+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Malware Lab (https://safegroup.pl/forum-20.html)
+--- Wątek: Czy program przesadza? False positive-podejrzenie! (/thread-4963.html)
Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012
W związku z tym,ze mam do czynienia z rożnymi programami i użytkownikami będę zamieszczał w tym temacie więcej plików budzących moje podejrzenia co do zainfekowania.
Przeskanowałem dzis dysk brata ( na którym jest avg) z poziomu mojego komputera- Nodem 32. Na początku przeraziłem się - 10 wykryć .
Jednak przyglądajac się nazwom "wirusów" okazuje się ,że eset zdiagnozował dwa powtarzające sie wedle niego zagrozenia.
Treść widoczna jedynie dla zarejestrowanych użytkowników
Martwi mnie to gdyz jakiś laik mogłby sobie teraz pomyśleć ,że Avg jest beznadziejny, bo ominął 10 zagrożen wykrytych przez Noda.
Re: Czy program przesadza? False positive-podejrzenie! - ReviewsAntivirus - 16.06.2012
Pierwszy plik toToolbar Babylon, a drugi to Adware w Softonic Downloader.
Re: Czy program przesadza? False positive-podejrzenie! - Waves - 16.06.2012
Wg. mnie to żadne zagrożenia - te co przysłałeś. Instalator Softonic dodaje jakiś toolbar do instalowanego programu - adware oraz babylon toolbar.
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012
Ale te pliki powinny być wykrywane?
Adware i PUP to większość "zagrożen" jakie u ludzi znajduje.
A wykrycie na dysku 0:10 to duża różnica.
McAfee GetSusp oba pliki uznaje za czyste, laby Aviry i Kasperskiego:
plik Babylona -czysty
plik Softonica w analizie.
Re: Czy program przesadza? False positive-podejrzenie! - Waves - 16.06.2012
Jak kto woli. Babylon toolbar jest usuwany przy okazji sprawdzania logów na wszystkich forach
Zależy od producenta zabezpieczenia.
Re: Czy program przesadza? False positive-podejrzenie! - Flash999 - 16.06.2012
Firmy AV różnie to traktują - jedna dodaje, druga nie.
1.Babylon Toolbar - jeden .dll, raczej nieszkodliwy, pewnie plik do przeglądarki
2. Softonic Downloader - drugi krok instalacji to instalacja Babylon Toolbar, domyślnie zaznaczona do instalacji, można odznaczyć
Czyli ten plik Babylon Toolbar mógł być z tego właśnie instalatora.
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 16.06.2012
Tak jedno prawdopodobnie pochodzi z drugiego, ten Babylon jeszcze coś próbował wgrać na komputer,ale Avg usunął.
Dodano: 16 cze 2012, 18:52
Czyzby McAfee sie mylił? ( 2 próbki)
Treść widoczna jedynie dla zarejestrowanych użytkowników
Re: Czy program przesadza? False positive-podejrzenie! - ReviewsAntivirus - 16.06.2012
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 19.06.2012
Zachęcam do dodawania ewentualnych false positive do tego tematu
Od siebie zgłaszam całą rodzinę babylona, Znowu miałem okazję ''naprawiać'' dziś kompa znajomemu i to samo . Instalatory tego tolbara czy pliki generują wykrycie dużej liczby ''zagrożeń''. Według aviry czysto , wedle eseta i w tym wypadku jeszcze avg dużo zagrożeń.
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 22.06.2012
Według Aviry false positive , na virustotal wykrywa go aż 29 skanerów.
[Aby zobaczyć linki, zarejestruj się tutaj]
Treść widoczna jedynie dla zarejestrowanych użytkowników
Re: Czy program przesadza? False positive-podejrzenie! - ichito - 22.06.2012
Ask toolbar, Babylon...od jakiegoś czasu pojawia się często dodatek, który instaluje na siłę jako domyślny dla wszystkich dostępnych na maszynie przeglądarek mechanizm wyszukiwania V9 . Ten sam dodatek podmienia również strony startowe na takie
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodatek jest niebywale wredny, ciężko się usuwa, nawet po usunięciu "z ręki" plików i wpisów w rejestrze wciąż egzystuje jako strona domowa np. IE czy Firefoxa. Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.Re: Czy program przesadza? False positive-podejrzenie! - Eugeniusz - 22.06.2012
ichito napisał(a):Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.
No to widzę że będzie wzięcie na program do usuwania toolbarów.
Re: Czy program przesadza? False positive-podejrzenie! - Flash999 - 23.06.2012
Eugeniusz napisał(a):ichito napisał(a):Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.
No to widzę że będzie wzięcie na program do usuwania toolbarów.
Już od dawna taki jest...
[Aby zobaczyć linki, zarejestruj się tutaj]
mirror:[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012
panda przypadkiem nie ma tolbaarcleanera?
Re: Czy program przesadza? False positive-podejrzenie! - Dusiek - 23.06.2012
Coś takiego?
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Czy program przesadza? False positive-podejrzenie! - torello - 23.06.2012
dobry temat. właśnie przecieram oczy ze zdumienia. Po raz kole jny w ciągu kilku dni lab Microsoftu, MPC, zaskakuje mnie na ... no właśnie, sam nie wiem, czy na plus czy minus.
Kilka dni temu plik został sklasyfikowany na VirusTotal jako malware (31/41. MPC stwierdziło, że nie jestto malware.
Dziś kolejny plik, tym razem VirusTotal aż 37/42 i również werdykt wydany przez MPC brzmi: Nie jest to malware!!!
Czy to możliwe? Przyjmuje, że praca człowieka jest w tym przypadku wciąż o wiele bardziej dokładniejsza, niż wszelkie mechanizmy i algorytmy.
Ale żeby było jescze ciekawiej, to w laboratorium Kaspersky analityk wydał werdykt, ze jednak jest to malware! Komu w takim razie wierzyć? Kto ma lepszą wiarygodność i renomę?
Re: Czy program przesadza? False positive-podejrzenie! - tachion - 23.06.2012
Hmm wszystko zależy w jaki sposób te próbki analizują czy metodą typu behavioral czy wstecznej inżynierii,dużo jest klasyfikowanych jako zagrożenie ale np.nie mają już połączania z danym serwerem,no i niestety próbka się albo nie złoży w całość,albo nie będą pobierane inne gadziny z danej siecibo droga jest zamknięta np.ze stroną która powoduje też przekierowanie,możliwości jest wiele
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012
System automatyczny rządzi się swoimi prawami , a inżynierowie tak naprawdę sprawdzają małą część próbek. Jeśli jest taki Plik proponuje wpuścić go w sandboxa i sprawdzić reakcje. Avg np. Często po wysyłce do labu nie dodaje definicji do bazy wirusów , Ale do heurystyki. Mam też Plik , którego lab eseta nie chce dodać do bazy pomimo, ze po uruchomieniu masa Alertów.
Re: Czy program przesadza? False positive-podejrzenie! - zord - 23.06.2012
MPC to jakiś automat kiedyś tam wysyłałem i było info że plik czysty a po kilku dniach forefront wykrywał
Re: Czy program przesadza? False positive-podejrzenie! - McAlex - 23.06.2012
Swoją droga wysłałem wczoraj do labów Eseta i Aviry resztke plików niewykrytych przez Noda z paczki 222 malware Wavesa.
Otoz Avira stwierdza, że w paczce tej są 2 clean, 1 Fp i kilka malware, a eset... dodał tylko jedna definicje, reszta nieruszana. Dziwi to tym bardziej,ze wczoraj wysyłałem tezesetowi innego szkodnika i zaraz dostałem odpowiedz mailową.