Антивирус

Писал же вверху http://rassvet.com/forum/index.php?threads/antivirus.16058/#post-269426

 

Пишут про false positive http://www.techspot.com/community/topics/win32-heur-virus-avg.162763/
Это не реальный вирус, а название, которое антивирусы дают подозрительному коду. То есть когда вроде похоже на вирус, но точно сказать нельзя.
Фишка в том, что для вирусов характерно некоторое поведение - например, скрывать свой процесс, встраиваться в системные библиотеки и так далее.
Антивирусы подозрительную активность обнаруживают и оповещают пользователя.

Нужно хоть один файл загрузить на virustotals и посмотреть.

--- Сообщения объединены, 15 июн 2015, дата первого сообщения: 15 июн 2015 ---

Вот пример https://www.virustotal.com/en/file/...e2da68965177cce67df55e78db3b6e56091/analysis/
У других антивирусов похожие названия, например, Kaspersky - Virus.Win32.Suspic.gen

Забавно, что в интернете есть "тулзы для лечения от этого страшного вируса" http://www.enigmasoftware.com/viruswin32suspicgen-removal/
Которые, конечно же, сами являются вирусами.

А как ты лечил этот "вирус"? Качал спец программы для него? Тогда у меня плохие новости Единственный правильный способ - каждый файл отправлять на анализ, чтобы производители антивируса его проверили вручную и либо идентифицировали вирус, либо добавили как исключение. Все "тулзы" для лечения Heur - это, к сожалению, обман.

 

Каждая антивирусная лаборатория вирусы называет как им угодно, нет уникальных имен за исключением тех у которых одна неизменная сигнатура.
У Касперского это HEUR:Trojan.Win32.Generic у AVG это Win32/Heur а у Dr.Web вообще целый список имен http://vms.drweb.com/search/?q=HEUR:Trojan.Win32.Generic
Heur это не один сраный вирус, это полиморфный вирус образующий целое семейство вирусов.
Можно каждую модификацию называть уникальным именем, а можно все семейство называть одним именем. Что в амфас что в профиль один фиг.
Полиморфы бесполезно детектить обычными сигнатурами, один и тотже вирус все время в новом обличии с новыми сигнатурами, и плодить сигнатуры и давать новые имена это тоже что звездочки на небе считать.
Мне совсем не интересно разбираться с тем какую имено версию или какую его модификацию я поймал. Мне важнее сколько ее этой дряни, какова степень заражения, а отсюда уже и следует степень риска.

Heur далеко не новый вирус, просто один и живучих и сильно плодящихся. Скорость его размножения сравни c Lovesan и Sality, если кто имел дело с такой дрянью то понимает чем и как опасен Heur. Один троянец может годами сидеть в одном каком нибудь файлике тихо спокойно и его ни вы ни система не замечает. А есть дрянь которая заражает все что видит все что находит, Heur из таких паршивцев.
Просто полистайте лог не вчитываясь, там куча всякой дряни, но если попадается Heur то он попадается не в единичном экземпляре тихони невидимки, он сотнями копий в компе живет, он плодится безбожно и херит все что заражает. Вот в чем его опасность.

А на счет отправить вирус в лабу на проверку.
Лет 10 назад а то и более когда Lovesan только появился, у нас одна контора его подхватила, я лечил всю их сеть от этой заразы. Знакомые из одной антивирусной компании (не Касперский) попросили прислать им заразу эту для примера чтобы сигнатуру себе в антивирусник добавить. Я им этого вируса запаковал в архив двойной с паролями и отправил им. Через пару недель они на меня наехали мол, что я за херню им подсунул у них вся сеть заразилась. После этого случая с Lovesan я ни к кому и никуда не обращаюсь, чтобы потом на меня не гнали бочку всякие горе компетиторы.

 

KAV Resque 10 + clrav.com

 

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=9540722#none
Other Common Detection Aliases
AVG (GriSoft) Win32/Heur
avira TR/Crypt.XPACK.Gen2
Kaspersky HEUR:Trojan.Win32.Generic
BitDefender Gen:Trojan.Heur.GM.0400450434
FortiNet W32/Generic!tr
Microsoft Worm:Win32/Rebhip.A
Eset Win32/Packed.PrivateEXEProtector.C
Sophos Mal/Generic-S
Vet (Computer Associates) Win32/Turkojan.B!generic

Вот так устроено присвоение имен вирусам, логики и правил нет вообще.

