48 ответов в этой теме

[3421]

UPX сжимается по верх UPX, это интересно. Это если о файле что отослал. В это я не очень верю, или может я чего–то ещё не знаю. Для этого и продолжаю переписку только чтобы узнать, почему определяется как упакованный файл в UPX.

 

В моём случае открыть как архив Fruit Ninja HD.exe и распокавать не получается. Именно распаковать, а не запустить.

[userr]

В моём случае открыть как архив Fruit Ninja HD.exe и распокавать не получается.

конечно не получается. а почему должно? я спрашивал lazarev.ee совсем про другой файл.

Сообщение было изменено userr: 19 Апрель 2013 - 21:10

[mrbelyash]

UPX сжимается по верх UPX, это интересно. Это если о файле что отослал. В это я не очень верю, или может я чего–то ещё не знаю. Для этого и продолжаю переписку только чтобы узнать, почему определяется как упакованный файл в UPX.

 

В моём случае открыть как архив Fruit Ninja HD.exe и распокавать не получается. Именно распаковать, а не запустить.

upx сам себе рознь.

Вирлаб частенько бывает добавляет скрипт для новой модификации

[l.e.e.]

забавно. а при попытке открыть E:\Program Files\Fruit Ninja HD2\fruit.bin архиватором что происходит?

 binx.png   10,17К   0 Скачано раз

 

 cripto.png   118,89К   4 Скачано раз

Сообщение было изменено lazarev.ee: 19 Апрель 2013 - 21:16

[3421]

Может UPX это обобщающее название для всех инсталляционных фалов, которые нет возможности сканером распаковать и проверить? В общем, кому надо думайте. Я исчерпал по этому поводу свои мысли.

Прикрепленные файлы:

•  scr..png   1,59К   1 Скачано раз

[userr]

lazarev.ee,

а как пароль узнали?

Может UPX это обобщающее название для всех инсталляционных фалов, которые нет возможности сканером распаковать и проверить?

Я плакал...

[3421]

В моём случаи пароль не спрашивает, а чётко пишется: не удалось распокавать как архив.

Не плачте, пустяк.

[userr]

В моём случаи пароль не спрашивает, а чётко пишется: не удалось распокавать как архив.

читать до просветления посты 20, 22, 24.

Сообщение было изменено userr: 19 Апрель 2013 - 22:30

[3421]

Дальше нет мне смысла писать это всё отгадки на уровне домыслов.  Почитаю позже.

[mrbelyash]

В моём случаи пароль не спрашивает, а чётко пишется: не удалось распокавать как архив.

Не плачте, пустяк.

 

А что вы там распаковывали?

Просто установите и посмотрите какие новые файлы появиличь

[l.e.e.]

а как пароль узнали?

Никак. Пароль требуется лишь при извлечении, а открыть - пожалуйста.

[userr]

GEV,

есть ЛС для этого..

Сообщение было изменено userr: 19 Апрель 2013 - 21:49

[l.e.e.]

у меня 89 на классическом, кто больше ?!

[3421]

 

В моём случаи пароль не спрашивает, а чётко пишется: не удалось распокавать как архив.

Не плачте, пустяк.

 

А что вы там распаковывали?

Просто установите и посмотрите какие новые файлы появиличь

 

 

Я показывал и писал для того чтобы было ясно, что это не sfx архив с картинкой. Файл отдаден на анализ, пускаю думают если им надо.

 

 

 

[3421]

Я показывал и писал для того чтобы было ясно, что это не sfx архив вроде sfx.rar с картинкой. Возможно и sfx чем-то обработанный. Файл отдаден на анализ, пускай думают если им надо.

Сообщение было изменено 3421: 19 Апрель 2013 - 22:06

[Eugeny Vasiliev]

Это не инсталлятор, это некая хрень, позиционирующая себя как Theta Anon Installer v.1.0.

C Theta понятно - просто крекерская группа. Номер 1.0 говорит только о том, что номеров 2.0, 3.0 и т.д. вы вряд ли увидите;
такова судьба абсолютного большинства этих поделок.
Судя по очень знакомому интерфейсу, конкретный автор - ExpireX,
который в качестве распаковщика использовал библиотеку IsDone v.06 от NeON
(по сути - обычную ZLIB).

Все достижения автора сводятся к трем пунктам:
1. Затирание сигнатуры самого что ни на есть стандартного SFX-архива RAR (а то вдруг NOD заметит, ай-яй-яй).
2. Хранение и извлечение пароля из кода программы (архив RAR защищен и без знания пароля его не распакуешь).
3. Покрытие кода программы сверху любым упаковщиком, дабы пароль не нашли тоже.

