Comments 26
Кстати, работает. Месяца два тому назад проверял VLC установщик и он точно несколько вирусов находил. А теперь нет. Файл тот же самый, я засомневался в прошлый раз и отложил установку.
Это антивирусные компании добавили его в базу как false positive. Поэтому и не детектируется сейчас. Как я понял VirusTotal стрелочку отклоняет в зеленую сторону для известных безопасных файлов. Ну ещё и подпись доверенного источника файла имеется.
VLC установщикБыла бы у него цифровая подпись, всё было бы гораздо проще.
У них ещё и сайт по HTTP. Уж если отдача установщика по HTTPS затратна (хотя я не могу найти оправданий), хоть контрольную сумму по HTTPS можно было бы, а иначе какой смысл?
HTTPS на сервере работает, даже с доверенным сертификатом. Но где 301 редирект? Где HSTS?
Но где 301 редирект? Где HSTS?
Зачем это на сайте, который никакой информации у вас не спрашивает? Пожертвования через PayPal, загрузка файла через mirror-ресурсы. Ради чего ещё пытаться отдавать данный сайт по HTTPS?
Уж если отдача установщика по HTTPS затратна (хотя я не могу найти оправданий)
установщик (как и контрольные суммы) отдаётся с mirror-сайтов, которые HTTPS не поддерживают (возможно не все). например тот же mirror.yandex.ru даже не понимает что это такое. И да, контрольная сумма SHA-1 продублирована текстом на сайте.
А ещё, надо было указать в статье, что Virustotal просят помочь им с коллекцией чистых файлов, так как это взаимосвязано.
А если ботами станут накручивать голоса что файл безвреден?
esetnod32 Извините, но Ваш антивирус уже очень давно лидер по ложным срабатывание на все ПО защищенное Themida — он на него ругается «Themida a variant of Win32/Packed.Themida suspicious» (пользователи не понимают и считают это вирусом). При этом 57 других антивирусов на virustotal считают такое ПО безвредным. А Ваша поддержка на это говорит, что не будет добавлять подобное ПО в белый список и пользователь должен сам это сделать.
а Themida предоставляет антивирусу информацию о реальном положении вещей внутри проверяемого ПО или так же скрывает это, как и от взломщиков?
Я не знаю. Но факт в том, что другие антивирусы как-то справляются с задачей детектирования угрозы в защищенном Themida ПО.
… или же фактически не проверяют?
Своим вопросом Вы ставите под сомнения работу ведущих антивирусных компаний? т.е. по Вашему мнению они обманывают пользователей в безопасности использования такого ПО (зная, что зловреды могут маскироваться с помощью Themida).
а вы им безоговорочно доверяете?
Предположим, есть три двери, и за каждой из них с равной вероятностью может не оказаться ничего, либо оказаться бомба, сдетонирующая сразу при открытии. Все двери плотно закрыты на замок, который для того чтобы узнать за дверью, нужно еще умудриться открыть. Открытие замка одной из дверей никак не влияет на успешность открытия замков от другой.
Внимание, вопрос: будет ли тратить время взломщик, задача которого просто определить в какую дверь входить не стоит, или автоматически повесит на все двери ярлык «не входить»?
Простите конечно, но в 90% случаев современное антивирусное ПО скорее поместит подозрительный файл в карантин, чем будет разбираться что там. Dr.Web например честно пишет про зашифрованные архивы что не может их открыть и сообщает об опасности нахождения там вредоносного кода.
Themida — как раз тот самый сложный замок, который антивирусное ПО не может (да по сути и не должно вскрывать), и если программа защищена по полной программе, то на попытку ее вскрытия априори уйдет довольно существенный ресурс. Тогда возникает другой вопрос — этичность подобного подходя для антивирусного ПО. Если у пользователя есть «ящики Пандоры», ему нужно об этом сообщить. Согласен, что не всегда нужно вешать сразу ярлык о вредоносности, и лучше всего как минимум, просто сообщить об этом, но де-факто, nod32 так и поступает, только не фразой на понятном языке, а стандартной строкой «Themida a variant of Win32/Packed.Themida suspicious».
Кстати, Темидой редко защищают ПО «народного пользования», во всяком случае я ни разу не встречал программу для «обывателя», запакованную и зашифрованную от декомпиляции. Как правило, те люди кто не понимает сообщение нода о подозрении, не всегда готовы пользоваться тем ПО, которое имеет такую защиту. Не вдаваясь в крайности, никто не застрахован и от того что даже нормальная программа может быть фальсифицирована, в нее может быть внедрен вирус намеренно и потом вся эта радость будет зашифрована. Вот как раз для таких случаев поведение нода я считаю оправданным.
Внимание, вопрос: будет ли тратить время взломщик, задача которого просто определить в какую дверь входить не стоит, или автоматически повесит на все двери ярлык «не входить»?
Простите конечно, но в 90% случаев современное антивирусное ПО скорее поместит подозрительный файл в карантин, чем будет разбираться что там. Dr.Web например честно пишет про зашифрованные архивы что не может их открыть и сообщает об опасности нахождения там вредоносного кода.
Themida — как раз тот самый сложный замок, который антивирусное ПО не может (да по сути и не должно вскрывать), и если программа защищена по полной программе, то на попытку ее вскрытия априори уйдет довольно существенный ресурс. Тогда возникает другой вопрос — этичность подобного подходя для антивирусного ПО. Если у пользователя есть «ящики Пандоры», ему нужно об этом сообщить. Согласен, что не всегда нужно вешать сразу ярлык о вредоносности, и лучше всего как минимум, просто сообщить об этом, но де-факто, nod32 так и поступает, только не фразой на понятном языке, а стандартной строкой «Themida a variant of Win32/Packed.Themida suspicious».
