[TC] Имеется ли вирус, или это ложное срабатывание?

Hello, Badjos.

Вы писали 7 января 2008 г., 18:24:57:

irc

его

Касперски 6 с обновлением от сегодня, именно в этом дистрибутиве
тоже
ничего опасного не нашел, а авира, когда я ее тестировал, и на
Download Master ругалась как на трояна...

Здравствуйте, Badjos.

Вы писали 7 января 2008 г., 18:24:57:

Др.Веб тоже ничего не видит. Базы свежие.

Вместо комментария расскажу свою недавнюю историю. Прошу за флуд не
считать, тем более это коррелирует с недавними топиками по поводу
выбора антивируса. Однако прошу учесть, что всё нижеизложенное -
сугубо имхо.

В университете у моего научника из-за внезапного выключения питания
слетела система. Всё переставили по новой. Возник вопрос с
антивирусом. На старой системе стоял 5-й касперский. Он не очень
устраивал, поэтому на новой системе
было решено попробовать другие антивирусы, естественно, бесплатные.

Тестирование подразумевало, во-первых, удобство пользования
антивирусом, во-вторых, возможность использования полным или почти
полным чайником, потому что и научник, да и другие, испытывали бы
большие проблемы в случае, например, надобности обновления
антивирусных баз вручную. Или же если надо производить какие-то ещё
нетривиальные действия.

И, наконец, учитывался трафик, затрачиваемый на обновления. В качестве
эталона сравнения был выбран, во-первых, 5-й касперский, потому что он
стоял раньше, во-вторых, доктор веб, потому что я им пользуюсь. Перед
проведением тестирования диски компьютера были проверены 5-м
касперским со свежими базами, так что вирусов на компе не было.

Итак. Начали с Avira Antivir. Я её поставил, и запустил полную
проверку диска. Было найдено более 30-и "вирусов". Большая часть была
найдена в кэше браузера, это были html-страницы и различные скрипты.
Описание найденных угроз меня не удовлетворило, однако, на кэш
браузера можно и забить, в конце концов. Но некоторые "находки"
неприятно удивили. Во-первых, был найден reset5.dll в папке windows -
это крэк к винде. Во-вторых, были найдены креки к некоторым прогам.
Причём, Авира считал их именно вирусами, со словом trojan в
обозначении, а никак не "потенциально опасными", как было бы
правильнее, и как считает тот же Касперский. Наконец, был объявлен
вирусом файл из папки с установленным WinRar'ом. Последнее
обстоятельство меня возмутило совершенно. Никакая игра с настройками
Авиры не помогла, он всё так же методично продолжал выдаваль ложные
срабатывания, поэтому этот антивирус был признан негодным к
эксплуатации и тут же удалён.

Следующим кандидатом в списке был BitDefender. Да, интерфейс у него
мне не очень понравился. Особенно не понравился интерфейс сканера.
Вместо привычного окна, где можно выбрать объекты для проверки, у
Битдефендера можно выбрать только некое задание. По умолчанию
предлагается несколько готовых заданий, например, full system scan,
deep system scan и др. Отдельно выбрать для проверки диск C: или папку
нельзя, надо создавать отдельное задание. Причём, во всех заданиях,
имеющихся по умолчанию, первым действием при обнаружении вируса стоит
disinfect, а вторым, которе делается, если не удалось первое, move to
quarantine. Поэтому я создал два новых задания для проверки дисков C:
и D: (в системе два винчестера), а уже имеющиеся дефолтные задания
перенастраивать не стал. К чему это привело - см. ниже.

Итак, запустил проверку диска. Да, по сравнению с Авирой явный прогрес
- было найдено только 7 якобы "вирусов", среди которых были некоторые
крэки к некоторым программам. Также среди "вирусов" оказалась и
программа для определения номиналов радиодеталей по их цветовой
маркировке, безусловно, вирусом не являющаяся.

