Author Topic: Win32: Evo-Gen  (Read 78517 times)

0 Members and 1 Guest are viewing this topic.

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #30 on: November 28, 2013, 07:13:35 PM »
sandrey005
Здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме.

Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?
http://forum.avast.com/index.php?topic=140712.msg1027218#msg1027218
Quote
По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.
К нику пользователя stdlib ни у кого претензий не было и нет. Претензии были к нику другого пользователя, который тоже оставил сообщения в этой теме, но этот пользователь свой ник уже сменил. Пожалуйста, внимательнее следите за ходом обсуждения.
May the FOSS be with you!

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #31 on: November 29, 2013, 12:08:54 AM »
I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?
visual studio - C, пакет masm - ассемблер.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #32 on: November 29, 2013, 06:45:34 AM »
Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.
Чисто экспериментально. Когда у меня есть время, я занимаюсь анализом зараженных файлов самостоятельно. Так как Evo-Gen стал появляться каждый день, пришлось пристальнее обратить внимание на эту проблему. Получалось одно из двух - либо у нас в организации эпидемия, либо это все ложные срабатывания. У каждого файла, определявшегося как Evo-Gen я заменял ресурсы, импорт, данные и код, и проверял на Evo-Gen. 
После чего, заполнял файл случайными значениями, после чего заполнял файл нулями, оставляя в секции кода только одну инструкцию - retn. При всех этих манипуляциях файл определялся как Evo-Gen (причем, понятное дело, файл поврежден и запуститься уже не может). Также пересаживал PE-заголовок от файла, который определялся как Evo-Gen в другие файлы, если точка входа указывала не на нулевое значение, файл тоже начинал определяться как Evo-Gen. Из всего этого можно сделать вывод, что Evo-Gen работает по заголовку (может и не только, но мне такие файлы не встречались).
Чтобы не быть голословным, могу привести пример файла, состоящего из одной секции - секции кода, содержащего одну инструкцию retn и определяющегося как Evo-Gen (если это, конечно, кого-нибудь интересует).
А по поводу техподдержки - да, я обращался, но приходится делать обновления, писать новые модули, причем довольно часто. На новых модулях тоже появляется Evo-Gen. Не могу же я каждый день спамить в техподдержку. Тут надо не с симптомами бороться, а с самой проблемой в корне.
За ссылку спасибо, посмотрел. Но ничего нового в этом нет. Подобные технологии у других антивирусов реализованы давно - так ищутся сигнатуры для полиморфных вирусов.
« Last Edit: November 29, 2013, 07:22:02 AM by Stdlib »

Offline Adov

  • Newbie
  • *
  • Posts: 1
Re: Win32: Evo-Gen
« Reply #33 on: November 29, 2013, 08:37:46 AM »
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #34 on: November 29, 2013, 05:44:16 PM »
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.

отлично!  :D

ради интереса написал простой hello world! кто угадает, что на него говорит аваст, тот молодец:
http://www.sendspace.com/file/7o3yz1

надо бы обратиться с этой злющей программой в форму обратной связи аваста  ;D

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #35 on: November 29, 2013, 07:23:19 PM »
Вчера обновился до версии 132811-1. А сегодня обнаружил, что много файлов определяются как Evo-Gen. Например движок инсталяции от DevExpress Inc. (www.devexpress.com). Особенно неприятно, что когда появляется диалог, с возможностью игнорировать файл, то кнопка игнорировать не работает. В общем сделал единственный воркараунд: отключил файловый монитор.

