Текущее время: 28 мар 2024 20:04

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
СообщениеДобавлено: 28 янв 2015 16:00 
Не в сети

Зарегистрирован:
28 янв 2015 15:46
Сообщения: 9
Здравствуйте! Есть файл rserv34ru.msi , который Nano считает инфицированным.
Скажите пожалуйста, почему Nano не считает его потенциально опасным ?

Антивирус касперского считает его как not-a-virus - потенциально опасное ПО .
Доктор веб пишет, что вирусов не обнаружено.
Eset Nod пишет, что это потенциально опасная программа .

Этот файл на вирустотал https://www.virustotal.com/ru/file/a4a3 ... /analysis/


Вложения:
Eset.PNG [18.58 КБ]
Скачиваний: 0
Nano.PNG
Nano.PNG [ 91.8 КБ | Просмотров: 23488 ]
Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 28 янв 2015 19:51 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Anmawe.

Спасибо. Действительно, NANO несправедливо считает такой файл инфицированным, категория будет исправлена на "Riskware" (потенциально опасный).


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 09 фев 2015 16:11 
Не в сети

Зарегистрирован:
28 янв 2015 15:46
Сообщения: 9
Есть вредоносный файл , в котором антивирусы видят троянскую программу https://www.virustotal.com/ru/file/2158 ... /analysis/

Вот другой файл regedit.exe , в нем есть сигнатура того трояна. Nano антивирус пишет, что обнаружен троян, хотя троян "битый", он не работает .
https://www.virustotal.com/ru/file/e8ae ... 423482881/

Вы можете исправить это, чтобы Nano не реагировал на "битые" вирусы.

Доктор веб так пишет

Для объяснения этого факта надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды, что делается некоторыми другими антивирусными вендорами


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 09 фев 2015 16:35 
NanoAV Team
Не в сети

Зарегистрирован:
03 апр 2009 18:43
Сообщения: 488
Откуда:
Брянск
Здравствуйте, Anmawe.
Для начала мы бы хотели сказать, что не видим ничего плохого в том, что Антивирус детектирует пусть и битый (не способный запуститься), но троян. Никакого смысла в его нахождении на компьютере нет, и если Антивирус удалит такой файл, это будет только к лучшему.
Велика вероятность, что в битом файле остался тот код, по которому детектируется целое семейство вредоносных программ. В таком случае, чтобы не детектировать один битый файл, необходимо будет проводить специальный анализ, помещать его в специальные списки... Это только повысит трудозатраты и повлечет рост вирусной базы (пусть и мизерный).
Однако, ничего нельзя сказать точно, не имея образца у себя на руках. Пожалуйста, отправьте описанный Вами файл на адрес support@nanoav.ru. Мы проведем его анализ, и если наши специалисты решат, что файл детектироваться не должен, будут приняты соответствующие меры.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 30 мар 2015 20:45 
Не в сети

Зарегистрирован:
28 янв 2015 15:46
Сообщения: 9
Возможно, вы правы. Но вот вам такой пример - к чему приводит детектирование "битых" вирусов https://www.virustotal.com/ru/file/448f ... /analysis/

Даже Доктор веб среагировал почему-то.

Сначала касперский тоже ругался, но потом из вирлаба пришло письмо, где написано "Это было ложное срабатывание" .

Я могу ошибаться, но реагирование антивирусного сканера на неработоспособный код (то ли сигнатурного, то ли эвристического анализа) только увеличивает вероятность ложного срабатывания. Чем чаще ложные срабатывания бывают, тем меньше это нравится пользователю.

Влияет ли детект "битых" вирусов на работу эвристического анализа в вашем антивирусе ? Повышается ли вероятность ложного срабатывания у эвристического анализа, или не повышается ?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 31 мар 2015 16:27 
NanoAV Team
Не в сети

Зарегистрирован:
03 апр 2009 18:43
Сообщения: 488
Откуда:
Брянск
Anmawe, мы изучили файл, который Вы отправили на VT. Судя по всему, к онлайн-инсталлятору Opera было добавлены несколько троянов. Антивирусы обнаруживают внедренные вредоносные объекты, и правильно делают: в "дикой природе" существуют вредоносные программы, которые хранят свое вредоносное тело подобным образом. По этим причинам данный файл не может считаться ложным срабатыванием, так как ложное срабатывание - это срабатывание антивируса на зведомо чистом файле (не содержащем в себе никакого вредоносного кода).


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB