Win32: Evo-Gen

[George Yves]

Stdlib

Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).

http://forum.avast.com/index.php?topic=102771.msg900279#msg900279

3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.

Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........

Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php

"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.

Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.

Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.

Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.

По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?

Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.

В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.

Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.

[George Yves]

Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989

Не используйте пошлые и вульгарные выражения в своих никах.

http://forum.avast.com/index.php?topic=102771.msg849186#msg849186

Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.

Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"

Его адрес Вам известен: http://www.avast.ru/contact-form.php

[afix]

Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989

Не используйте пошлые и вульгарные выражения в своих никах.

http://forum.avast.com/index.php?topic=102771.msg849186#msg849186

Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.

Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.

очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"

Его адрес Вам известен: http://www.avast.ru/contact-form.php

Не слишком ли Вы толерантны к одним и нетерпимы к другим? Закрадываются нехорошие подозрения... Избирательное правосудие,как у Я----ча?

[Stdlib]

Stdlib

Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).

http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
Ок, Ваше высказывание про культуру речи, наверное, эмоциональным не является.

3. Не выплёскивайте эмоции - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.

При этом ниже Вы же пишете, что в авасте особо с проблемами не желают разбираться (цитирую: "и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями"),

Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php

Тогда зачем Вы мне вообще здесь про эвристик писали?

"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду.
Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.

Просто замечательно. Те антивирусы у которых есть нормальный эвристик это могут вычислить я понимаю. Как перенаправление и хайджекинг браузера определяется по PE-заголовку, этого я понять не могу.
Приведу пример: в 2011 году писал научную работу по методикам тестирования антивирусов. Изучали мы эвристики. Типичный случай: в импорте есть функции для работы с реестром, сетью, файловой системой. В коде последовательно вызвается: сеть, копирование файлов, реестр. Что это может быть? Downloader. Так ведет себя нормальный эвристик.
Есть эвристики в Panda antivirus, BitDefender (и его производных F-prot, G-Data, Emsisoft и прочих). Они не нормальны, иногда реагируют на размеры секций, на кусок импорта и пр. Но при этом они все равно ориентируются по коду, импорту, данным, ресурсам. Ориентироваться только по PE-заголовку нельзя.

Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.

Я описал проблему, с которой может столкнуться каждый участник форума - т.е. покупатель или потенциальный покупатель данного анитивируса.

По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.

Сайты наподобие VirusTotal и Jotty.

В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.

Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.

Читать это следует так: купили геморрой за свои-же деньги. Вроде контора чешская, а на самом-то делe типичный бизнес по-русски.

[Stdlib]

Кстати, буду еще раз писать в техподдержку объемное письмо. Кого-нибудь из пользователей форума результаты этих всех дел будут интересовать? Может какие вопросы задать?
Раз уж тут форум взаимопомощи, то окажу помощь части пользователей Avast.
Многие спрашивают что-же такое Win32:Evo-Gen (хотел тут ссылки привести, но не буду - заходим в гугл и пишем Win32:Evo-Gen, действительно многие спрашивают, даже у техподдержки, но мы же помним: "ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями").
Отвечаю - совершенно рандомный детект - пустышка. Может вирус, может легитимный файл, может вообще невалидный PE-файл.

[Avast Pidarast]

George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.

afix, по теме есть чо? опять спрашиваю. нет? - прошу вас удалиться и не мешать

Stdlib, да, конечно будет интересен результат. по поводу вопросов: трудно тут что-то им советовать исправить, учитывая саму суть детекта evo gen: просто хочется сказать "Не страдайте ерундой", направьте усилия на разработку нормального эвристика (которого у них считай нет) или уберите вообще evo gen.

и стоит им "напомнить" про то, что результат их меготехнологий будущего - это детект 90% написанного софта вне зависимости от языка написания, будь то программист, пишуший на Си, на бейсике и прочем.

[Dima DD]

У меня АВАСТ в основном "обнаруживает" Evo-gen[susp] в моих программах (Delphi 7), пожатых с помощью UPX. Около пары десятков таких уже наберётся... Что ещё тут неприятно: в списке предлагаемых действий экрана защиты отсутствует игнорирование, можно лишь переместить в карантин, удалить, блокировать или лечить (либо то же самое автоматически).

[Andrey,pro]

Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.

[George Yves]

George Yves, приму во внимание ваш совет. но мой ник никого не оскорбляет и в нем нет мата. провентилируйте если что википедию на предмет описания 2го слова в нике.

Спасибо, что не проигнорировали мою просьбу. На счёт же Вики и т.п. я Вам скажу так: оригинальность хороша вмеру, не стоит эпатировать публику, даже если Вы просто цитируете Библию или Коммунистический манифест.

[Avast Pidarast]

Stdlib, с чего был сделан вывод о том, что файл признается подозрительным по PE-заголовку? Вы сами это придумали и вводите в заблуждение других пользователей. Прежде чем делать такие громкие заключения надо разобраться в механизмах работы технологии Evo-Gen.
Да, возможно технология нуждается в доработке, т.к. часто происходят ложные срабатывания, но это не умиляет достоинства данной технологии.
Подробнее о данной технологии можно почитать здесь: http://blog.avast.com/2012/12/03/new-toy-research-lab/ (к сожалению, статья на английском).
Если происходит блокировка всех созданных Вами программ, то необходимо обратиться в техническую поддержку аваст и сообщить о возникшей проблеме, ложные срабатывания обычно исправляются быстро. Достаточно сообщить, что ложное срабатывание происходит с любой созданной программой на masm'е и прикрепить одну из таких программ.

