А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...
Осталось понять какой же там карбер.
Отправлено 09 Июль 2013 - 16:11
А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...
Осталось понять какой же там карбер.
Отправлено 09 Июль 2013 - 16:34
Осталось понять какой же там карбер
А надоело уже про это говорить. Детектят как роботу удобнее.
Отправлено 09 Июль 2013 - 16:34
Кстати фейковую фичу из сканера так и не убрали.
А почему?
Это фейк.
Отправлено 09 Июль 2013 - 19:01
А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...
Осталось понять какой же там карбер.
семпл можно?
Кстати фейковую фичу из сканера так и не убрали.
А почему?
Это фейк.
А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...
Сообщение было изменено Georgievsky Ilya: 09 Июль 2013 - 19:08
Отправлено 09 Июль 2013 - 19:08
А Carberp переводит деньги на счёт воров с компа клиента, с IP клиента, с подписью клиента...
Осталось понять какой же там карбер.
семпл можно?
Кстати фейковую фичу из сканера так и не убрали.
А почему?
Это фейк.
а почему фейк?
потому что не угадывается.
Как бэ часто есть левый детект...с virussign можно посмотреть.
Детект тушки один,а по факту малварь другая.
Ссылка и детект к сожалению часто левые.
А что , только я заметил?
p.s.
вличке
Отправлено 09 Июль 2013 - 20:24
А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...
Уже нет
Массово несоответствует название малвари с описанием его на сайте.
Т.е. Winlock.xxx или Бэкдор.Анндромеда при щелчке на названии в сканере не соответствует сабжу. Оно совсем не то делает что написано в библиотеке.
Ссылок можно накидать,а смысл?
Вы толпой в вирлабе это как-то отслеживаете?
Отправлено 10 Июль 2013 - 13:44
потому что не угадывается.
Как бэ часто есть левый детект...с virussign можно посмотреть.
Детект тушки один,а по факту малварь другая.
Ссылка и детект к сожалению часто левые.
А что , только я заметил?
p.s.
вличке
Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов и автоматической обработке его.
По поводу не соответсвия описаний. Как бы опять нет гарантий, но все-таки я верю, что это не прям так часто как ты пытаешься преподнести. Конечно это есть в каком-то проценте случаев. Но описания как минимум должны верно соответсвовать хотя бы одному файлу точно. Особенно автоматические описания, потому как они генерируются по поведению вируса и не могут не соответсвовать. Но опять же в случае "коллизий" могут быть несоответсвия. Как ты оцениваешь массововсть несоовтетсвия описаний с детектом?
.
Сообщение было изменено Georgievsky Ilya: 10 Июль 2013 - 13:49
Отправлено 10 Июль 2013 - 13:48
Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов.
Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 10 Июль 2013 - 13:52
Ну вот смотри, пришел файл запакованный, внутри был реально карберп, робот добавил его поверх пакера, запись на столько хорошая, что мы ловим часть файлов под этим же пакером, один из которых вот этот твой винлок. Как ты считаешь это норм или плохо? И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим. Ну кроме громких вирусов конечно. Но в целом нет гарантии правильного именования при таком большом потоке вирусов.
Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.
Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?
Кроме того, именование как некий критерий все же полезно даже если не совпадает.
Отправлено 10 Июль 2013 - 13:59
Тогда нужно отказаться от смыслового именования сусликов, детектируемых роботом, и оставить его только для тех, которые разбираются руками.
Ты будешь удовлетворен сотнями тысяч записей типа Added.by.robot и пятеркой настоящих чистокровных Trojan.Winlock?
ыЫ
Отправлено 10 Июль 2013 - 14:04
Georgievsky Ilya, Ko6Ra, сдаюсь, сдаюсь... уговорили.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 10 Июль 2013 - 14:05
Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?
Так если детект по пакеру, то наверное должно быть Trojan.Packed.xxx?
То, что вы описываете - это фолс в чистом виде.