Кстати, Темидой редко защищают ПО «народного пользования», во всяком случае я ни разу не встречал программу для «обывателя», запакованную и зашифрованную от декомпиляции. Как правило, те люди кто не понимает сообщение нода о подозрении, не всегда готовы пользоваться тем ПО, которое имеет такую защиту. Не вдаваясь в крайности, никто не застрахован и от того что даже нормальная программа может быть фальсифицирована, в нее может быть внедрен вирус намеренно и потом вся эта радость будет зашифрована. Вот как раз для таких случаев поведение нода я считаю оправданным.
Проблема в том, что Eset обычно стоит у корпоративных пользователей, и он им вообще не даёт обращаться к бизнес ПО защищенному Themida (также не даёт загружать из интернет и удаляет из почты на сервере). В результате понимающий корпоративный пользователь, зная, что это ложное срабатывание не может добавить такое ПО в белый список. А не понимающий считает производителя такого бизнес ПО злодеем и благодарит антивирус за свое спасение.
Спасибо за уточнение.
В таком случае, проблему нужно решать на совсем ином уровне — на уровне руководства компаний. Влезать не буду, но лишь немного скептически замечу, что ничего не мешает на одном из каналов скомпрометировать это ПО, и нет гарантий что поставят именно то что было передано. Например, в тот же экзешник допишут пару лишних килобайт и опять Темидой пройдутся. Возможно я нагнетаю, но иногда подобное поведение все же может быть хоть и не оправдано, но логично.
В таком случае, проблему нужно решать на совсем ином уровне — на уровне руководства компаний. Влезать не буду, но лишь немного скептически замечу, что ничего не мешает на одном из каналов скомпрометировать это ПО, и нет гарантий что поставят именно то что было передано. Например, в тот же экзешник допишут пару лишних килобайт и опять Темидой пройдутся. Возможно я нагнетаю, но иногда подобное поведение все же может быть хоть и не оправдано, но логично.
в корп. секторе по хорошему либо сидят понимающие что творят технари (и тогда они поймут сообщение от Нод), либо люд, который установку «левого» ПО должен согласовывать с админами. А не «левое» ПО этими админами должно быть добавлено в white list антивиря.
Немножечко поясню.
1. В некий вирлаб попадает файл, защищенный Фемидой, который признается малварью (по поведению, по метаданным, по инфе из облака или каким-либо еще способом) и на него накладывается детект. Детект накладывается «поверх» — детектиться будет именно этот файл, а первоначальный с большой долей вероятности (если он не получил детекта когда-то еще) обнаруживаться не будет. Так примерно во всех вирлабах.
А можно сделать иначе и пойти по пункту два:
2. Изначально делается один маленький детект — в базу заносится сигнатура Фемиды и в дальнейшем ВСЕ, что упаковано ей будет обнаруживаться независимо вообще ни от чего. В крайнем случае, если долго вести с ними диалог (показывая им свой сайт, софт), они добавят конкретный файл в исключения к этому детекту.
Есет пошли по второму пути. Насколько это хорошо или плохо и удобно или нет пользователям и производителям софта — не знаю, не мне судить. Я просто на пальцах описал технологию детекта.
Из того софта, что лично я использовал помню детекты есета на три нормальные вещи:
1. Сам софт Фемида
2. vb decompiler
3. Протектор WinLicense
1. В некий вирлаб попадает файл, защищенный Фемидой, который признается малварью (по поведению, по метаданным, по инфе из облака или каким-либо еще способом) и на него накладывается детект. Детект накладывается «поверх» — детектиться будет именно этот файл, а первоначальный с большой долей вероятности (если он не получил детекта когда-то еще) обнаруживаться не будет. Так примерно во всех вирлабах.
А можно сделать иначе и пойти по пункту два:
2. Изначально делается один маленький детект — в базу заносится сигнатура Фемиды и в дальнейшем ВСЕ, что упаковано ей будет обнаруживаться независимо вообще ни от чего. В крайнем случае, если долго вести с ними диалог (показывая им свой сайт, софт), они добавят конкретный файл в исключения к этому детекту.
Есет пошли по второму пути. Насколько это хорошо или плохо и удобно или нет пользователям и производителям софта — не знаю, не мне судить. Я просто на пальцах описал технологию детекта.
Из того софта, что лично я использовал помню детекты есета на три нормальные вещи:
1. Сам софт Фемида
2. vb decompiler
3. Протектор WinLicense
Такая ерунда со всеми антивирусами сейчас творится, притом пакуешь файл типа std:cout<<«hello world»<<std:endl; например upx, несколько антивирусов ругнется, стрипнешь секции, чтобы уменшить размер, опять детекты ложные, подключишь библиотеки для работы с сетью например, опять детекты будут. У меня ощущение, что антивирусы уже тупо забили на ложные срабатывания, ибо совсем безобидный код бывает детектится антивирусами.
Вот прямо сейчас проверил: strip+upx на достаточно сложном сетевом приложении: 0/57.
От размера файла тоже зависит, вирусы обычно не весят больше 1мб, плюс надо понимать, что чем больше кода тем больше сигнатура будет разбавлена другими инструкциями, вообще на детект влияет много факторов ;) С upx я проверял где-то полгода назад и детекты были, но upx сам по себе распаковать очень легко, возможно антивирусы поправили. Ругаются обычно антивирусы на файлы у которых высокая энтропия и они не могут его распаковать.
Sign up to leave a comment.
VirusTotal будет отслеживать false positive