в "Настройках перенаправления", а сетевой - все несколько десятков тысяч...

thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Возможно вы имеете ввиду вот это моё сообщение: http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
 Ð£Ñ‚очню - я не представитель Dr.Web :)
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 11, 2011, 09:43:04 AM
Возможно вы имеете ввиду в это моё сообщение... Уточню - я не представитель Dr.Web :)
Всё может быть. Помню звон да не помню где он.  ;D
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 11, 2011, 02:06:10 PM
А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть..

Не рискнул. Вот тут http://meteodata.spb.ru/temp/ndd.virus.buglar.1150.rar зараженный файл и оригинал, свежевзятый из дистрибутива.

Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm


Спасибо.

[/quote]
Title: Re: Что делать с ложными срабатываниями?
Post by: Nikol@y on September 11, 2011, 08:41:28 PM
thesis , спасибо

Burglar.1150
Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст "Burglar/H". Не заражает файлы из списка (по 2 символа на имя) "CLHWTBF-WCTK". Содержит текст "AT THE GRAVE OF GRANDMA...".
http://read.newlibrary.ru/read/kasperskii_lab_/page128/opisanija_virusov.html
 

Приступим:
Проверяем файл антивирусом, в базах которого этот зловред есть
В качестве такового берём антивирус Dr.Web 4.02 от 28.08.1998 (9040 вирусных записей).
В качестве контрольной проверки сканируем пресловутый архив "3732 вируса"(содержащий как раз в основном DOS-вирусы 90-х годов) http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
Результат сканирования
 
(http://savepic.net/1979426m.jpg) (http://savepic.net/1979426.htm)
подтверждает, что антивирус работоспосбен и по детекту на этом архиве не уступает современным...
 
Убеждаемся, что вирус есть в базе антивируса. В те времена список всех записей был в комплекте с антивирусом
(http://savepic.net/2008101m.jpg) (http://savepic.net/2008101.htm)
 
Прверяем файл антивирусом, в базе которого определение этого вируса есть:
 
(http://savepic.net/1987640m.jpg) (http://savepic.net/1987640.htm)
 
Сравним наш подозрительный файл с чистым файлом (чистый слева), взятым из дистрибутива:
 
(http://savepic.net/1971237m.jpg) (http://savepic.net/1971237.htm)
 
Похоже, что наш подозрительный файл был вылечен (вверху в строке 00010 видимо остался след от удаленного "основного", управляющего кода вируса, а внизу с 5-го символа строки 36А68 - инструкция выполнения кода (но она теперь безжизнена, некому ей управлять).
Файл наш после лечения остался видимо вполне рабочим, контрольный запуск и проверка работоспособности не выявила как следов отклонения его от функциональности, так и вывод текста "Burglar/H".
 
Кто-то может сказать - надо удалять файл с любыми следами от вируса... Может для екзешников это желательно, а что прикажете делать с документами, фотками, видеоматериалами и т. п...
 
 
P.S. Кстати, есть и приколы в инете по поводу Burglar 1150:
http://dibr.nnov.ru/hf1.php?n=8645
AP> Кто-нибудь знает сабж - Burglar 1150? Опасный он не опасный?
"Он _очень_ опасный. Это один из представителей нового поколения вирусов, воздействующих непосредственно на hardware. Hикаких больше штучек с осыпающимися буквами и Янки Дудль. Burglar 1150, записывая определенные значения в порт управления кулером (вентилятор на проце) инвертирует направление его вращения, в результате чего тот начинает не охлаждать проц, а, наоборот,нагоняет на него горячий воздух. От этого проц перегревается и глючит. Может и вообще сгореть.
Если на проце нет кулера, вирус не опасен."
Title: Re: Что делать с ложными срабатываниями?
Post by: vadim170552 on September 12, 2011, 02:15:59 AM
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
Title: Re: Что делать с ложными срабатываниями?
Post by: vadim170552 on September 12, 2011, 02:32:35 AM
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 12, 2011, 02:43:05 PM
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 12, 2011, 06:46:56 PM
Кто-то может сказать - надо удалять файл с любыми следами от вируса... Может для екзешников это желательно, а что прикажете делать с документами, фотками, видеоматериалами и т. п...
на проце нет кулера, вирус не опасен[/I]."

Целое исследование получилось, спасибо. Понимаю теперь, почему мои запасы старых антивирусов ничего не нашли. Думаю, что такие объекты лучше бы удалять, хотя бы для того, чтобы антивирусник не паниковал.

Кстати, если у вас найдется немного свободного времени, то может быть вы посмотрите на второй объект -- тот, в котором Аваст видит DarkAvanger-1536/1800?
вот он (http://meteodata.spb.ru/temp/NEWBIRD.zip)
Заведомо чистого файла у меня нет, все копии этой игрушки (StarGoose 1988), какие я только смог сейчас отыскать, немного отличаются от той копии, что хранится у меня. Однако могу с уверенностью сказать, что длина в 32000 байт соотвествует оригиналу.
Title: Re: Что делать с ложными срабатываниями?
Post by: Nikol@y on September 12, 2011, 09:37:02 PM
Кстати, если у вас найдется немного свободного времени, то может быть вы посмотрите на второй объект -- тот, в котором Аваст видит DarkAvanger-1536/1800?
Заведомо чистого файла у меня нет, все копии этой игрушки (StarGoose 1988), какие я только смог сейчас отыскать, немного отличаются от той копии, что хранится у меня. Однако могу с уверенностью сказать, что длина в 32000 байт соотвествует оригиналу.
Хорошо. В этом исследовании мы попробуем поставить под сомнение то, что из баз современных антивирусов исключают старые вирусы...(хотя исключения из правил всегда есть...)

