А твій антивірус ловить запаролені архіви

Днями прилетів мені характерний лист:

запаролені

Не дивлячись перегорнув, бо й так зрозуміло, що там за бухгалтер разом із накладними. А сьогодні з ранку чистив ящик, видалася хвилинка, і стало мені цікаво, що ж це за «накладні» (забігаючи наперед – у листі був шифрувальник). Результат непоганий - 31 з 56:

твій

І, мабуть, кілька вільних хвилин ударили в голову, вирішив побалуватись. Запакував файл до архіву з паролем і кинув на VT ще раз. І, диво! Вже всього 2 з 56:

архіви

Здалося дуже примітним, хто саме залишився у списку. Маловідомий український та французький антивірус. Робимо висновки?

До речі, поки писав пост, детектів на незапаролений файл ще наповзло, на момент відправлення посту вже 38.

Ви можете допомогти і перевести небагато коштів на розвиток сайту

Коментарі (32):

> Робимо висновки? Робимо, тільки не ті, які ви мали на увазі. Два детекти, що залишилися, — так звані false positive, хибне спрацьовування. Антивірус не може перевірити запаролений архів, не знаючи пароля, відповідно детектів не повинно бути зовсім. Деякі антивіруси в налаштуваннях можуть вказати поведінку під час сканування зашифрованого архіву: пропустити або запросити пароль у користувача.

антивірус може отримувати імена файлів з архіву, якщо той дозволяє. Запаролений exe src або com - дуже підозріло. Gmail, наприклад, взагалі не дає заливати архіви всередині яких він виявляє exe. Доводиться або перейменовувати архів .zip___ або ставити пароль на архів із забороною читання імен файлів в архіві. Ледве відправиш другу вихідники проекту з візуалстудії.

exe у вихідниках.

У вас у exe вихідники.

там у папці дебаг exe зазвичайлежить. З нього пробують відразу утиліту як отримують.

Відмінний вектор соціалки на віндевів!

Саме так: шифровані імена файлів не видно без пароля.

Підозріло-не підозріло, а зрозуміти, що там у цих файлах він не може, тож і детекта на цій підставі бути не може.

Так, проте краще перебдіті якщо ми робимо сервіс на масу х.з якого народу

принаймні на місці гугла я робив би так само

Два детекти, що залишилися, — так звані false positive, хибне спрацьовування. Антивірус не може перевірити запаролений архів, не знаючи пароля, відповідно детектів не повинно бути зовсім. Я тут цілком згоден, тільки дивно, що імена W32/Cryakl.ABV!tr і Trojan.Win32.Injector.dxiaae ці два антивіруси дали такі самі, як на першому тестуванні. Значить і вперше було хибне спрацювання? І до чого так вдало збіглося? Чи там взагалі фейкові антивіруси? Я більше не можу придумати пояснень.

А чому б не підсунути їм свій архів з якимось невинним ехешником?

Закинув для перевірки, запаролений архів (7zip) з невинним exe'шником — хибних спрацьовувань не виявлено

Фолс з тим самим ім'ям детекта буква в букву, що й на незапароленному файлі? Щось маю сумніви. Хм. А давайте вчинимо радикально. Я зараз кину запит у НАНО, і якщо вони дадуть відповідь, опублікую їхню відповідь тут. Чи годиться?

Вже все обговорили у сусідній темі.

Обговорили, чому ім'я детекту збігається, тобто. як визначається типу вірус у зашифрованому архіві. Ну а так-то відповідь почитати теж цікаво.

Мій антивірус ловить мишей.

антивірус

1. Жодний антивірус не може перевіряти зашифровані архіви — якщо вони були зашифровані нормальними продуктами. Наскільки я пам'ятаю єдиний винятокпродукти від Лабораторії Касперського, але й їм для розшифрування/перепакування потрібно мати пароль. 2. Антивірус може розшифровувати файли, якщо зловмисниками були допущені помилки. Приклади розшифрування файлів після шифрувальників - 3. Антивірусу не потрібно визначення наявності шкідливого файлу розшифровувати отримане. Така технологія є у Dr.Web. Завдяки їй можна знаходити відомі зразки (або обумовлені евристикою) у зашифрованих/упакованих файлах (не архівах!). Ускладнює створення невизначених зразків шкідливих файлів (збільшує час створення невизначеного файлу), знижує кількість записів у базі — не потрібно додавати нові записи на кожен перепакований файл. Вкрай важлива фішка на даний момент

2015 ITnan.ru Design by Styleshout.