MBAM wykrywa wirusy w oparciu o nazwy i lokalizacje plików

[zord]

Też ale w sumie technika jest skuteczna można wykrywać to czego nie ma jeszcze w bazach

[Eugeniusz]

Vipre też wchodzi na czarną listę...

[kapitan zawada]

Panda Cloud to samo!

[Konto usunięte]

Pobrałem najnowszą paczkę z malwares - wykrył 117 na 125
Następnie zmieniłem nazwy wszystkich plików na "abcd" (czyli było "abcd (2)" itd.), wykrył tyle samo.
Czyli na pewno bierze pod uwagę również jakąś formę hasha.

[Eugeniusz]

Ale to jest chmura, więc ona musi wykrywać po nazwach plików. Zresztą pewnie identyfikuje pliki po własnym algorytmie (tak jak Prevx to robi).

[bardok206]

Coś mi się wydaje że przebadacie teraz wszystkie programy : ).

[yaslaw]

Ale to jest chmura, więc ona musi wykrywać po nazwach plików. Zresztą pewnie identyfikuje pliki po własnym algorytmie (tak jak Prevx to robi).

po nazwach to napewno nie ;-)
hashe (i to raczej nie md5 a raczej sha lub inny algorytm)

[marsellus]

Przecież to jedna z wielu technik które stosuje MBAM do wykrywania syfu. Nie rozumiem zamieszana:crazy:

[Konto usunięte]

No dobra, ale w tym wypadku zrobił bardzo ładnego FP.

[shinjiru]

hm...to w takim razie jak wykrył mi na xp w system volume 35 trojanów i innych wormów to wykrył malwere czy nie? bo już sam nie wiem co teraz o tym myćśle w tej chwilić...hmmm musze to ogarnąc bo szok mam ;f

[polak900]

tak czy siak, najważniejsza jest wykrywalność a ta jest na bdb poziomie.

[ktośtam]

To fakt, co nie zmienia postaci rzeczy, że to raczej wpadka ze strony Malwarebytes.

[KaMiL]

Nie wiadomo czy wpadka...może ułatwienie sobie roboty.

[marsellus]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak dla mnie sprawy nie ma.

[zord]

czasami coś takiego może źle się skończyć

[Aby zobaczyć linki, zarejestruj się tutaj]

[Eugeniusz]

Ryzyko jest ogromne, ale żeby pusty plik powodował alarm?

[ktośtam]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak dla mnie sprawy nie ma.

A nie sądzisz, że ten przykład pokazuje, jak łatwo oszukać MBAM?
Załóżmy, że twórca malware tworzy plik svchost.exe, nadaje mu atrybut ukryty i umieszcza go pulpicie (w przypadku skanu naszego fejkowego pliku, kiedy znajdował się on na pulpicie MBAM siedział cicho) i z tej lokalizacji go wywołuje - ciekawe co się stanie?
Więc katalog główny C, czy też %WINDIR% są podejrzanymi lokalizacjami dla pliku svchost.exe, ale pulpit już nie? Trochę dziwne jednak moim zdaniem.

[marsellus]

No ale to nie jest jedyna metoda jaką MBAM wykrywa syf, czyż nie??

[ktośtam]

Czyż tak , jednak co by nie było, to jeden wielki FP.
I jeszcze jako ciekawostka, wynik skanu reputacji KSN "dummy file" svchost.exe:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Eugeniusz]

Norton Community też może oszaleć, ale w mniejszym stopniu.
Plik nie jest podpisany, mogą być problemy.