DarkAvanger-1536/1800 (по классификации Dr.Web - Eddie.1530 и Eddie.1800)

Eddie.1530
        ÐžÐ¿Ð°ÑÐ½Ñ‹Ð¹ резидентный вирус. Иногда "вешает" систему и изменяет тип диска
        Ð² CMOS-памяти.
Eddie.1800 (1-3)
        ÐžÑ‡ÐµÐ½ÑŒ опасные резидентные вирусы. Производят запись в случайные сектора
        Ñ‚екущего диска 512 байт своего кода. Перехватывают  INT  21h,  27h.  ÐÐµ
        Ð´Ð°ÑŽÑ‚ изменить адрес вектора INT 21h. INT 27h используется для  ÐºÐ¾Ð½Ñ‚роля
        Ð·Ð° INT 21h. Первоначальный вариант вируса содержал текстовые строки:

        Eddie lives...somewhere in time!
        Diana P.
        This program was written in the city of Sofia (C) 1988-89 Dark Avenger


http://stfw.ru/page.php?id=9120

Берём два файла зараженных Eddie.1800 - один оригинальный, второй - Московский штамм, в котором сообщение "Eddie lives... somewhere in time" заменено на
 "B O R O D A мстит во времени".

Проверяем их на вирустотал:

1. Результат первого
File name: DA-1800D.COM
Submission date: 2011-09-12 19:21:09 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=79f9a330739b4d30379303e1e563deff867d9677922faf9f011073f79cd412b4-1315855269

2. Результат второго:
File name: DA-1800B.COM
Submission date: 2011-09-12 19:22:12 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=ed9d688705f71a05e4c564e86d8ba73da075b008b36e039e409176b6c2bd167a-1315855332

Как видим, если файлы действительно заражены, то это отметили все уважаемые антивирусы.
Ну, и результат проверки вашего файла:
http://www.virustotal.com/file-scan/report.html?id=fcb73b98ac4903c7176bfb710900d9912c0fc0c83e5e1f63952079df28b611d1-1315851399
Видимо, Аваст опять ругается на остатки кода вируса в вылеченом файле...
Title: Re: Что делать с ложными срабатываниями?
Post by: thesis on September 13, 2011, 12:51:41 AM
Eddie.1800 (1-3)
        Eddie lives...somewhere in time!

Есть! Характерный кусок, 512 байт, от 0x6000 по 0x61ff, единственный фрагмент файла, похожий на программный код, начинается как раз с этой строки.
Вот, видимо на нее аваст (и прочие) и реагирует.
Весь остальной объем -- растровая графика, я полагаю. Комбинации битовых тетрад 0x0, x1, 2, 6, 9, b, f занимают 96% объема.

Файл - не исполняемый. Контент более всего похож на графические элементы и весьма схож с контентом остальных *.X файлов из этой игрушки. Он не мог быть выбран для заражение по маске *.exe/com, не мог быть заражен на перехвате ДОС-функции exec.
Каким образом в него попал фрагмент тела вируса - тайна сия велика есть.
Title: Re: Что делать с ложными срабатываниями?
Post by: vadim170552 on September 13, 2011, 02:11:49 AM
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.
Красиво, я так не умею :'(
Title: Re: Что делать с ложными срабатываниями?
Post by: Aryen on September 13, 2011, 04:22:48 PM
Касательно ложных срабатываний...
Quote
Информация о последнем обновление

Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 13, 2011, 04:29:18 PM
Красиво, я так не умею :'(
Кнопка "Modify"
Title: Re: Что делать с ложными срабатываниями?
Post by: Dim@rik on September 13, 2011, 04:32:45 PM
Касательно ложных срабатываний...
Quote
Информация о последнем обновление

Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.


Почти всегда у Аваста после большой обновы ложняки (перед этим была - New virus definitions added:7386).
Title: Re: Что делать с ложными срабатываниями?
Post by: Aryen on September 13, 2011, 05:09:07 PM
А мне главное то, что у аваста отличный детект, хороший песок и то, что он один из немногих прошёл достойно тесты Рампанта. Это реальный показатель) Особенно потешно смотреть на то, что бесплатная версия аваста даёт жару некоторым платным продуктам. Хехехе))) Что уж говорить про платную)
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 14, 2011, 01:47:07 PM
Aryen
Что за тест? Ссылочку можно?

Dim@rik
Это же роботы работают, в случае чего аналитики руками допиливают. Сейчас так все антивирусные вендоры работают.
Title: Re: Что делать с ложными срабатываниями?
Post by: Dim@rik on September 14, 2011, 02:15:35 PM


Dim@rik
Это же роботы работают, в случае чего аналитики руками допиливают. Сейчас так все антивирусные вендоры работают.

Спс за инфу...я в курсе.
Title: Re: Что делать с ложными срабатываниями?
Post by: Aryen on September 14, 2011, 06:37:59 PM
Aryen
Что за тест? Ссылочку можно?

http://www.youtube.com/user/OldRampant
Title: Re: Что делать с ложными срабатываниями?
Post by: GeneZis on September 15, 2011, 04:03:25 PM
http://www.youtube.com/user/OldRampant
Благодарю. ::)