26 ответов в этой теме

[Octagon]

Довольно часто после полного сканирования наблюдал картину наличия названий вирусов, отсутствующих в вирусной базе. Но сегодня уже личный рекорд.
Думаю, что у многих найдётся подобная статистика. Всё бы ничего если бы ни одна проблема: не понятно, что с этим делать? Если это вирус, то его надо удалять до инфицирования компьютера, а если очередная ошибка ВирЛаба, то фиксировать. Ну не посылать же столько файлов на проверку, тем более, что описания нет? Я вообще не понимаю, как можно диагностировать вирусы, которые не имеют точной степени опасности и детализации воздействия?

Прикрепленные файлы:

•  errvirusbaza.txt   2,39К   36 Скачано раз

Сообщение было изменено Octagon: 09 Ноябрь 2011 - 09:42

[HHH]

Они не отсутствуют в вирусной базе. Просто делать описания к каждому вирусу займёт слишком много человеческих ресурсов. Поэтому такие описания для большинства угроз отсутствуют.
Это не значит, что вы наткнулись на ошибку вирлаба.

Если же вы уверены, что DrWeb называет вирусом абсолютно чистый файл, вы можете сообщить об этом в лабораторию - https://vms.drweb.com/sendvirus/ (категория Олжное срабатывание).

[Octagon]

HHH, Ни раз это делал. Но не повально-же? Хорошо, скажу другими словами, по имеющейся практике, к сожалению, довольно часто происходит ложное срабатывание и если посылаю, исправляют. Но когда массово надо, не выдержал и напостил.

[mrbelyash]

в принципе можно расшифровывать

http://vms.drweb.com/classification/?lng=ru

[userr]

Хорошо, скажу другими словами, по имеющейся практике, к сожалению, довольно часто происходит ложное срабатывание и если посылаю, исправляют. Но когда массово надо, не выдержал и напостил.

Минутку, откуда у Вас уверенность, что файлы из "errvirusbaza.txt" это ложные срабатывания?
D:\distr\QuickTime\qt7\Keymaker.exe инфицирован Trojan.Click.45246
Topaz Moment Production Edition v3.4\PATCH\tltmpro34.dll инфицирован BackDoor.Iam.104
выглядят очень подозрительно например.
Так что для Вашей же безопасности обязательно зашлите в вирлаб эти файлы, по одному.

[Octagon]

userr, Ну что Вы всё в одну кучу? Ну где я написал, что нет подозрительных файлов, требующих проверки? Я только написал, что нет такого вируса в определениях, поэтому оценить опасность сложно. Но вот что касается Java или Microsoft, выше всякой критики. Там же не патчи и креки, а скачанные дистрибутивы с родных сайтов?
Хотя, положа руку на сердце, найти патчи с вирусами не просто. Обычно, это сговор фирм-разработчиков прикладного ПО с фирмами-разработчиками антивирусного ПО, хотя и те и другие будут рвать на себе рубашку, что это не так. И посылать эти файлы в ВирЛаб, бессмысленно. Там по определению будет вирус.
Но я не поднимал в сабже вопрос о корректности или качестве работы ВирЛаба, а только о дачи возможности пользователям самим оценить опасность.

[userr]

Ну где я написал, что нет подозрительных файлов, требующих проверки?

Сделайте простую вещь, пожалуйста, отправьте эти файлы по одному в вирлаб drweb. А здесь приведите номера тикетов из ответов.

Но я не поднимал в сабже вопрос о корректности или качестве работы ВирЛаба, а только о дачи возможности пользователям самим оценить опасность.

Простите, это невозможно. Антивирус не может полагаться на квалификацию пользователя в вопросе оценки опасности вируса. Свой "любимый" вирус пользователь может прописать в исключения антивирусу, это всё.

[Octagon]

userr,

Антивирус не может полагаться на квалификацию пользователя в вопросе оценки опасности вируса.

Так я и не предлагаю антивирусу идентифицировать вирусы по желанию клиента. Только дать клиенту возможность самому определить его опасность для решения: удалять или не удалять файл или программу. Опция выбора имеется, но должным образом не поддерживается. Зато вирусы в известных программах идентифицируются пачками, а техподдержку это даже не удивляет, даже вызывает реакцию защиты. Сами посудите:

C:Program FilesUniblueRegistryBoosterLauncher.exe является потенциально опасной программой Program.Uniblue.5
C:Program FilesUniblueRegistryBoosterrbmonitor.exe является потенциально опасной программой Program.Uniblue.4
C:Program FilesUniblueRegistryBoosterrbnotifier.exe является потенциально опасной программой Program.Uniblue.4
C:Program FilesUniblueRegistryBoosterrb_move_serial.exe является потенциально опасной программой Program.Uniblue.4
C:Program FilesUniblueRegistryBoosterrb_ubm.exe является потенциально опасной программой Program.Uniblue.4
C:Program FilesUniblueRegistryBoosterregistrybooster.exe является потенциально опасной программой Program.Uniblue.4
D:distrDriver Scannerdriverscanner.exe является потенциально опасной программой Program.Uniblue.7
C:Program FilesUlead SystemsUlead GIF Animator 5anigen.exe инфицирован Trojan.MulDrop3.17345

ИМХО. Тут даже комментировать нечего и оценивать качественную работу Вирлаба.

