Czy program przesadza? False positive-podejrzenie!

[McAlex]

W związku z tym,ze mam do czynienia z rożnymi programami i użytkownikami będę zamieszczał w tym temacie więcej plików budzących moje podejrzenia co do zainfekowania.


Przeskanowałem dzis dysk brata ( na którym jest avg) z poziomu mojego komputera- Nodem 32. Na początku przeraziłem się - 10 wykryć .
Jednak przyglądajac się nazwom "wirusów" okazuje się ,że eset zdiagnozował dwa powtarzające sie wedle niego zagrozenia.

Treść widoczna jedynie dla zarejestrowanych użytkowników

Czy to nie jest aby przesada? A moze tak powinno byc?
Martwi mnie to gdyz jakiś laik mogłby sobie teraz pomyśleć ,że Avg jest beznadziejny, bo ominął 10 zagrożen wykrytych przez Noda.

[ReviewsAntivirus]

Pierwszy plik toToolbar Babylon, a drugi to Adware w Softonic Downloader.

[Waves]

Wg. mnie to żadne zagrożenia - te co przysłałeś. Instalator Softonic dodaje jakiś toolbar do instalowanego programu - adware oraz babylon toolbar.

[McAlex]

Ale te pliki powinny być wykrywane?
Adware i PUP to większość "zagrożen" jakie u ludzi znajduje.
A wykrycie na dysku 0:10 to duża różnica.
McAfee GetSusp oba pliki uznaje za czyste, laby Aviry i Kasperskiego:
plik Babylona -czysty
plik Softonica w analizie.

[Waves]

Jak kto woli. Babylon toolbar jest usuwany przy okazji sprawdzania logów na wszystkich forach Zależy od producenta zabezpieczenia.

[Flash999]

Firmy AV różnie to traktują - jedna dodaje, druga nie.

1.Babylon Toolbar - jeden .dll, raczej nieszkodliwy, pewnie plik do przeglądarki
2. Softonic Downloader - drugi krok instalacji to instalacja Babylon Toolbar, domyślnie zaznaczona do instalacji, można odznaczyć

Czyli ten plik Babylon Toolbar mógł być z tego właśnie instalatora.

[McAlex]

Tak jedno prawdopodobnie pochodzi z drugiego, ten Babylon jeszcze coś próbował wgrać na komputer,ale Avg usunął.

Dodano: 16 cze 2012, 18:52

Czyzby McAfee sie mylił? ( 2 próbki)

Treść widoczna jedynie dla zarejestrowanych użytkowników

[ReviewsAntivirus]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[McAlex]

Zachęcam do dodawania ewentualnych false positive do tego tematu
Od siebie zgłaszam całą rodzinę babylona, Znowu miałem okazję ''naprawiać'' dziś kompa znajomemu i to samo . Instalatory tego tolbara czy pliki generują wykrycie dużej liczby ''zagrożeń''. Według aviry czysto , wedle eseta i w tym wypadku jeszcze avg dużo zagrożeń.

[McAlex]

Według Aviry false positive , na virustotal wykrywa go aż 29 skanerów.

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[ichito]

Ask toolbar, Babylon...od jakiegoś czasu pojawia się często dodatek, który instaluje na siłę jako domyślny dla wszystkich dostępnych na maszynie przeglądarek mechanizm wyszukiwania V9 . Ten sam dodatek podmienia również strony startowe na takie

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatek jest niebywale wredny, ciężko się usuwa, nawet po usunięciu "z ręki" plików i wpisów w rejestrze wciąż egzystuje jako strona domowa np. IE czy Firefoxa. Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.

[Eugeniusz]

Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.

No to widzę że będzie wzięcie na program do usuwania toolbarów.

[Flash999]

Bujałem się z nim kilka godzin kiedyś, ale udało się w końcu...powiem, że trudniej było niż z dodatkami od Ask.

No to widzę że będzie wzięcie na program do usuwania toolbarów.

Już od dawna taki jest...

[Aby zobaczyć linki, zarejestruj się tutaj]

mirror:

[Aby zobaczyć linki, zarejestruj się tutaj]

[McAlex]

panda przypadkiem nie ma tolbaarcleanera?

[Dusiek]

Coś takiego?

[Aby zobaczyć linki, zarejestruj się tutaj]

[torello]

dobry temat. właśnie przecieram oczy ze zdumienia. Po raz kole jny w ciągu kilku dni lab Microsoftu, MPC, zaskakuje mnie na ... no właśnie, sam nie wiem, czy na plus czy minus.
Kilka dni temu plik został sklasyfikowany na VirusTotal jako malware (31/41. MPC stwierdziło, że nie jestto malware.
Dziś kolejny plik, tym razem VirusTotal aż 37/42 i również werdykt wydany przez MPC brzmi: Nie jest to malware!!!
Czy to możliwe? Przyjmuje, że praca człowieka jest w tym przypadku wciąż o wiele bardziej dokładniejsza, niż wszelkie mechanizmy i algorytmy.
Ale żeby było jescze ciekawiej, to w laboratorium Kaspersky analityk wydał werdykt, ze jednak jest to malware! Komu w takim razie wierzyć? Kto ma lepszą wiarygodność i renomę?

[tachion]

Hmm wszystko zależy w jaki sposób te próbki analizują czy metodą typu behavioral czy wstecznej inżynierii,dużo jest klasyfikowanych jako zagrożenie ale np.nie mają już połączania z danym serwerem,no i niestety próbka się albo nie złoży w całość,albo nie będą pobierane inne gadziny z danej siecibo droga jest zamknięta np.ze stroną która powoduje też przekierowanie,możliwości jest wiele

[McAlex]

System automatyczny rządzi się swoimi prawami , a inżynierowie tak naprawdę sprawdzają małą część próbek. Jeśli jest taki Plik proponuje wpuścić go w sandboxa i sprawdzić reakcje. Avg np. Często po wysyłce do labu nie dodaje definicji do bazy wirusów , Ale do heurystyki. Mam też Plik , którego lab eseta nie chce dodać do bazy pomimo, ze po uruchomieniu masa Alertów.

[zord]

MPC to jakiś automat kiedyś tam wysyłałem i było info że plik czysty a po kilku dniach forefront wykrywał

[McAlex]

Swoją droga wysłałem wczoraj do labów Eseta i Aviry resztke plików niewykrytych przez Noda z paczki 222 malware Wavesa.
Otoz Avira stwierdza, że w paczce tej są 2 clean, 1 Fp i kilka malware, a eset... dodał tylko jedna definicje, reszta nieruszana. Dziwi to tym bardziej,ze wczoraj wysyłałem tezesetowi innego szkodnika i zaraz dostałem odpowiedz mailową.