отлично!  :D

ради интереса написал простой hello world! кто угадает, что на него говорит аваст, тот молодец:
http://www.sendspace.com/file/7o3yz1

надо бы обратиться с этой злющей программой в форму обратной связи аваста  ;D
Я тут Вашу программу чуть модифицировал (надеюсь она не была защищена авторским правом :). К сожалению, она перестала запускаться, но вредоносный функционал остался :)
http://www.sendspace.com/file/3pw8yp

Offline George_S

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3111
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Re: Win32: Evo-Gen
« Reply #36 on: November 29, 2013, 08:31:30 PM »
Раз уж пошла такая пьянка. А мне не привыкать пакостить ради общего дела: отправьте эти злые и неприемлимые фолсы в VB, av-comparatives, av-test и т.д. Пусть провалят тесты авастовцы, чтоб неладно было так программистам жизнь портить :)

А то честно говоря: не дело в реестр лезть и отключать "передовую" технологию. Тут действительно не работает принцип "перебздеть, чтобы недобздеть". Тут надо наказать: и как уже подсказал. Думаю, быстро отрезвеют фолсовые дятлы аваста и их быстро уволят.
« Last Edit: November 29, 2013, 08:36:30 PM by George_S »
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #37 on: November 30, 2013, 11:46:24 PM »
Я тут Вашу программу чуть модифицировал (надеюсь она не была защищена авторским правом :). К сожалению, она перестала запускаться, но вредоносный функционал остался :)
http://www.sendspace.com/file/3pw8yp
ну что Вы! это фриваре  :)
вот это я понимаю пердовая технология. просто детектит "огрызок" файла - РЕ заголовок  ;D
уж простите за флуд - но это действительно цирк.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #38 on: December 01, 2013, 06:53:58 AM »
Раз уж пошла такая пьянка. А мне не привыкать пакостить ради общего дела: отправьте эти злые и неприемлимые фолсы в VB, av-comparatives, av-test и т.д. Пусть провалят тесты авастовцы, чтоб неладно было так программистам жизнь портить :)

А то честно говоря: не дело в реестр лезть и отключать "передовую" технологию. Тут действительно не работает принцип "перебздеть, чтобы недобздеть". Тут надо наказать: и как уже подсказал. Думаю, быстро отрезвеют фолсовые дятлы аваста и их быстро уволят.
Спасибо за идею, попробуем. Также завтра проинформирую Министерство Финансов на счет детектов в их софте, посмотрим что они скажут.