[maxic]

Octagon, вы понимаете разницу между потенциально опасной программой и вирусом? Настройте действия для потенциально опасных программ и наслаждайтесь.

[pig]

А Мулдропа в вирлаб надо бы. Что-то стрёмное.

[Octagon]

maxic,

вы понимаете разницу между потенциально опасной программой и вирусом?

А можно узнать, по какому критерию определяется потенциальная опасность программ? По субъективному мнению аналитика? У Microsoft договор с данной фирмой-разработчиком на чистку реестра и оптимизацию ОС, а для вас она потеницальна-опасна?
Да и последняя строчка явно не из этой серии. Может перестанем защищаться, а станем работать?

[maxic]

Octagon, полагаю, по критерию, что с помощью данной программой можно навредить. Потому и категория Program. Есть еще категория Tool. Настройте игнорирование для данной категории, если требуется.
Потенциально опасна? Конечно. С помощью нее можно "уложить" систему запросто.
Последняя строчка - пишите в вирлаб, если уверены, что это ложное срабатывание.

[Octagon]

maxic,

полагаю, по критерию, что с помощью данной программой можно навредить.

Вы правы. Для чайника надо. Запрос в техподдержку закрыл. Тут как раз защита техподдержки объяснима.

Потому и категория Program. Есть еще категория Tool.

В настройках действий нет различий именно по такому критерию.

Последняя строчка - пишите в вирлаб, если уверены, что это ложное срабатывание.

В техподдержку были открыты запросы ещё до продолжения темы на форуме. Я не уверен, какое это срабатывание. Был случай, когда довольно известная фирма имела в коде дистрибутива фрагмент вируса, пришлось заставить их исправиться. Это фирма менее известна, но всё может быть.
Одно только не пойму, что можно ответить на данный ответ техподдержки:

Здравствуйте.

Если у Вас есть какие-то предположения по поводу неверных срабатываний нашего продукта, то опишите какие.
В целом нет смысла отправлять нам все найденные образцы зараженных файлов.


С уважением, Константин Конаков,
служба технической поддержки компании "Доктор Веб".

До сего момента при отправке именно вирусов не было проблем с анализом. А позавчера началась отписка.

[maxic]

В настройках действий нет различий именно по такому критерию.

В настройках есть: Подозрительные, адварь, программы взлома. Уж подберете, думаю, нужные?

В какую категорию отправляли файл? Ложные срабатывания?
По письму и понятно, что Константин просит изложить свои соображения. Ответьте на письмо, и изложите сомнения в том, что файл заражен, поскольку он в дистрибутиве от производителя, пусть перепроверят. Покажите проверку этого файла на вирустотале?

[Octagon]

maxic,

Ответьте на письмо, и изложите сомнения в том, что файл заражен, поскольку он в дистрибутиве от производителя, пусть перепроверят.

Именно в этом ключе я и ответил. Просто не понятен смысл разводить бюрократию, если видно название программы и директория. Надо бы всё-таки научиться техподдержку фильтровать. А так, если патч или кеш, им понятно, а что значит, установленная программа от производителя, нет.

[maxic]

Octagon, название и каталог - без разницы. Вирус и svchost может представиться, тут проблем нет. Главное - выяснить, правилен ли детект, действительно ли данный файл несет какой-то вирусный функционал.

[Octagon]

maxic,

название и каталог - без разницы. Вирус и svchost может представиться, тут проблем нет.

Ну я стараюсь верить в защиту от Dr Web.

[maxic]

Octagon, это не вопрос веры. Если есть сомнения, добейтесь их разрешения

[Octagon]

maxic, Нет. Вы не поняли. Я априори считаю, что антивирус не пропустит вирус, значит этот вирус из дистрибутива или ошибка Вирлаба.

[lazarevee]

Я тоже считаю - программа бесполезна и сидит в сети почти постоянно.Это шпион. ИМХО.
Если вы её не покупали - удаляйте.

Сообщение было изменено Partizan: 10 Декабрь 2011 - 21:34