Author Topic: Win32: Evo-Gen  (Read 77647 times)

0 Members and 1 Guest are viewing this topic.

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Win32: Evo-Gen
« on: November 23, 2013, 10:49:01 AM »
Работаю в госучреждении, закупили антивирус аваст. Если бы знал что в авасте разрабатывают свой эвристик, обходил бы эту контору за километр.
Несколько месяцев назад начали появляться подозрительные файлы (конечно по мнению аваста). Другие антивирусы показывали что всё ок, virustotal тоже молчал. За эти несколько месяцев аваст поудалял драйвера от принтеров, поломал бухгалтерские программы и много еще гадостей понаделал. Все файлы, надо заметить, определялись авастом как win32: evo-gen. Возникло у меня желание разобраться, что-же этот самый пресловутый evo-gen из себя представляет. Результаты исследований повергли просто в шок. Написал программу на masm'е - 100 арифметических инструкций, проверяю - evo-gen, переделал, заменил другими инструкциями - evo-gen, удалил все инструкции, оставил одну - retn, и что бы вы думали? Опять evo-gen. Теперь вопрос к разработчикам этого прекрасного творения - вы за кого народ держите? За лохов? Типа набили себе высокий процент обнаружений, а на ложные срабатывания можно и забить? Это по-вашему нормально - определять файл на заражение по PE-заголовку? Можно конечно возразить - файл только подозрительный, сам решай что с ним делать. Но зачем мне тогда вообще антивирус? И с ним, и без него буду сам решать. Собрал большую коллекцию evo-gen'ов, все они подозрительные из-за заголовков (при том что в этих файлах нет ни импорта, ни ресурсов, ни кода).
Еще один вопрос к сотрудникам, занимающимся продажей лицензий - у нас лицензия еще год будет действовать, чрезвычайно хотелось бы отказаться от услуг такого антивируса и перейти на что-нибудь более вменяемое, имеющее антиэмулятор, нормальную консоль управления (ваша, например, установилась, а вот удалиться не смогла) и нормальный url-монитор (сайты наши блокируются каждую неделю).

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4155
  • Help you I can
Re: Win32: Evo-Gen
« Reply #1 on: November 23, 2013, 05:16:18 PM »
Stdlib

Очень жаль, что работая в госучреждении, вы так и не научились культуре речи. Ещё мне жаль, что производя закупку для госучреждения вы купили "кота в мешке", не рассмотрев вопрос покупки как положено и не задав необходимые вопросы до покупки. Так же мне жаль, что вы так и не видите разницу между производителем продукции и форумом её пользователей. Здесь, на форуме, Аваст не разрабатывают и не продают - здесь его обсуждают и оказывают взаимопомощь, поэтому мы попытаемся её вам оказать.

1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.

2. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.

3. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.

4. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php
« Last Edit: November 23, 2013, 05:18:09 PM by George Yves »
May the FOSS be with you!

Offline Stdlib

  • Newbie
  • *
  • Posts: 11
Re: Win32: Evo-Gen
« Reply #2 on: November 24, 2013, 07:29:45 PM »
Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast). Далее по пунктам:
Когда покупали Avast, на эвристик и намека не было, появился он несколько месяцев назад (а мы его используем около года). Что я должен был у вас спросить? Не планируете ли вы написать безумный эвристик?

> 1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор (причем надо заметить очень неплохой). Посмотрите на эвристики Касперского - эвристик основывается на коде, импорте, данных. Посмотрите на эвристик NOD32 - та же ситуация. Смотрим на эвристик Avast - PE-заголовок. А если, например, вирусописатель сделает PE-заголовок как, например у putty? Avast будет определять putty как evo-gen? Или вредоносную программу будет пропускать? Для примера: определяет как evo-gen файл с секцией .text 0x200 размер секции, 0x200 смещение, аттрибуты секции 0x60000020. Это нормально по-вашему? Ничего что большинство hello-world'ов такие параметры имеют?
Вот конкретно это вы считаете нормальным:
http://forum.avast.com/index.php?topic=125057.0
http://forum.avast.com/index.php?topic=135455.0
Не костыли писать надо, а работающие вещи.

>2. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.

>3. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?

>4. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php
Очень, очень желаю, вы даже  не поверите как.

В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #3 on: November 25, 2013, 12:33:51 AM »
автор вполне корректно описал проблему и свою точку зрения, а тем более когда у него аваст "грохнул" запчасти легальных программ - про культуру речи б помолчали...
к сожалению, да, этот форум разработчики вряд ли просматривают.