Offline user_w7

  • Newbie
  • *
  • Posts: 2
Re: Win32: Evo-Gen
« Reply #39 on: December 01, 2013, 02:02:18 PM »
За 3 года пользования avast скажу так - отличная помощь к "прямым рукам"(не сочтите за грубость ТС).
У самого дома стоит связка-free avast(только файловый монитор) и firewall comodо,причем последний работает без gui, т.е. настраиваю, а за тем убираю из автозагрузки cfp.exe для экономии, пашет только cmdagent-все легко и надежно.
Насчет delphi-сам пользуюсь изредка hiasm(бесплатный конструктор)и компилятором delphi, так вот аваст детектирует evo-gen только в проектах с прямым доступам к клавиатуре либо диску, на другие молчит-решил просто-папку с проектами и готовым софтом поставил в исключение-да не очень хорошо для безопасности, но если антивирус подстраховывает меня(а не я его), почему бы и нет.
Насчет бухгалтерских программ-на работе тоже на всех машинах аваст(offline update- это супер) и программы для работы с банком(пр.Клиент-Банк), Radius, программы работающие с базами данных Oracle, Firebird, есть программы Smeta,Zarplata-и все работает.Единственное-при первом запуске программы для ЭЦП спросил что делать-добавил в исключение.Почему у Вас ТС так-может программы работают с дополнительными редкими библиотеками на которые он и срабатывает, так и поставьте их в исключение.
Да, детект у аваста конечно немного параноидальный, но мне например файловый монитор аваста нравится больше, чем например у антивируса от comodo-размер баз(для меня очень актуально) и опять таки легкость.
И вообще-ставил другим людям, так вот один друг год назад позвал, у него стоял платный антивирус(не буду называть) и лицензия-скачал игрушку(с вшитым трояном) не ведомо откуда, которая платник завалила, и чего-то там куда-то отсылала,а вот на ресурсы с антивирусами заходить не давала.Аваст таки установил, и сканирование на автозагрузке убрала трояна(мелочи типа файла hosts-ручками,или avz), но гарантировать что он меня снова не позовет не стану, и дело не в авасте-друг качает все что "нипопадя"(ликбез я ему прочитал,но толку...) и шастает в сети куда попало.
Мой пост не ода себе или авасту - операционная система конечно у всех одна и та же(и имя её WINDOWS*), но вот то чем она напичкана(пр. антивирус) и как настроена будет сильно их отличать, соответственно и подходы где-то будут другими.Пробуйте, ищите, если форум не сталкивался с подобным.
Форум не занимается разработкой-это коллективное собрание таких же юзеров, среди которых есть продвинутые, которые и пишут в разработчикам коллективное мнение,но все исключительно на добровольных началах, зарплату они за это не получают.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #40 on: December 01, 2013, 08:30:26 PM »
Хотел верхний пост детально откомментировать, но видно, что писал человек не совсем разбирающийся в антивирусах. Добавлять все в исключения - не дело. Можно вообще все тогда добавить, получится что есть антивирус, что нет - одно и то же.
"аваст детектирует evo-gen только в проектах с прямым доступам к клавиатуре либо диску" что здесь Вы имеете в виду? Функции для работы с клавиатурой и диском? Или именно прямой доступ. Откуда вообще такой вывод? Попробуйте удалить все, кроме начала секции кода, посмотрите на результат.
Про бухгалтерские программы говорю конкретно - АС УРМ Бюджет http://www.krista.ru/budget/ и АС «Смета»  http://www.krista.ru/smeta/ при запуске определяются как Evo-Gen (не сами, конечно, некоторые компоненты, но без этих компонентов программы неработоспособны).
Про comodo - без комментариев, антивирус на уровне ClamAV, нашли с чем сравнивать.
P.S. сегодня отписал на av-test, av-comparatives и vb как и советовали, посмотрим что выйдет из этого.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #41 on: December 02, 2013, 11:50:48 AM »
Всем кому не безразлична данная проблема сообщаю: вчера получил ответ от AV-Comparatives. У кого еще есть софт, определяющийся как Evo-Gen шлите на мыло stdlib@bk.ru. На следующей неделе свою коллекцию Evo-Gen'ов и все что мне пришлют отправлю в AV-Comparatives, все это будет использоваться у них в качестве тестового софта.

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1641
  • Hello, world>_
Re: Win32: Evo-Gen
« Reply #42 on: December 04, 2013, 01:11:15 PM »
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета
Да пусть эти минфинофские поделки вкупе с АС Бюджет вечно в бане сидят. Может хоть аваст научит этих программеров создавать свои детища, используя brain.exe и hands.dll. Удивительное дело когда программа диктует исполнителю что делать и без бумажки не может закрыть исполненный контракт =)
P.S.: фалс аваста с Evo-Gen категорически не одобряю.

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #43 on: December 08, 2013, 06:33:24 PM »
были отправлены 3 письма по вышеуказанным компниям. ответила только AV-Comparatives. были запрошены примеры, предоставил сэмпл (ехе файл) нашего проекта и приведенный выше кусок пе заголовка для примера. после чего мне было предложено открыть доступ к нашим файлам, откуда бы они брали новые версии и уже сами "тыкали носом" аваст.

я на это ответил, что мне такое не нужно. что прошу вас обратить внимание на проблему, принять во внимание эти фолсы в последующих тестах и связаться с авастом непосредственно.
ну после этого ответа не последовало...
так что, товарищи программисты, советуйте пользователям выбирать более умные антивирусные защиты.

Offline Dima DD

  • Newbie
  • *
  • Posts: 5
Re: Win32: Evo-Gen
« Reply #44 on: December 10, 2013, 09:25:08 PM »
А я вот просто отредактировал Avast5.ini (лишь добавил там строчку "DisableEvogen=1" в секцию "[Scanner]", отключив на время самозащиту и перезагрузившись) - и всё, теперь никаких Эвогенов нет и в помине! 8)
« Last Edit: December 10, 2013, 09:26:43 PM by Dima DD »