Snow_Irbis
Профи в Сат-ТВ
какой антивир?
Помогите с выбором Антивируса!
Snow_Irbis
Профи в Сат-ТВ
да ну зачем еще деньги платить,кстати как он его как троянчика определил?
Лично я насчитал там только 101 файл.Скриншот в студию в том архиве 106 файлов
Объясню где каспер там увидел 138 объектов. Некоторые файлы в архиве внутри имеют другие файлы (это либо установщики либо дроперы), каспер при распаковке таких файлов, каждый извлеченный файл считает как отдельный объект. Потому и всплыло такое число.
Каспер не смог обнаружить эти файлы: H@tKeysH@@k.DLL, FireDLL.dll, patch.exe
Первый является кейлогером или его частью, каспер его отловит проактивкой без особых проблем. По двум другим пока ничего сказать не могу.
Архив достаточно старый, потому большинство антивирусов покажут похожий результат.
Добавлено через 5 минут
Тут имхо такие варианты, либо был использован схожий код из каким то вирусом, либо сам файл несёт эту длл внутри и потом извлекает, плюс ко всему он заменяет длл-ку другого приложения, такое поведение обычно характерно для зловредов, потому эвристик антивирусов имеет полное право считать его вирусом.
Добавлено через 14 минут
С чего Вы взяли что антивирусы должны на него реагировать? Если он только прописывает себя в автозагрузку то это еще не повод считать его опасным, очень много полезных прог пишут себя в автозагрузку. А отлавливать сам процес это уже прерогатива HIPS систем и не каждый антивир имеет на борту нормальную HIPS защиту (кстати у доктора тоже такой штуки нет).
Ну и сюда же антивирус ловит вирус только когда он есть в базах или когда на него среагировал эвристик (что случается довольно редко).
Добавлено через 16 минут
Ребята не стоит открыто постить или давать ссылки на кряки или ключи. Этим Вы вредите сами себе. Так как тогда повышается вероятность бана ключа.
Последнее редактирование:
Теперь уже другой тест обсуждаем - творение господина Снежного Барса - http://forum.sat-expert.com/attachm...366338-pomogite-s-vyborom-antivirusa-test.rar, который типа не вирус, но что-то отдалённо вирусное в нём есть (типа как "девушка, Вы конечно не Венера, но что-то венерическое в Вас есть
).
!!!CRISTIAN
Местный
Сори, исправил. Теперь есть!!yea!
Аваст для домашнего пользования, может кто незнает, дается бесплатно, и лицензия на год (тоже бесплатно).
Сам долгое время пользовался авастом, нареканий не было.!good!
Последнее редактирование:
Snow_Irbis
Профи в Сат-ТВ
Да есть такое дело,по ссылке Virustotal - сервис, который анализирует подозрительные файлы и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ, определяемых антивирусами.его находит только АнтиВир ,АВАСТ и Гдата.В моем исполнении да она безобидна ,но может выполнять подмену файлов,далее может создавать на рабочем столе ссылки на веб ресурсы,и если удаляеш ссылку а из автозагрузки ярлык не удалить,то ссылка на рабочем столе появляется после перезагрузки,в версии др.Веб 4,32 класифицировался как ТРОЯН,щас чего он не класифицируется не знаю
ardon:надо было при пересчете их включать отображение срытых объектов
один файл инфицирован сразу несколькими вирами ,интересно ,интересно,как же они там уживаются
читать выше и смотреть скриншот
я не виноват что в новых ядрах антивирусных программ поставили этот алгоритм на игнорирование
нее смотри у себя ,мож что то хватонул
Скриншот проверки тестового файла
ПИ Всем кто запускал тестовый файл удалите целевую папку отмеченную красным C:\WINDOWS\Тест\,а также ярлыки в папке автозагрузка с именем "Not deleted" и Прочти
Вложения
Последнее редактирование:
Такие вещи делают много полезных программ, если заставить реагировать на него эвристик то будет много ложных срабатывань, а это не есть гуд.В моем исполнении да она безобидна ,но может выполнять подмену файлов,далее может создавать на рабочем столе ссылки на веб ресурсы,и если удаляеш ссылку а из автозагрузки ярлык не удалить,то ссылка на рабочем столе появляется после перезагрузки,в версии др.Веб 4,32 класифицировался как ТРОЯН,щас чего он не класифицируется не знаю
А все HIPS отлавливают такие действия без проблем. Кстати замена файлов и прописывание в папку автозагрузки это не самое страшное что может быть.
Либо учимся читать либо учим матчасть. Я не писал что файлы инфицированы несколькими вирусами, я говорил что файл внутри имеет другие объекты, тобиш файлы. (подобно архиву)
Янепомню как он его определил я его резко намусорку вспровадил.!bad!
Snow_Irbis
Профи в Сат-ТВ
какие вещи,ярлык который постоянно добавляется?
не ну я тут не причем
ardon:что за антивир?