Из описания на McAfee это вообще безобидный зверек не способный на саморазмножение.
А то что я вижу своими глазами и вы можете сами в логе увидеть, это блин не саморазмножение.
Вот таким компетиторам потом верь, одни пишут одно, другие другое, третьи третье.
На заборе тоже написано х...

 

Это не какой-то определенный вирус или семейство вирусов. Это имя присваивается, когда антивирус видит подозрительную активность, но не может идентифицировать вирус.

HEUR.Trojan.Win32.Generic is a detection name used by heuristic anti-virus engines to detect files that contain trojan-like code or behavior. HEUR stands for heuristic. Trojan, pretty obvious really, it's a type of malware. Win32 means that it basically targets Windows systems. And Generic means that antivirus engine cannot associate the detected file with any known Trojan family.

http://deletemalware.blogspot.nl/2014/03/heurtrojanwin32generic-removal-guide.html

--- Сообщения объединены, 15 июн 2015, дата первого сообщения: 15 июн 2015 ---

Логика есть: это "возможно, вирус". Не какой-то определенный, не семейство вирусов, а просто "возможный вирус".

--- Сообщения объединены, 15 июн 2015 ---

Ну я к тому, что у них нет общего предка. Есть свойство - полиморфность и эвристичность, но нет какого-то одного "родителя". То есть это может быть и троян, и руткит, но у каждого есть полиморфная защита.

А если нет общего предка, нет одного вируса, то и лечить нельзя каким-то одних средством. Невозможно вылечить то, что антивирус или тулза не может отнести к каком-то определенному вирусу. Блин, ну это как если у тебя на диске есть блок данных удаленный, ты знаешь, что там внутри есть строка "VERY IMPORTANT FILE", но не знаешь ни длину файла, ни где расположена строка. И индексов нет.

Так и антивирусы - они видят полиморфный паттерн и сигнализируют.

--- Сообщения объединены, 15 июн 2015 ---

Ну вот. Тот чувак увидел полиморфность у трояня. Ты увидел у нормального вируса, который себя распространяет. А бывают полиморфные руткиты, например.

https://ru.wikipedia.org/wiki/Полиморфизм_компьютерных_вирусов

--- Сообщения объединены, 15 июн 2015 ---

И кстати, я антивирус на винде не использовал тоже. Я использовал HIDS-систему (ZoneAlarm). Это надежней.

--- Сообщения объединены, 15 июн 2015 ---

Лол
Что за контора такая, если не секрет Все антивирусные компании более-менее крупные рады получить новый вирус первыми, чтобы потом радостно статью накатать и попасть в новости.

 

У полиморфов нет ни патерна ни сигнатуры ни индексов ибо они всегда меняется.

Частичные совпадения теоретически могут возникать, но в таком случае это будет происходить и с данными на моем не зараженном компьютере. Однако этого не происходит с моим диском и моими данными, а только с клиентскими, и где тогда тут случайное совпадение, а где реальное совпадение? Почему "возможные" совпадения не с моими данными, а только с клиентскими?
Посмотри мой лог, есть ли там такиеже "случайные" совпадения каждый день? Или с одними и темиже файлами? Нет ничего подобного.
Там только одно совпадение есть, если видишь строку с Heur-ом, то все соседние строки тогоже дня и тогоже времени, а значит одного клиента.
В этом логе не один клиентский диск, и не один случай, там каждый день отдельный клиент, а то и несколько клиентов в один день, AVG не разделяет лог на отдельные случаи, и я этого не делал, также как и не разбирался какая версия и какая модификация заразы.

Я не верю уже много лет тому что пишут, ибо пишут что угодно и как угодно, я верю только тому что вижу сам и с чем сам имею дело.
И причина тому, что пишут это такиеже компетиторы как и те которым я давал Lovesan-a (украинская антивирусная компания, названия не помню, жива или нет не знаю ибо контакт с тем человеком после того случая больше не поддерживаю).
Если под теми или иными описаниями вирусов будет стоять личная подпись Жени Касперского из KAV или Криса Касперски из McAfee вот в это я поверю, ибо знаю этих людей общался с ними и 100% уверен в их компитентности. А все остальное для меня как и "малоли что на том заборе написано".

 

Вставлю и я свои 5 центов - уже многие годы для защиты от интернет-червей и прочей заразы ИМХО нет ничего лучше, чем Malwarebytes.
Проверял на машинках нескольких знакомых, далёких от компьютеров - после замены предустановленого McAfee (самый бессмысленный антивирус) на AVG последний выгребал кучу вирусов.
Потом, после того как AVG бодро отчитался, что всё в порядке запускал скан Malwarebytes и доставал ещё 2-3 десятка всяких троянов и червяков.