Поскольку 7 ложных срабатываний - не 30, да и день клонился к вечеру,
было решено пока Битдефендер оставить, а научнику я объяснил, что если
надо будет просканировать систему, то умолчательные задания запускать
не надо, а надо запускать те два, что я настроил, и что те самые
"вирусы", которые обнаруживаются, на самом деле ложные срабатывания.

Далее, через несколько дней, меня на кафедре не было, мне позвонил
научник и сказал, что он забыл, что умолчательные задания запускать не
надо, и запустил full system scan. В результате чего были найдены те 7
"псевдовирусов" и они были успешно disinfected, т.е. похерены, т.к.
первое действие по умолчанию там стояло именно это, а я
перенастраивать на none поленился, как уже писал выше. После примерно
7 минут монолога с использованием матерных, и иных выражений, было
принято решение эксперименты на людях прекратить, Битдефендер снести к
чёрту, и поставить старый добрый доктор веб. Что и было в скором
времени сделано.

Надо сказать, что этот инцидент я потом практически исчерпал, т.е. все
удалённые крэки я перекачал заново, а вот програмку для определения
номиналов радиоэлементов восстановить так и не удалось, потому что она
работала без установки, и в папке с дистрибутивами лежала в том же
виде, что и в рабочей, и была, соответственно, удалена Битдефендером и
оттуда, и оттуда, а ссылок в интернет на неё не сохранилось.

Да, забыл сказать про размер обновлений. Сразу после установки
антивирусы обновлялись, а далее настраивалось автоматическое
обновление раз в день. У Авиры ежедневное обновление весило 1450 КБ.
Правда, это было единственное обновление, т.к. Авира стояла недолго,
всего два дня, и поэтому такой размер не показатель - слишком мало
статистики. У Битдефендера ежедневное обновление весит 400-600 КБ,
примерно как у касперского, и я считаю эту цифру довольно большой.
Надо ли вспоминать про размер обновлений у Доктора Веба (10-20 КБ)
:-).

Ещё раз напоминаю, что всё вышеизложенное - моё личное мнение, не
претендующее никоим образом на объективность.

Привет Егор!

вы писали:

это вполне закономерно, этот антивирус наряду с касперским имеет самую большую
антивирусную базу, свыше 600000 вирусов.
многие известные антивирусы ловят в 2 - 3 раза меньше.

тоже нормально, иногда при заходе на некоторые нехорошие сайты антивирус дважды
срабатывает на страницу.
и если командуешь необращать внимание, то иногда тебя вместо нужной страницы
выкидывают на порно сайт или в виртуальное казино.

а с чего вы решили что это не вирус?
вы что считаете, что добрые дяди-пираты так уж бескорыстны?

потенциально опасное п.о. по словам касперского это совсем не то что вы написали,
а например утилиты удалённого администрирования, тоже конечно траяны, но особого
рода.
и опять-таки, о доброте пиратов...

а почему неможет быть такого?
ну и под конец письма моё личное мнение.
авира славится ложными срабатываниями, но
если антивирус находит вирус я предпочитаю удалять заражённый файл, пусть даже
антивирус ошибся.
если вы после обнаружения вируса удаляете антивирус, то могу пожелать успешной
скорой переустановки виндовс.
антивирус, на который вы так наехали я пользую 5 лет и последние 4 года переставляю
винду только при радикальной смене железа(винты или мать)
вот и судите кто прав, вы или антивирус.
с уважением
Виктор

Приветствую, Виктор.

Нет, не базу вирусов, а антивирусных сигнатур - это совсем разное. DrWeb, например,
имеет на порядок
меньше записей, но зато это действительно базы на конкретные вирусы. Ложные срабатывания
может и
хорошо для реально разбирающегося в ИТ, но среднему юзеру много неприятностей
может доставить
подобное поведение, вплоть до нестабильности всей системы.

--
Со всем почтением: Badjos.
badj***@r*****.ru badj***@j*****.ru ICQ: 310928013

Доброе время суток, уважаемые участники рассылки и Badjos!
Мне есть, что ответить на письмо от 8 января 2008 г., 11:50:39

Согласен полностью, т.к. распознавание по сигнатурам даёт очень
высокий процент ложных срабатываний.