Отправлено 10 Июль 2013 - 14:19
А почему фейк? В свое время эту фитчу я очень просил сделать, помтоу что она крутанская...
Фича хорошая и многим она нравиться кого знаю, но как сказал mrbelyash часто ведет либо вообще на пустую страницу без описания, либо на несколько иную - что вводит пользователей в ступор и заблуждение.
Сам сколько раз не ходил - обнаруживал там скажем так: не совсем то, что нужно. Такое ощущение что сервис либо не доделали, не довели до ума, либо он висит для галочки.
Отправлено 10 Июль 2013 - 14:20
что вводит пользователей в ступор и заблуждение.
Я таких пользователей не знаю
ыЫ
Отправлено 10 Июль 2013 - 15:24
Офтопик удалён.
Модератор.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 10 Июль 2013 - 15:44
Дак а где гарантия, что запись сделаная руками будет отрабатывать только на карберпах и не отработает на винлоке упакованном тем же пакером?Так если детект по пакеру, то наверное должно быть Trojan.Packed.xxx?
То, что вы описываете - это фолс в чистом виде.
Да, должно быть Trojan.Packed. Но тогда будет все Trojan.Packed, потому как все давно уже ходит под пакерами. Да, даже если так сделать вы будете говорить "вот у меня Пакед.1234, и что это значит!? У меня на экране винлок, а сканер говорт, что это какой-то пакед!!! и вообще всегда теперь говорит пакед!?" не? не так будет?
Причем здесь фолс не понял. Естетсвенно пакер там не upx, а троянский.
Отправлено 10 Июль 2013 - 16:04
Но ведь Packed будет правильно. Такой детект скажет мне, что это детект по упаковщику, и что там внутри - неведомо. Аналогично и с Siggen.
Нет, всегда говорить не надо, конечно. но если детектите пакер, то и название должно быть соответствующим.
По вашему описанию - фолс. "Робот делал детект Cabrep, а этот винлок просто попал под ту же сигнатуру".
Сообщение было изменено HHH: 10 Июль 2013 - 16:05
Отправлено 10 Июль 2013 - 16:09
Это только за вчера.Винлоки.
http://vms.drweb.com/search/?q=Win32.HLLW.Autoruner.25074
http://vms.drweb.com/search/?q=Trojan.Carberp.1176
http://vms.drweb.com/search/?q=Trojan.Packed.20771
http://vms.drweb.com/search/?q=Win32.HLLW.Autoruner.25074
Попадание из пушки по воробьям?!
Эсли бы это был PWS я бы менял пароли.Если был конфикер-ставил бы патчи.
А так...Ну врет ведь описание.Врет.
И md5 могу кинуть.
Отправлено 10 Июль 2013 - 16:17
И что для тебя важнее детект файлов или их именование? Тенденция идет к тому, что неособо важно какое имя, важно что детектим.
Вопрос не об этом.
Ссылка в сканере ведет не туда.
Done.
Отправлено 10 Июль 2013 - 16:18
Но ведь Packed будет правильно. Такой детект скажет мне, что это детект по упаковщику, и что там внутри - неведомо. Аналогично и с Siggen.
Нет, всегда говорить не надо, конечно. но если детектите пакер, то и название должно быть соответствующим.
По вашему описанию - фолс. "Робот делал детект Cabrep, а этот винлок просто попал под ту же сигнатуру".
А если под пакером в 90% случаев ходит один и тот же вирус? Т.е. при детекте у пользователя он в 90% случаев будет знать, что у него карберп, а не "неведомо что". Вроде как больше пользы.
Фолс аларм в переводе это "ложное срабатывание", ложное оно обычно относительно вердикта "вирус/не вирус". При чем здесь "робот делала" и "кто-то попал" не оч понятно. Попал же вирус? Вот если бы попал хороший файл - это ложное срабатывание, а так - не понимаю, о чем вы.
0 пользователей, 0 гостей, 0 скрытых