опытным путем установлено. установлено то, что 80% - это детект по параметрам секций (оффсет\размер\имя\характ-ки) и простоналичие записей в DATA DIRECTORY. отмечу, что именно просто наличие. какое там число - не важно. это крутая метода 
далее: вот наш отдел техподдержки установил давно на некоторые машины аваст. мы - отдел  разработчиков пишем, поддерживаем софт по учету товара, бухгалтерские программки и прочее. постоянно, приходя на работу, я пишу что-то новое, более удобное, учитываю просьбы наших пользователей... и вот как замечательно получается - я в очередной раз компилирую проект. тестируем его, всё ок. даю техподдержке - ребята, обновите там и там софт. они обновляют, и тут мегатехнология аваста говорит, что 2я секция .rdata = 3000h! это подозрительно, и автоматом удаляет.
т.е. что получается? при каждом компилировании проекта, я должен брать ВСЕ EXE, DLL, LIB, слать авасту. они там минимум день будут думать (что сомнительно в данной ситуации) добавят в новые базы исключение. мы ждем обновление баз, софт свой не обновляем.
потом опять - собираю проект, уже 3я секция станет подозрительная - цикл действий заново. думаю суть понятна.

так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.

[George Yves]

так вот. мягко говоря, уважаемые, логику в вашей новой технологии ясно, что нет. но зачем вы сделали такой, простите, геморрой пользователям, разработчикам софта, нам лично? я и техподдержка не хочет ходить целый день к ста машинам и в каждой настраивать исключения и карантин. вы представляете обойти 100 и более машин?
думать надо что ли прежде, чем выпускать ужасы такие.

Вы делаете типичную ошибку: здесь форум общественной поддержки и подавляющее большинство его участников и не сотрудники AVAST Software, а обычные пользователи продуктов компании. Мы не разработчики и не техподдержка, мы не разрабатываем и не выпускаем программу, мы пытаемся делиться своим опытом работы и так помогать решать проблемы с использованием антивируса и других программ. Если сообщество на форуме не в состоянии оказать помощь, то мы всегда рекомендуем обращаться непосредственно к авторам и создателям Аваста. Ваши претензии, выраженные в процитированном фрагменте надо отправлять им с помощью стандартной формы обращения или заводите тикеты в техподдержке.

[Andrey,pro]

I will obey forum rules, в качестве исключения из-за масштабности проблемы я обратился к разработчикам антивируса. От Вас потребуется некоторая техническая информация, поэтому будьте готовы предоставить всю необходимую информацию. Сообщите пожалуйста, в какой среде Вы пишите программы?

[Stdlib]

Я пишу в связке - Code::Blocks и Gcc. Плюс, иногда Visual Studio, для некоторых проектов - Digital Mars. Ассемблер - MASM и FASM.
Пару минут назад звонили с работы - в карантине сидят файлы от программ Министерства Финансов - АС УРМ и Смета. Программы без этих файлов не работают, бухгалтерия в панике. Прошу пристально обратить на это внимание. Проблема уже приобрела действительно огромный масштаб. Ладно я то, могу разобраться, но видели бы вы иных админов госучреждений... У них вот точно зарплату за ноябрь не получат.

[Dima DD]

Вот последняя реакция на эту проблему от разработчиков (Honza Zíka): http://forum.avast.com/index.php?topic=140561.msg1027512#msg1027512
В общем, при больших напрягах есть резон отредактировать ini-файл АВАСТа: добавить там строчку "DisableEvogen=1" в секцию "[Scanner]".

Насколько я понимаю, инишка Avast5.ini находится тут:

Win7, Vista - C:\ProgramData\AVAST Software\Avast\avast5.ini
WinXP - C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\avast5.ini или C:\Documents and Settings\All Users\Application Data\Alwil Software\Avast5\avast5.ini


На время редактирования надо отключить функцию самозащиты АВАСТа:

Интерфейс - Настройки - Устранение неисправностей - Включить модуль самозащиты avast! (снять галочку, потом не забыть её поставить обратно)

Понадобится перезагрузка...

[sandrey005]

Хотелось бы высказать слова в поддержку автора- stdlib в той части, которая касается дела.
Являюсь разработчиком программ на Delphi. За 10 лет практики не сталкивался с подобной проблемой. Разрабатывал программу втечении года. На днях откомпилировал проект и обнаружил, что якобы моя программа содержит EVO-GEN. В программе сотни функций и десятки модулей, включая родные Delphi, обнаружить участок кода, делающий ложное срабатывание практически невозможно. Должно быть у проблемы массовый характер. Хотелось бы узнать кто отвечает за то, что моя программа причислена к потенциально не желательным?

По поводу ника stdlib - похоже на название библиотеки функций языка Си. Очень прискорбно слышать, что недостаток образования называется матом.