по поводу evo gen: полностью согласен с автором, при написании программ, будь то Си проекты, делфи, ассемблер... не важно - этот детект возниакет в 80 процентов случаев.
при более детальном рассмотрении причины я тоже был мягко говоря в ауте - они признают угрозу по параметрам (размер\оффсеты) секций файла! большего идиотизма придумать невозможно. ни код, ни импорт, ни ресурсы его вообще не волнуют!  ;D

вместо того, чтобы разрабатывать новые технологии эмуляции с соответствующим анализом кода (нод, касперский, vba32 к примеру, считаю эти продукты имеют довольно мощные эмуляторы), в авасте решили действительно пойти простым путем: что им еще не известно, то подозрительно. ну а взять за основую параметры секций (кои могут быть у злостной малвари и у ангельского приложения от винды) абсолютно одинаковы - это, повторюсь, полный профанизм.
 очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"  :D

не пытайтесь спорить, что аваст не лажает. ой как лажает )))

Offline koscl

  • Jr. Member
  • **
  • Posts: 91
Re: Win32: Evo-Gen
« Reply #4 on: November 25, 2013, 06:34:47 AM »
И кстати, Аваст стал совсем нелёгким. После обновления до 9 версии пришлось удалить, т.к. появились заметные тормаза. Может из-за того, у меня также установлен online armor.

Offline afix

  • Super Poster
  • ***
  • Posts: 1568
Re: Win32: Evo-Gen
« Reply #5 on: November 25, 2013, 07:56:15 AM »
Pidarast,это ты о себе? Из меньшинств,значит? Предлагаю модератору забанить данного пользователя без всяких рассуждений.
« Last Edit: November 25, 2013, 08:03:03 AM by afix »

Offline afix

  • Super Poster
  • ***
  • Posts: 1568
Re: Win32: Evo-Gen
« Reply #6 on: November 25, 2013, 07:59:11 AM »
автор вполне корректно описал проблему и свою точку зрения, а тем более когда у него аваст "грохнул" запчасти легальных программ - про культуру речи б помолчали...
к сожалению, да, этот форум разработчики вряд ли просматривают.

по поводу evo gen: полностью согласен с автором, при написании программ, будь то Си проекты, делфи, ассемблер... не важно - этот детект возниакет в 80 процентов случаев.
при более детальном рассмотрении причины я тоже был мягко говоря в ауте - они признают угрозу по параметрам (размер\оффсеты) секций файла! большего идиотизма придумать невозможно. ни код, ни импорт, ни ресурсы его вообще не волнуют!  ;D

вместо того, чтобы разрабатывать новые технологии эмуляции с соответствующим анализом кода (нод, касперский, vba32 к примеру, считаю эти продукты имеют довольно мощные эмуляторы), в авасте решили действительно пойти простым путем: что им еще не известно, то подозрительно. ну а взять за основую параметры секций (кои могут быть у злостной малвари и у ангельского приложения от винды) абсолютно одинаковы - это, повторюсь, полный профанизм.
 очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"  :D

не пытайтесь спорить, что аваст не лажает. ой как лажает )))
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)

Offline George_S

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3088
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Re: Win32: Evo-Gen
« Reply #7 on: November 25, 2013, 08:43:03 AM »
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Win32: Evo-Gen
« Reply #8 on: November 25, 2013, 12:43:05 PM »
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
А что он не так сказал?
« Last Edit: November 25, 2013, 12:52:23 PM by amid525 »

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Win32: Evo-Gen
« Reply #9 on: November 25, 2013, 12:45:01 PM »
И кстати, Аваст стал совсем нелёгким. После обновления до 9 версии пришлось удалить, т.к. появились заметные тормаза. Может из-за того, у меня также установлен online armor.
А вот мне, показалось наоборот. Предыдущий часто притормаживал, особенно при первом доступе к файлу. А из меню пуск запустить, вообще на 2-5сек, система висла.(и мышь)
Сейчас все в порядке.
Хр.

Offline afix

  • Super Poster
  • ***
  • Posts: 1568
Re: Win32: Evo-Gen
« Reply #10 on: November 25, 2013, 12:56:00 PM »
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
Сообщил. А толку?

Offline afix

  • Super Poster
  • ***
  • Posts: 1568
Re: Win32: Evo-Gen
« Reply #11 on: November 25, 2013, 12:57:47 PM »
Вроде такой вумный,а такой ник себе придумал..,что вумным не назовёшь 8)
Не корми тролля. Для таких вещей есть кнопка "сообщить модератору".
А что он не так сказал?
amid,ты ник прочёл его? После такого ника читать его бред нэма охоты.

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Win32: Evo-Gen
« Reply #12 on: November 25, 2013, 01:16:18 PM »
Ну этим ником, он сам себя обозвал. Его право,  я не реагирую. :) Видно больно воспринял некоторые возникшие трудности с Авастом...
А по теме, вроде грамотно написал. По крайней мере, пока ни кто не возразил..

Offline I will obey forum rules

  • Newbie
  • *
  • Posts: 9
Re: Win32: Evo-Gen
« Reply #13 on: November 25, 2013, 02:04:40 PM »
Pidarast,это ты о себе? Из меньшинств,значит? Предлагаю модератору забанить данного пользователя без всяких рассуждений.
по теме есть чо?

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Win32: Evo-Gen
« Reply #14 on: November 25, 2013, 03:18:03 PM »
Andrey,pro, вы как специалист, можете прокомментировать выше изложенные замечания? И как контактирующий с разработчиками, донести до их.. ?  ;)