Czy program przesadza? False positive-podejrzenie! - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Malware Lab (https://safegroup.pl/forum-20.html) +--- Wątek: Czy program przesadza? False positive-podejrzenie! (/thread-4963.html) |
Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012 W związku z tym,ze mam do czynienia z rożnymi programami i użytkownikami będę zamieszczał w tym temacie więcej plików budzących moje podejrzenia co do zainfekowania. Przeskanowałem dzis dysk brata ( na którym jest avg) z poziomu mojego komputera- Nodem 32. Na początku przeraziłem się - 10 wykryć . Jednak przyglądajac się nazwom "wirusów" okazuje się ,że eset zdiagnozował dwa powtarzające sie wedle niego zagrozenia. Treść widoczna jedynie dla zarejestrowanych użytkowników Martwi mnie to gdyz jakiś laik mogłby sobie teraz pomyśleć ,że Avg jest beznadziejny, bo ominął 10 zagrożen wykrytych przez Noda. Re: Czy program przesadza? False positive-podejrzenie! - ReviewsAntivirus - 16.06.2012 Pierwszy plik toToolbar Babylon, a drugi to Adware w Softonic Downloader. Re: Czy program przesadza? False positive-podejrzenie! - Waves - 16.06.2012 Wg. mnie to żadne zagrożenia - te co przysłałeś. Instalator Softonic dodaje jakiś toolbar do instalowanego programu - adware oraz babylon toolbar. Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012 Ale te pliki powinny być wykrywane? Adware i PUP to większość "zagrożen" jakie u ludzi znajduje. A wykrycie na dysku 0:10 to duża różnica. McAfee GetSusp oba pliki uznaje za czyste, laby Aviry i Kasperskiego: plik Babylona -czysty plik Softonica w analizie. Re: Czy program przesadza? False positive-podejrzenie! - Waves - 16.06.2012 Jak kto woli. Babylon toolbar jest usuwany przy okazji sprawdzania logów na wszystkich forach Zależy od producenta zabezpieczenia. Re: Czy program przesadza? False positive-podejrzenie! - Flash999 - 16.06.2012 Firmy AV różnie to traktują - jedna dodaje, druga nie. 1.Babylon Toolbar - jeden .dll, raczej nieszkodliwy, pewnie plik do przeglądarki 2. Softonic Downloader - drugi krok instalacji to instalacja Babylon Toolbar, domyślnie zaznaczona do instalacji, można odznaczyć Czyli ten plik Babylon Toolbar mógł być z tego właśnie instalatora. Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012 Tak jedno prawdopodobnie pochodzi z drugiego, ten Babylon jeszcze coś próbował wgrać na komputer,ale Avg usunął. Dodano: 16 cze 2012, 18:52 Czyzby McAfee sie mylił? ( 2 próbki) Treść widoczna jedynie dla zarejestrowanych użytkowników Re: Czy program przesadza? False positive-podejrzenie! - ReviewsAntivirus - 16.06.2012 [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 19.06.2012 Zachęcam do dodawania ewentualnych false positive do tego tematu Od siebie zgłaszam całą rodzinę babylona, Znowu miałem okazję ''naprawiać'' dziś kompa znajomemu i to samo . Instalatory tego tolbara czy pliki generują wykrycie dużej liczby ''zagrożeń''. Według aviry czysto , wedle eseta i w tym wypadku jeszcze avg dużo zagrożeń. Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 22.06.2012 Według Aviry false positive , na virustotal wykrywa go aż 29 skanerów. [Aby zobaczyć linki, zarejestruj się tutaj] Treść widoczna jedynie dla zarejestrowanych użytkowników Re: Czy program przesadza? False positive-podejrzenie! - ichito - 22.06.2012 Ask toolbar, Babylon...od jakiegoś czasu pojawia się często dodatek, który instaluje na siłę jako domyślny dla wszystkich dostępnych na maszynie przeglądarek mechanizm wyszukiwania V9 . Ten sam dodatek podmienia również strony startowe na takie [Aby zobaczyć linki, zarejestruj się tutaj] Dodatek jest niebywale wredny, ciężko się usuwa, nawet po usunięciu "z ręki" plików i wpisów w rejestrze wciąż egzystuje jako strona domowa np. IE czy Firefoxa. Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.Re: Czy program przesadza? False positive-podejrzenie! - Eugeniusz - 22.06.2012 ichito napisał(a):Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask. No to widzę że będzie wzięcie na program do usuwania toolbarów. Re: Czy program przesadza? False positive-podejrzenie! - Flash999 - 23.06.2012 Eugeniusz napisał(a):ichito napisał(a):Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask. Już od dawna taki jest... [Aby zobaczyć linki, zarejestruj się tutaj] mirror:[Aby zobaczyć linki, zarejestruj się tutaj] Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012 panda przypadkiem nie ma tolbaarcleanera? Re: Czy program przesadza? False positive-podejrzenie! - Dusiek - 23.06.2012 Coś takiego? [Aby zobaczyć linki, zarejestruj się tutaj] Re: Czy program przesadza? False positive-podejrzenie! - torello - 23.06.2012 dobry temat. właśnie przecieram oczy ze zdumienia. Po raz kole jny w ciągu kilku dni lab Microsoftu, MPC, zaskakuje mnie na ... no właśnie, sam nie wiem, czy na plus czy minus. Kilka dni temu plik został sklasyfikowany na VirusTotal jako malware (31/41. MPC stwierdziło, że nie jestto malware. Dziś kolejny plik, tym razem VirusTotal aż 37/42 i również werdykt wydany przez MPC brzmi: Nie jest to malware!!! Czy to możliwe? Przyjmuje, że praca człowieka jest w tym przypadku wciąż o wiele bardziej dokładniejsza, niż wszelkie mechanizmy i algorytmy. Ale żeby było jescze ciekawiej, to w laboratorium Kaspersky analityk wydał werdykt, ze jednak jest to malware! Komu w takim razie wierzyć? Kto ma lepszą wiarygodność i renomę? Re: Czy program przesadza? False positive-podejrzenie! - tachion - 23.06.2012 Hmm wszystko zależy w jaki sposób te próbki analizują czy metodą typu behavioral czy wstecznej inżynierii,dużo jest klasyfikowanych jako zagrożenie ale np.nie mają już połączania z danym serwerem,no i niestety próbka się albo nie złoży w całość,albo nie będą pobierane inne gadziny z danej siecibo droga jest zamknięta np.ze stroną która powoduje też przekierowanie,możliwości jest wiele Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012 System automatyczny rządzi się swoimi prawami , a inżynierowie tak naprawdę sprawdzają małą część próbek. Jeśli jest taki Plik proponuje wpuścić go w sandboxa i sprawdzić reakcje. Avg np. Często po wysyłce do labu nie dodaje definicji do bazy wirusów , Ale do heurystyki. Mam też Plik , którego lab eseta nie chce dodać do bazy pomimo, ze po uruchomieniu masa Alertów. Re: Czy program przesadza? False positive-podejrzenie! - zord - 23.06.2012 MPC to jakiś automat kiedyś tam wysyłałem i było info że plik czysty a po kilku dniach forefront wykrywał Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012 Swoją droga wysłałem wczoraj do labów Eseta i Aviry resztke plików niewykrytych przez Noda z paczki 222 malware Wavesa. Otoz Avira stwierdza, że w paczce tej są 2 clean, 1 Fp i kilka malware, a eset... dodał tylko jedna definicje, reszta nieruszana. Dziwi to tym bardziej,ze wczoraj wysyłałem tezesetowi innego szkodnika i zaraz dostałem odpowiedz mailową. |