Author Topic: Что делать с ложными срабатываниями?  (Read 19496 times)

0 Members and 1 Guest are viewing this topic.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.

В яблочко.

Я (наконец-то!) сообразил, что можно и собственными глазами посмотреть, а не полагаться на сканеры. Бурглар таки там есть.
Code: [Select]
00036A70:  41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20  AT THE GRAVE OF
00036A80:  47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C  GRANDMA.... â–²Ð· Ь
Так что эту фишку я мысленно перекладываю из "ложные срабатывания" в "надо же, молодец, что нашел!"


Вопрос с DarkAvanger-ом, однако, остается открытым. У этого дырпыр.X нет никаких признаков исполняемого кода. Не говоря уж о сигнатурах вируса (хотя, емнип, были полиморфные варианты)

А может разрабам послать? Может кому любопытно станет.
Практического-то смысла задача начисто лишена.

Offline Nikol@y

  • Poster
  • *
  • Posts: 445
    • lab14

Я (наконец-то!) сообразил, что можно и собственными глазами посмотреть, а не полагаться на сканеры. Бурглар таки там есть.
Code: [Select]
00036A70:  41 54 20 54-48 45 20 47-52 41 56 45-20 4F 46 20  AT THE GRAVE OF
00036A80:  47 52 41 4E-44 4D 41 2E-2E 2E 2E FF-1E A7 00 9C  GRANDMA.... ▲з Ь
Так что эту фишку я мысленно перекладываю из "ложные срабатывания" в "надо же, молодец, что нашел!"

А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть..

Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm

Уточню только, что веб-экран держит под контролем порты, прописанные в "Настройках перенаправления", а сетевой - все несколько десятков тысяч...

thesis
Была как-то тема про сканирование сборки каких-то древних, по большей части ещё досовских вирусов. Там всё спорили почему разные антивирусы показывали разное количество детекта. В общем там дошли даже до представителей антивирусных вендоров, и кажется, представитель Др. Вэба объяснил ситуацию так, что они не будут добавлять в свои базы древние вирусы, которые неработоспособны под современными ОС, т.к. это безсмысленно и только раздувает базы.
Возможно ваши вирусы как раз и попали под такие причины необнаружения другими АВ сканерами - они просто удалены из большинства АВ баз. Пока других причин не могу придумать.
Возможно вы имеете ввиду вот это моё сообщение: http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
 Ð£Ñ‚очню - я не представитель Dr.Web :)
« Last Edit: September 11, 2011, 06:11:46 PM by Nikol@y »
Windows 10 Pro x64, MS Office 2010 x64, IE11, Dr.WEB SS 12
Сертификаты

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Возможно вы имеете ввиду в это моё сообщение... Уточню - я не представитель Dr.Web :)
Всё может быть. Помню звон да не помню где он.  ;D

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
А запускать не пробывали? Может файл вылечен давно, просто остались остатки кода?
Можно мне его скинуть..

Не рискнул. Вот тут http://meteodata.spb.ru/temp/ndd.virus.buglar.1150.rar зараженный файл и оригинал, свежевзятый из дистрибутива.

Про веб-экран и сетевой экран вот здесь немного есть:
http://lab14.narod.ru/avast5_2.htm


Спасибо.

[/quote]

Offline Nikol@y

  • Poster
  • *
  • Posts: 445
    • lab14
thesis , спасибо

Burglar.1150
Неопасный резидентный вирус. При значении секунд системного времени- 14 вирус выводит текст "Burglar/H". Не заражает файлы из списка (по 2 символа на имя) "CLHWTBF-WCTK". Содержит текст "AT THE GRAVE OF GRANDMA...".
http://read.newlibrary.ru/read/kasperskii_lab_/page128/opisanija_virusov.html
 

Приступим:
Проверяем файл антивирусом, в базах которого этот зловред есть
В качестве такового берём антивирус Dr.Web 4.02 от 28.08.1998 (9040 вирусных записей).
В качестве контрольной проверки сканируем пресловутый архив "3732 вируса"(содержащий как раз в основном DOS-вирусы 90-х годов) http://forum.avast.com/index.php?topic=71691.msg599933#msg599933
Результат сканирования
 

подтверждает, что антивирус работоспосбен и по детекту на этом архиве не уступает современным...
 
Убеждаемся, что вирус есть в базе антивируса. В те времена список всех записей был в комплекте с антивирусом

 
Прверяем файл антивирусом, в базе которого определение этого вируса есть:
 

 
Сравним наш подозрительный файл с чистым файлом (чистый слева), взятым из дистрибутива:
 

 
Похоже, что наш подозрительный файл был вылечен (вверху в строке 00010 видимо остался след от удаленного "основного", управляющего кода вируса, а внизу с 5-го символа строки 36А68 - инструкция выполнения кода (но она теперь безжизнена, некому ей управлять).
Файл наш после лечения остался видимо вполне рабочим, контрольный запуск и проверка работоспособности не выявила как следов отклонения его от функциональности, так и вывод текста "Burglar/H".
 