Докторишко так же ориентируется на сигнатуры, но ведёт себя немного
по-другому. При включенной опции "Эвристический анализ" доктор считает
подозрительными только реально подозрительные структуры, и ложные
срабатывпания доктора, если и не исключены, то крайне редки. Та же
авира, по-моему, срабатывает на всё, что только можно, например, на
кусок джава-скрипта в письме, который, даже являясь вирусоподобной
структурой, не может быть выполнен из письма, т.к. этот скрипт просто
вставлен в текст письма, а не вложен в письмо файло с расширением js.
Так же авира очень болезненно реагирует на джава-апплеты на
веб-страницах, и на редиректы. Разумеется, редирект может быть и на
сайт с троянами, а в джава-апплетах вполне могут скрываться
вирусоподобные структуры, но, на мой взгляд, задача настоящего
антивируса в том, чтобы не апугать юзера по разным пустякам, а
отлавливать и, по возможности, блокировать и удалять вирусы, трояны,
шпионские программы и прочую компьютерную нечесть. Разумеется, ни
каспер, ни докторишко не дадут полной защиты от вирусов, но эти
антивирусы куда более умелы и менее доставляют проблем пользователям
своими криками, чем разные авиры и прочие бесплатные антивирусы. К
тому же надо помнить: что бесплатных пирожных не бывает. Что же
касается меня, то вот уже почти 8 лет я отдаю предпочтение докторишке
вебу и, в ближайшее время предпочтение менять не собираюсь

Привет Юникс и Баджос!

нда...
я это и имел в виду.
хочу добавить, что одна сигнатура может ловить несколько модификаций вируса,
таким образом количество вирусов и вариантов увеличивается ещё на какое-то количество.
ложные срабатывания у этого антивируса повторюсь, бывают, но лучше перестраховаться.

цитата

но пропускает очень много вирусов.
я как-то на очень завирусованом школьном компе проводил чистку винды, DR.Web
нашёл 7 вирусов.
я ради чисто научного интереса запустил 3 стингера, которые на моей памяти ни
у кого ничего ненаходили и к своему удивлению нашёл ещё 3 червяка.
если вам неизвестны эти утилиты, то это специальные узкоспециализированые античервяки
один ловит только двух червей, второй 13 и третий 54
тоесть это спец средства от массовых эпидемий червей.
и вот таких давно известных интернет червей DR.Web просто пропустил, да ещё и
в безопасном режиме.
кстати, сам иногда разово прогоняю им систему,
полезный антивирус, но как полифаг неочень,
а как постоянно работающий сканер вообще плох.

а в наше время по другому и нельзя.
вирусы есть разные, например такие, которые проникают на комп по частям и в нужный
момент безвредным загрузчиком из кусочков собираются в памяти.
вот и реагируют современные антивири на куски кода.

вы просто плохо знакомы с авирой.
это небесплатный антивирус, он стоит 20 евро.
а то чем пользуюсь я, это посути версия для желающих в дальнейшем купить полную
версию.
всё её отличие от полной, это то что она неловит рекламные модули.
зато регулярно обновляемые базы и дистрибутив в котором непоковырялись умелые
руки хакеров.
ну а что они туда могли добавить (в платные антивирусы, которые хочется пользовать
бесплатно, )
это только им известно.
С уважением
Виктор

Доброе время суток, уважаемые участники рассылки и music888!
Мне есть, что ответить на письмо от 8 января 2008 г., 14:43:28

Ага, и после того, как напуганный чайник прибьёт всё, что наловила
авира, ему потребуется переставлять винду? Т.к. эта штука срабатывает
почти на всё.

Нет ни одного антивируса, который бы выловил всё, что только можно,
думаю, авира с этой задачей так же не справится.

Мотивации и доказательства: тем, что что-то пропускает, тем, что не
вопит на каждый байт, что это вирус?

