46 ответов в этой теме

[mrbelyash]

А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...

 

Осталось понять какой же там карбер.

 

 

 

[SergM]

Осталось понять какой же там карбер

А надоело уже про это говорить. Детектят как роботу удобнее. 

[mrbelyash]

Кстати фейковую фичу из сканера так и не убрали.

А почему?

Это фейк.

[Georgievsky Ilya]

 

А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...

 

Осталось понять какой же там карбер.

 

семпл можно?

 

 

 

Кстати фейковую фичу из сканера так и не убрали.

А почему?

Это фейк.

А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...

Сообщение было изменено Georgievsky Ilya: 09 Июль 2013 - 19:08

[mrbelyash]

 

 

А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...

 

Осталось понять какой же там карбер.

 

семпл можно?

 

 

 

Кстати фейковую фичу из сканера так и не убрали.

А почему?

Это фейк.

а почему фейк?

 

 

потому что не угадывается.

Как бэ часто есть левый детект...с virussign можно посмотреть.

Детект тушки один,а по факту малварь другая.

 

 

Ссылка и детект к сожалению часто левые.

А что , только я заметил?

 

p.s.

вличке

[mrbelyash]

А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...

 

Уже нет

Массово несоответствует название малвари с описанием его на сайте.

Т.е. Winlock.xxx или Бэкдор.Анндромеда при щелчке на названии в сканере не соответствует сабжу. Оно совсем не то делает что написано в библиотеке.

 

Ссылок можно накидать,а смысл?

Вы толпой в вирлабе это как-то отслеживаете?

[Georgievsky Ilya]

потому что не угадывается.

Как бэ часто есть левый детект...с virussign можно посмотреть.

Детект тушки один,а по факту малварь другая.

 

 

Ссылка и детект к сожалению часто левые.

А что , только я заметил?

 

p.s.

вличке

 

Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов и автоматической обработке его.

 

По поводу не соответсвия описаний. Как бы опять нет гарантий, но все-таки я верю, что это не прям так часто как ты пытаешься преподнести. Конечно это есть в каком-то проценте случаев. Но описания как минимум должны верно соответсвовать хотя бы одному файлу точно. Особенно автоматические описания, потому как они генерируются по поведению вируса и не могут не соответсвовать. Но опять же в случае "коллизий" могут быть несоответсвия. Как ты оцениваешь массововсть несоовтетсвия описаний с детектом?

 

.

Сообщение было изменено Georgievsky Ilya: 10 Июль 2013 - 13:49

[VVS]

Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов.

 

Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.

[Georgievsky Ilya]

 

Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов.

 

Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.

 

Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?

Кроме того, именование как некий критерий все же полезно даже если не совпадает.

[Ko6Ra]

Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.

Ты будешь удовлетворен сотнями тысяч записей типа Added.by.robot и пятеркой настоящих чистокровных Trojan.Winlock?

[VVS]

Georgievsky Ilya, Ko6Ra, сдаюсь, сдаюсь... уговорили.

[HHH]

Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?

Так если детект по пакеру, то наверное должно быть Trojan.Packed.xxx?

 

То, что вы описываете - это фолс в чистом виде.

[Lvenok]

А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...

Фича хорошая и многим она нравиться кого знаю, но как сказал mrbelyash часто ведет либо вообще на пустую страницу без описания, либо на несколько иную - что вводит пользователей в ступор и заблуждение.

Сам сколько раз не ходил - обнаруживал там скажем так: не совсем то, что нужно. Такое ощущение что сервис либо не доделали, не довели до ума, либо он висит для галочки.

[Ko6Ra]

что вводит пользователей в ступор и заблуждение.

Я таких пользователей не знаю

[VVS]

Офтопик удалён.

Модератор.

[Georgievsky Ilya]

 

Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?

Так если детект по пакеру, то наверное должно быть Trojan.Packed.xxx?

 

То, что вы описываете - это фолс в чистом виде.

 

Да, должно быть Trojan.Packed. Но тогда будет все Trojan.Packed, потому как все давно уже ходит под пакерами. Да, даже если так сделать вы будете говорить "вот у меня Пакед.1234, и что это значит!? У меня на экране винлок, а сканер говорт, что это какой-то пакед!!! и вообще всегда теперь говорит пакед!?" не? не так будет?

 

 

Причем здесь фолс не понял. Естетсвенно пакер там не upx, а троянский.

[HHH]

Но ведь Packed  будет правильно. Такой детект скажет мне, что это детект по упаковщику, и что там внутри - неведомо. Аналогично и с Siggen.

 

Нет, всегда говорить не надо, конечно. но если детектите пакер, то и название должно быть соответствующим.

 

По вашему описанию - фолс. "Робот делал детект Cabrep, а этот винлок просто попал под ту же сигнатуру".

Сообщение было изменено HHH: 10 Июль 2013 - 16:05

[mrbelyash]

Это только за вчера.Винлоки.

 

 

 

http://vms.drweb.com/search/?q=Win32.HLLW.Autoruner.25074

 

 

http://vms.drweb.com/search/?q=Trojan.Carberp.1176

 

http://vms.drweb.com/search/?q=Trojan.Packed.20771

 

http://vms.drweb.com/search/?q=Win32.HLLW.Autoruner.25074

 

 

Попадание из пушки по воробьям?!

Эсли бы это был PWS я бы менял пароли.Если был конфикер-ставил бы патчи.

А так...Ну врет ведь описание.Врет.

И md5 могу кинуть.

[mrbelyash]

И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим.

 

Вопрос не об этом.

Ссылка в сканере ведет не туда.

Done.

[Georgievsky Ilya]

Но ведь Packed  будет правильно. Такой детект скажет мне, что это детект по упаковщику, и что там внутри - неведомо. Аналогично и с Siggen.

 

Нет, всегда говорить не надо, конечно. но если детектите пакер, то и название должно быть соответствующим.

 

По вашему описанию - фолс. "Робот делал детект Cabrep, а этот винлок просто попал под ту же сигнатуру".

А если под пакером в 90% случаев ходит один и тот же вирус? Т.е. при детекте у пользователя он в 90% случаев будет знать, что у него карберп, а не "неведомо что". Вроде как больше пользы.

 

 

Фолс аларм в переводе это "ложное срабатывание", ложное оно обычно относительно вердикта "вирус/не вирус". При чем здесь "робот делала" и "кто-то попал" не оч понятно. Попал же вирус? Вот если бы попал хороший файл - это ложное срабатывание, а так - не понимаю, о чем вы.