Ну тогда объясните мне чем Ваше творение отличается от обычного установщика. Ваш файл ничего не создает (ну кроме ярлыка) а только распаковывает. И на что должен был среагировать антивирусник? На скрипт распаковки или на скрипт создания ярлыка? Такие вещи делают тысячи программ. Если добавить реакцию на такие скрипты получим кучу ложных срабативань и соответственно геморрой для антивирусной лаборатории.
Если бы Ваш файл отслеживал состояние своих файлов и постоянно их востанавливал или препятствовал их удалению это уже другое дело, тогда уже можно было бы говорить о плохом эвристике или HIPS системе.
Snow_Irbis
Профи в Сат-ТВ
ну это ты знаеш об автозагрузке а тетя какая нибудь не знает,и раз запустив файлик у нее появляется на рабочем столе юэрэл на какойнибудь веб ресурс,она его удаляет а он опять появляется.А на том веб ресурсе может быть что угодно.Обычно конечно там реклама,и тот кто зашел чем нибудь да заинтерисуется.Раньше такие программы находил др.Веб в версии 4,32,сейчасные версии не находят, на тот файл что я выложил раньше сработали три антивируса скриншот смотреть тут,на файлик который я сечас вылажую сработала одна антивирусная программа(смотреть скриншот 2 или загрузить и проверить самому) ,
файл в архиве после запуска создаст на рабочем столе ссылку на этот форум,и при удалении его с рабочего стола при последующей перезагрузки опять там появится,объясни чем это не троян?
ПИ тот файл что я выкладывал раньше при удалении ярлыка на текстовый файл создает его повторно если не удалить из автозагрузки ярлык NOT DELETED
файл в архиве после запуска создаст на рабочем столе ссылку на этот форум,и при удалении его с рабочего стола при последующей перезагрузки опять там появится,объясни чем это не троян?
ПИ тот файл что я выкладывал раньше при удалении ярлыка на текстовый файл создает его повторно если не удалить из автозагрузки ярлык NOT DELETED
Вложения
Последнее редактирование:
Но наверное не зря же антивирусы всё-таки на Ваши творения не реагируют? Очевидно они умеют различать зловредные алгоритмы и Ваше баловство. Напишите что-нибудь новое, не внесённое в антивирусные базы, и реально зловредное (но в меру, например удаляющее наперёд нами созданный какой-то файл) и мы все с радостью протестим антивирусы. Тем более это можно делать не подвергая компы опасности.
Snow_Irbis
Профи в Сат-ТВ
дык реагируют но не все,скрины я приводил,в этом можно убедится и самому закачав те файлы которые я раньше вылаживал
Вообщето я пользу людям делаю ну раз просят могу и такое,файл в архиве
только я за последствия не ручаюсь
Ребята антивирус будет реагировать на файл только в том случае если сигантура на этот файл будет в базах, или если при создании было использовано алгоритм который использует другой вирус (при определенной ступени похожости). По такому принципу работают все антивирусы. Но некоторые ещё имеют такую штуку как эвристический анализатор, вот его задача поиск неизвестных ещё вирусов. В теории он должен просмотреть файл на предмет наличия подозрительных функций. Но тут есть одно но, надо учитывать и нормальные программы, так как ложное срабатывание может быть хуже нежели пропуск вирусов. В реальной жизни эвристик практически бесполезная штука. Потому большинство антивирусов и не реагируют на "проги" которые выкладывает Snow_Irbis.
Кстати Snow_Irbis проактивная защита каперского без проблем справилась с вашим файлом.
Очень мудрено заменять boot.ini, с помощью распаковывающегося архива.
Уж если хочется чем то удивить то напишете что то на С или ассемблере, вот тогда и проверим на что способны наши антивирусы. Эвристический анализатор на распаковывающиеся архивы срабатывать не будет, по той причине что я писал выше, тут единственная защита это HIPS.
Кстати Snow_Irbis проактивная защита каперского без проблем справилась с вашим файлом.
Очень мудрено заменять boot.ini, с помощью распаковывающегося архива.
Уж если хочется чем то удивить то напишете что то на С или ассемблере, вот тогда и проверим на что способны наши антивирусы. Эвристический анализатор на распаковывающиеся архивы срабатывать не будет, по той причине что я писал выше, тут единственная защита это HIPS.
Snow_Irbis
Профи в Сат-ТВ
ardon:я вирусы не стараюсь писать!Просто те файлы что я выкладывал раньше определялись вебом как троян и записывались на диски а в авторане стоял их запуск,береш диск вставляеш а у тебя кучя фигни налетело!bad!. Сам удивился когда их мало антивирусов обнаружует и то через раз,но все же обнаружует.rus_lv, попросил сам что бы какойнибудь файлик заменяло(хотел зделать подмену нтлоадера но потом передумал уж сильно это по ламерски)и боот.ини вполне достаточно,кстати надеюсь rus_lv, сохранил перед запуском файл боот.иниты свой давай вирусик выложи какой нибудь
Snow_Irbis
Профи в Сат-ТВ
на те держите программу шутку,так как пакостить я не буду!!!
ПИ жду твоего написанного вира!!!
С ув.Snow_Irbis