Э-ээ, виктор, расскажите мне, неразумному, как джава-скрипт
выполнится, не будучи запущенным на выполнение? Или другой пример: Я
вам присылаю маленькую процедуру на ассемблере, на которую авира
естественно завопит. Допустим, я присылаю вам эту процедуру для
ознакомления и не в оттранслированном виде, а в тексте электронного
письма! А теперь скажите, как ассемблерный исходник выполнится в
письме без трансляции, или, исходя из принципов авиры, каждый юзер
должен немедленно оттранслировать каждый полученный ассемблерный
исходник, или запустить на выполнение каждый джава-скрипт?

в нужный

Э-ээ-эээ, загрузчиком, говорите? Но загрузчик должен знать, где искать
куски кода, и что же, загрузчик будет ползать по почтовой базе,
сканируя каждое письмо на наличие куска вирусного кода, а потом ещё и
его оттранслировать, чтобы выполнить? Классный загрузчик!! Это тогда
ужь не загрузчик, а целая программная среда, способная к трансляции
исходников, а, поскольку, так не бывает, то это - самая элементарная
параноя. По моему мнению, настоящий антивирус не должен постоянно
пугать глупого юзера, а сообщать только о реальных угрозах, авира же,
в неумелых руках, способна, как минимум, принести серьёзный вред, а,
как максимум, полностью развалить операционную систему.

Э-ээ, Виктор... Какой код в электронном письме, см. пример выше с
исходником ассемблерной процедуры.

После её параноидального поведения знакомится с ней просто нет
желания.

Он бесплатный для домашнего использования.

Привет Юникс!
вы пишите:
Ага, и после того, как напуганный чайник прибьёт всё, что наловила
авира, ему потребуется переставлять винду?
ну почему вы считаете что авира срабатывает исключительно ложно.
винду приходилось переставлять и после касперского и нераз, что поделать, если
тот самый чайник поналовил вирусов вначале, а антивирус поставил потом.
я вообще непонимаю причины по которой вы так враждебно настроены по отношению
к этому очень удачному творению немцев, вы что, так долго использовали его как
я, что уверенно говорите о его достоинствах и недостатках?
а если вам кто-то что-то сказал, так это неповод ставить клеймо на антивирусе.

в нужный

Юникс, вы серьёзно неслышали о подобных вирусах?
авира кстати совсем нереагирует на код написаный на C++,
а реакция его на ява скрипт вполне адекватна, так же как и на VBS.
впрочем просто ответьте, сколько раз вы переставляли винду за последние пару
лет?
я за 4 года 3 раза, 2 раза из-за смены мамы и раз из-за перехода на райд масив.
и всё это время на компе стоял горячо вами ругаемый авира.
(иногда разово применялись и другие антивирусы
например касперский и DR.Web, и касперский в большинстве случаев подтверждал
находки авиры)
так что можете попрежнему считать его плохим антивирусом, но у всех моих знакомых
после перехода на этот антивирус желание поставить что-нибудь другое если и появлялось,
то быстро проходило.
главное поставить его до того как на компе накопится много файлов на которые
по вашим словам ложно срабатывает авира.
Успехов
Виктор

Доброе время суток, уважаемые участники рассылки и music888!
Мне есть, что ответить на письмо от 8 января 2008 г., 22:51:05

Ни в коем случае! Я говорю лишь о том, что авира достаточно
параноидальна и верищит на каждом шагу.

Нет, я просто не люблю параноидальных программ, для меня антивирус -
не средство, орущее на каждом шагу "кажется я нашёл вирус, а может и
не вирус, а может и трояна, а может и не трояна, а может и не нашёл",
а средство, обезвреживающее и удаляющее известную ему заразу.

Я и не ставил клейма, я просто высказал своё мнение в рамках
дискуссии.

Э-ээ, почему же, я лишь говорил, что загрузчику нерационально собирать
куски кода из почтовых сообщений, на которые так любит ругаться авира,
именно на почтовые сообщения с исходниками джава-скриптов, заметьте,
любой текст джава-апплета в сообщении безвреден.

Я вообще-то про неоттранслированные асмовские процедуры говорил.