Кто-то может сказать - надо удалять файл с любыми следами от вируса... Может для екзешников это желательно, а что прикажете делать с документами, фотками, видеоматериалами и т. п...
 
 
P.S. Кстати, есть и приколы в инете по поводу Burglar 1150:
http://dibr.nnov.ru/hf1.php?n=8645
AP> Кто-нибудь знает сабж - Burglar 1150? Опасный он не опасный?
"Он _очень_ опасный. Это один из представителей нового поколения вирусов, воздействующих непосредственно на hardware. Hикаких больше штучек с осыпающимися буквами и Янки Дудль. Burglar 1150, записывая определенные значения в порт управления кулером (вентилятор на проце) инвертирует направление его вращения, в результате чего тот начинает не охлаждать проц, а, наоборот,нагоняет на него горячий воздух. От этого проц перегревается и глючит. Может и вообще сгореть.
Если на проце нет кулера, вирус не опасен."
« Last Edit: September 11, 2011, 08:51:29 PM by Nikol@y »
Windows 10 Pro x64, MS Office 2010 x64, IE11, Dr.WEB SS 12
Сертификаты

Offline vadim170552

  • Jr. Member
  • **
  • Posts: 26
Re: Что делать с ложными срабатываниями?
« Reply #20 on: September 12, 2011, 02:15:59 AM »
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?

Offline vadim170552

  • Jr. Member
  • **
  • Posts: 26
Re: Что делать с ложными срабатываниями?
« Reply #21 on: September 12, 2011, 02:32:35 AM »
Кстати, никак не понимаю разницу между web-shield и netword-shield. И то и другое проверяет веб-страницы, которые открывает браузер. К чему такая избыточность, зачем дважды делать одну и ту же работу?
Нет никакого дублирования. Веб-экран занимается отслеживанием угроз на посещаемых Вами веб-страницах, т.е. того, что Вы видите на своём экране. Сетевой экран отслеживает угрозы, пытающиеся проникнуть из сетей любого уровня.

Например, если Вы в браузере откроете заражённую страницу, то сработает Веб-экран, который обнаружит вредоносную активность и заблокирует доступ к этой странице. Если же кто-нибудь попытается взломать Вашу систему, то сработает Сетевой экран, который обнаружит подозрительную скрытую сетевую активность и отключит соединение с её источником. Проще говоря, Веб-экран отслеживает видимый на экране интернет, а Сетевой экран следит за "техническим" интернетом, скрытым от глаз пользователя, т.е. за непосредственным общением компьютеров, серверов, сетей и т.д. Сетевой экран тоже регистрирует, просматриваемые страницы, но только для проверки на сетевое мошенничество: вирусные базы Аваста содержат и список на мошеннические и вредоносные сайты, доступ к которым блокируется сразу же после появления запроса на их посещение.А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?
А можно сравнить на уровне "лучше-хуже" аваст и MSE по этим опциям?

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Re: Что делать с ложными срабатываниями?
« Reply #22 on: September 12, 2011, 02:43:05 PM »
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Кто-то может сказать - надо удалять файл с любыми следами от вируса... Может для екзешников это желательно, а что прикажете делать с документами, фотками, видеоматериалами и т. п...
на проце нет кулера, вирус не опасен[/I]."

Целое исследование получилось, спасибо. Понимаю теперь, почему мои запасы старых антивирусов ничего не нашли. Думаю, что такие объекты лучше бы удалять, хотя бы для того, чтобы антивирусник не паниковал.

Кстати, если у вас найдется немного свободного времени, то может быть вы посмотрите на второй объект -- тот, в котором Аваст видит DarkAvanger-1536/1800?
вот он
Заведомо чистого файла у меня нет, все копии этой игрушки (StarGoose 1988), какие я только смог сейчас отыскать, немного отличаются от той копии, что хранится у меня. Однако могу с уверенностью сказать, что длина в 32000 байт соотвествует оригиналу.

Offline Nikol@y

  • Poster
  • *
  • Posts: 445
    • lab14
Кстати, если у вас найдется немного свободного времени, то может быть вы посмотрите на второй объект -- тот, в котором Аваст видит DarkAvanger-1536/1800?
Заведомо чистого файла у меня нет, все копии этой игрушки (StarGoose 1988), какие я только смог сейчас отыскать, немного отличаются от той копии, что хранится у меня. Однако могу с уверенностью сказать, что длина в 32000 байт соотвествует оригиналу.
Хорошо. В этом исследовании мы попробуем поставить под сомнение то, что из баз современных антивирусов исключают старые вирусы...(хотя исключения из правил всегда есть...)