Такую дурь с временем жизни в месяц Dr.Web вряд ли когда нибудь будет расценивать
как "инсталлятор", или, тем паче, как "контейнер". Подобным изделиям - в случае
известной опасности прямая дорога на детект в вирусную лабораторию.
Похоже, упомянутый поклонником NOD, не мудрствуя лукаво, придерживается именно
мнения безоговорочного детекта по весьма сомнительным признакам.
И, скорее всего, его эвристик фолсит. Все прочие детекты недоантивирусов - от лукавого,
а облачный вердикт от Symantec - не более чем следствие от них.
Да, установщик извлекает некоторые странные вещи: опять же параноидально защищенный
паролем ZIP и звуковой файл, занимающий полобъема установочного пакета.
Что касается TDU.EXE, в нем есть скрытые, сжатые LZMA данные, но опять
таки не факт, что внутри вирус.
По крайней мере, на момент после установки до запуска все чисто.
Думаю, аналитики подтвердят, что все чисто и после запуска.

Что касается UPX, это самый простой упаковщик из всех существующих, и файлы,
обработанные им, распаковываются ВСЕГДА.

[3421]

Virustotal - оставить, только на проверку один ведущие антивирусные компании. Тут палка о двух концах: понизятся ложные срабатывания, и понизится количество найденных вредоносных объектов. Среди понижения обнаружения ложных срабатываний, будет всё равно процент пропущенных  вредоносных объектов, из-за уменьшения антивирусов на проверку. Кому что ценнее. Личную не приязнь к конкурентам в виду понятных мне причин лучше оставить, для дела не полезно. У меня вопрос не стоял какой антивирус сканирует лучше, а какой хуже. Вопрос был конкретный, почему у сканера Dr.Web так, может у него должно быть не так, а может должно быть как у других. Virustotal для меня это не окончательный вердикт, в некоторых случаях для меня проверка на Virustotal означает знак, будьте осторожны. Название антивируса вес имеет, не спорю. Мы начали не с ESET, а с KVRT.

“TDU.exe - packed by UPX”. Тогда лучше так: TDU.exe - packed by UPX pass, skip или TDU.exe - packed by UPX – ok, TDU.exe - packed by UPX – upx error. А с этим “TDU.exe - packed by UPX” смотришь в программе Free UPX, а TDU.exe определяется, как не упакованный файл, смотришь, чтобы распаковать и перепроверить. Становится ещё не понятнее. Файл TDU.exe не пакуется, завершается с ошибкой. То же с ним что-то не то. Что находится в TDU.exe меня меньше всего волнует. Меня больше волновало, как проверить, не запуская файл TDU.exe. По факту сканер Dr.Web пишет файл сжат в UPX, а отсутствие слова ОК наводит на мысль не проверенно по причине того что сжато в UPX, но не написано, что не проверенно. Первое при таком определении приходит в голову, распакуй и снова проверь. В общем, замкнутый круг сканер Dr.Web точно не пишет что с файлом. Программа Free UPX пишет, что не сжато, хорошо, что и не переупаковывает. Только это и наводит на мысль что с файлом TDU.exe что-то не то.

 

До всех этих мысле надо было ещё додуматься. А если бы определение сканером было бы дано, более ясное, для понимания ситуации с этим файлом было бы проще.
 

[userr]

Меня больше волновало, как проверить, не запуская файл TDU.exe. По факту сканер Dr.Web пишет файл сжат в UPX, а отсутствие слова ОК наводит на мысль не проверенно по причине того что сжато в UPX, но не написано, что не проверенно.

что это за ерунда? drweb всегда пишет ОК на файлы, которые он считает чистыми. покажите детальный лог проверки drweb файла TDU.exe.

Сообщение было изменено userr: 21 Апрель 2013 - 12:08

[mrbelyash]

 

Меня больше волновало, как проверить, не запуская файл TDU.exe. По факту сканер Dr.Web пишет файл сжат в UPX, а отсутствие слова ОК наводит на мысль не проверенно по причине того что сжато в UPX, но не написано, что не проверенно.

что это за ерунда? drweb всегда пишет ОК на файлы, которые он считает чистыми. покажите детальный лог проверки drweb файла TDU.exe.

 

 

 

Limit the use of the processor to 50%
Object(s) to scan:
- D:\Share\FruitNinja.exe
- D:\Share\fruit ninja hd__.exe
- D:\Share\TDU.exe
- D:\Share\fnhd.ico

D:\Share\fnhd.ico - Ok - 31ms, 34358 bytes
>D:\Share\TDU.exe - packed by UPX
D:\Share\fruit ninja hd__.exe - Ok - 212ms, 491008 bytes
>>D:\Share\TDU.exe - packed by FLY-CODE
D:\Share\FruitNinja.exe - Ok - 363ms, 1740800 bytes
D:\Share\TDU.exe - Ok - 434ms, 45080 bytes

Total 2311246 bytes in 4 files scanned
Total 4 files are clean
There are no infected objects detected
Scan time is 00:00:00.495
 

[3421]

На проверке по отдельности файлов после распаковки или установленновки архива, на файл  TDU.

exe пишет - OK. Внимательность подвела.

 

Fruit Ninja HD\TDU.exe - packed by UPX

Fruit Ninja HD\TDU.exe - packed by FLY-CODE

Fruit Ninja HD\TDU.exe - Ok