Э-ээ, код джава-скрипта в теле почтового сообщения - серьёзная
опасность?! Не смешите, ради бога!!!

xp 1 раз, а до этого пользовал 98-ю вынь.

Не плохим, а параноидальным.

и появлялось,

Сколько людей, столько и мнений.

Здравствуйте вам, yuniks!
Несколько слов по теме "[TC] Re[6]: Имеется ли вирус, или это ложное срабатывание?":

Пользуюсь Авирой уже около пяти лет и ни разу еще не пришлось
переустанавливать систему из-за ложных срабатываний. Тревожит он меня
крайне редко. За все время припоминаю только два сомнительных случая.
Однажды сработал на счетчик "Live Internet", другой раз ругался на
Mailru агент, при чем ругнулся на него после обновления базы и в тот
момент, когда Агент был выгружен, а я просто запустил браузер. В этот
момент Агент запустился в фоновом режиме, зачем разработчики этого
продукта зделали такую штуку я так и не понял. То есть, зачем
запускать Агент при старте браузера. Закончилось все тем, что я снес
Агента и поставил плагин к Миранде. И кто бы что не говорил, практика
показывает, что пользователи Авиры ее работой вполне довольны и я в их
числе.

Здравствуйте, yuniks.

Вы писали 8 января 2008 г., 19:07:59:

ну винду я не переставлял,но русификацию к джозу пришлось новую
просить. сестра,сидя за компом,испугалась,что там троян,и убила мне
файл с русификатором.

Здравствуйте, Виктор.

Вы писали 8 января 2008 г., 7:24:58:

Это философский вопрос. Если это вирус, то его бы находили и другие
антивирусы. Если его другие антивирусы не находят, то возможно только
два варианта:
1. Другие антивирусы - полное "фуфло", они в упор не видят вирус.
2. Этот антивирус допустил ложное срабатывание.

Заметьте, что я ни слова не сказал вирус ли это на самом деле.

Тут дело может быть даже не в доброте пиратов. Всякие креки и,
например, взломщики паролей, могут быть основаны или включать часть
кода вируса, или этот код может походить на вирус, поскольку эти
специфические программы делают специфические вещи, хотя по-настоящему
вирусами не являются. Поэтому антивирусы могут считать их вирусами, и
я считаю это нормальным.

Но, однако же, тут дело в подходе. В Касперском, например, есть два
типа баз - основные и расширенные. Основные базы ловят "настоящие" (не
будем привязываться к словам) вирусы. Если же вам хочется найти и
уничтожить на своём компе все крэки, то вы загружаете расширенные
базы, и Касперский начинает вопить на каждый крек.

Ну замечательно. Если бы я разрешил Авире удалить все файлы, которые
он посчитал вирусами, то, в результате, виндовс потребовала бы
активацию (и, соответственно, зайти в систему в нормальном режиме было
бы невозможно), винрар бы перестал работать. Таким образом, система
пришла бы в нерабочее состояние.

Аналогичным образом при помощи Битдефендера была удалена очень ценная
программа.

Если антивирус срабатывает на какой-то файл, вам приходится решать,
вирус это или ложное срабатывание. Для опытного пользователя такая
задача не составляет труда, а вот чайник с ней не справится, в
результате, в неумелых руках антивирус может принести больше бед, чем
заражение вирусом.

Заметьте, я не говорю что Авира или Битдефендер - плохие антирирусы, я
говорю, что они мне не подошли.

Я не наехал, я высказал свою точку зрения всвязи с моим очень
субъективным тестированием этого антивируса. Более того, я не
настаиваю на своей точке зрения.

Точно так же я могу "наехать" на Доктора Вэба, которым я очень давно
пользуюсь. Только "наезд" - это необоснованные обвинения с целью
"опустить", извините за жаргон. Я же предпочитаю излагать факты, и
если DrWeb пропускает вирусы, или не может полностью обезвредить
вирусы, будучи запущенным из-под заражённой системы, то я так и
говорю. При этом я, однако, не говорю плох он или хорош, т.к. чтобы
это сказать надо больше данных.