DarkAvanger-1536/1800 (по классификации Dr.Web - Eddie.1530 и Eddie.1800)

Eddie.1530
        ÐžÐ¿Ð°ÑÐ½Ñ‹Ð¹ резидентный вирус. Иногда "вешает" систему и изменяет тип диска
        Ð² CMOS-памяти.
Eddie.1800 (1-3)
        ÐžÑ‡ÐµÐ½ÑŒ опасные резидентные вирусы. Производят запись в случайные сектора
        Ñ‚екущего диска 512 байт своего кода. Перехватывают  INT  21h,  27h.  ÐÐµ
        Ð´Ð°ÑŽÑ‚ изменить адрес вектора INT 21h. INT 27h используется для  ÐºÐ¾Ð½Ñ‚роля
        Ð·Ð° INT 21h. Первоначальный вариант вируса содержал текстовые строки:

        Eddie lives...somewhere in time!
        Diana P.
        This program was written in the city of Sofia (C) 1988-89 Dark Avenger


http://stfw.ru/page.php?id=9120

Берём два файла зараженных Eddie.1800 - один оригинальный, второй - Московский штамм, в котором сообщение "Eddie lives... somewhere in time" заменено на
 "B O R O D A мстит во времени".

Проверяем их на вирустотал:

1. Результат первого
File name: DA-1800D.COM
Submission date: 2011-09-12 19:21:09 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=79f9a330739b4d30379303e1e563deff867d9677922faf9f011073f79cd412b4-1315855269

2. Результат второго:
File name: DA-1800B.COM
Submission date: 2011-09-12 19:22:12 (UTC)
Result: 40/ 44 (90.9%)
http://www.virustotal.com/file-scan/report.html?id=ed9d688705f71a05e4c564e86d8ba73da075b008b36e039e409176b6c2bd167a-1315855332

Как видим, если файлы действительно заражены, то это отметили все уважаемые антивирусы.
Ну, и результат проверки вашего файла:
http://www.virustotal.com/file-scan/report.html?id=fcb73b98ac4903c7176bfb710900d9912c0fc0c83e5e1f63952079df28b611d1-1315851399
Видимо, Аваст опять ругается на остатки кода вируса в вылеченом файле...
« Last Edit: September 13, 2011, 06:28:20 AM by Nikol@y »
Windows 10 Pro x64, MS Office 2010 x64, IE11, Dr.WEB SS 12
Сертификаты

Offline thesis

  • Jr. Member
  • **
  • Posts: 30
Eddie.1800 (1-3)
        Eddie lives...somewhere in time!

Есть! Характерный кусок, 512 байт, от 0x6000 по 0x61ff, единственный фрагмент файла, похожий на программный код, начинается как раз с этой строки.
Вот, видимо на нее аваст (и прочие) и реагирует.
Весь остальной объем -- растровая графика, я полагаю. Комбинации битовых тетрад 0x0, x1, 2, 6, 9, b, f занимают 96% объема.

Файл - не исполняемый. Контент более всего похож на графические элементы и весьма схож с контентом остальных *.X файлов из этой игрушки. Он не мог быть выбран для заражение по маске *.exe/com, не мог быть заражен на перехвате ДОС-функции exec.
Каким образом в него попал фрагмент тела вируса - тайна сия велика есть.

Offline vadim170552

  • Jr. Member
  • **
  • Posts: 26
Re: Что делать с ложными срабатываниями?
« Reply #26 on: September 13, 2011, 02:11:49 AM »
vadim170552
Можно было просто отредактировать предыдущее сообщение, а не создавать ещё одно.
Красиво, я так не умею :'(

Offline Aryen

  • Full Member
  • ***
  • Posts: 111
Re: Что делать с ложными срабатываниями?
« Reply #27 on: September 13, 2011, 04:22:48 PM »
Касательно ложных срабатываний...
Quote
Информация о последнем обновление

Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.
The meaning of life is to give life meaning - A.A.Lucassen

Offline GeneZis

  • Full Member
  • ***
  • Posts: 175
Re: Что делать с ложными срабатываниями?
« Reply #28 on: September 13, 2011, 04:29:18 PM »
Красиво, я так не умею :'(
Кнопка "Modify"

Offline Dim@rik

  • Advanced Poster
  • **
  • Posts: 670
Re: Что делать с ложными срабатываниями?
« Reply #29 on: September 13, 2011, 04:32:45 PM »
Касательно ложных срабатываний...
Quote
Информация о последнем обновление

Версия:11091301
Дата:2011-09-13
Добавлены новые вирусы:-30
This VPS update contains only fixes to existing definitions or removal of false alarms.


Почти всегда у Аваста после большой обновы ложняки (перед этим была - New virus definitions added:7386).