 

Андрей, а какой антивирус вы рекомендуете для простых смертных? Касперский? так чтоб и не сложно устанавливать и чтоб комп при этом не тормозил и чтоб ловил большинство вирусов.

 

backup - самый лучший. (меня Андреем зовут Винда умеет сохранить себя на нескольких DVD. И спите себе спокойно, когда (если) станет тяжело - переставьте винду с этих дисков и снова спите спокойно.

 

У меня в нотебуке 2ТВ винт стоит. Заполнен на 90%. А теперь внимание - вопрос: столько килограмов DVD болванок мне нужно в месяц на еженедельны бэкап и сколько времени займёт такой бэкап и возможно ли завершить такой бэкап за неделю, при условии, что надо ходить на работу и спать тоже иногда полезно для здоровья.

 

Меня всю жизнь спрашивают, какой диск лучше или какой компьютер лучше купить, или какой телек выбрать и т.п.
Всегда говорю одно, пока не разберу не посмотрю как устроено ничего советовать не могу и не стану.
Тоже самое и с антивирусом, чтобы сказать какой вирус лучше надо взять несколько антивирусников взять несколько зараженных дисков и устроить полное тестирование. И то результаты этого тестирования будут актуальны только сейчас, а не через месяц или через год.
Все меняется и каждый раз лучше то одно то другое, одно успело схватить другое лажануло, в следующий раз наоборот и т.д.
Панацеи нет вообще никакой, нет ничего The Best Of The Best.
У меня не один комп и антивирусники разные, AVG, McAfee, Eessental, Avira, KAV. Если один не заметит так другой поймает.

P.S. Еслибы у нас в мире антивирусные компании занимались лечением вирусов (по Гиппократу) а не комерцией, вирусные базы были бы общими и методы поиска и вирусы одинаково назывались бы. А так налицо коммерческая конкуренция, кто кого умнее, кто кого быстрее, а воз и ныне там.

 

Тут разве написано что это делается на одном компе?

 

backup надо сделать один раз. Когда винда ещё в девичестве. Данные живут в других местах, в облаках или в копиях. Восстанавливаю я один раз в год.
Антивирусы - это способ отжимать бабло, пользы от них никакой.

 

Упомянутый мной Malwarebytes стоит АЖ 25 евро 54 цента.

Моё время, сэкономленое на бессмысленых манипуляциях с бэкапом стоит на порядок больше стоимости антивируса. Не знаю, что вы понимаете под "пользой от антивируса", но лично для себя business case я вижу очень четко.

Удачно пойманный червяк сожрёт и все ваши данные, вместе с облачными копиями.

 

=
Медицина - это способ отжимать бабло, пользы никакой.

 

Вообще "heur" похоже на сокращение от heuristic, т.е. просто название метода. И не обязательно вирус http://habrahabr.ru/post/104206
"Во время разработки одной из своих программ я столкнулся с проблемой, что антивирус Касперского постоянно ругался на мой ехешник, как на "HEUR:Trojan.Win32.Generic", хотя ничего вредоносного в нем я не видел. Методом исключений было выявлено, что антивирус ругается на создание процесса функцией CreateProcess(...), если в ее параметрах выставлен флаг скрытого запуска процесса."

 

Если медицина становится комерческой, то она превращается в способы отжимать бабло. Но в медицине есть как минимум клятва Гиппократа, которая ее сдерживает.
В IT нет никаких клятв, IT комерческий от и до. Так что за качество антивирусов не обессудьте, комерческий продукт и соответствующее ему качество, ориентированное первым делом на прибыль а не ваше здоровье.

 

Возможно поэтому его(их) так и называют, что только так их можно обнаружить.
В твоем примере действительное единичное совпадение, из 10 или 100 тысяч файлов на компе, KAV зацепился именно за этот пример.
Я же говорю о тех случаях когда среди тех же 10 или 100 тысяч файлов обнаруживаются сотни и тысячи совпадений за которые цепляется антивирус.
Вот это глюк эвристического анализа и случайное совпадение или реально расплодившаяся зараза? Вот в чем разница.
Еще раз повторю я не говорю о единичных случайностях или совпадениях, я говорю о регулярных и массовых заражениях (примеры в моем логе).