Антивир распознаёт трояна в DiskCryptor
Avira AntiVir Personal:
C:\Documents and Settings\Al\My Documents\dcrypt-0.2.6.zip
[0] Archive type: ZIP
- -> BartPE/dcrypt.exe
[1] Archive type: RSRC
- -> Object
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
- -> Object
- -> i386/dcrypt.exe
[1] Archive type: RSRC
- -> Object
[WARNING] The file was ignored![DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
- -> Object
ок, допустим, антивирус подобную программу приравнял к кейгенам и патчам, но тогда почему не реагирует на TrueCrypt ?
Ссылки
[link1] http://www.anti-malware.ru/forum/index.php?showtopic=3532
[link2] http://www.virustotal.com
[link3] http://www.virustotal.com/ru/analisis/40e34e95d61d2ce29f976cfe9ce251dc
[link4] http://freed0m.org/index.php/DiskCryptor
[link5] http://freed0m.org/index.php/Downloads
[link6] http://freed0m.org/storage/dcrypt/dcrypt_0.2.6/dcrypt-0.2.6.zip
[link7] http://www.virustotal.com/ru/analisis/63f1c9ceaf6a47abf426a7d241132b4e
[link8] http://www.virustotal.com/ru/analisis/9d3fbcbae6af65486643c32ffa38f60d
[link9] http://www.virustotal.com/ru/analisis/91635f9c0823056bc84594a0722d20b3
[link10] http://www.virustotal.com/ru/analisis/91db322b0c2190f375009a69143a4113
[link11] http://www.virustotal.com/ru/analisis/10b38ff9f144630201f4655599b9e02c
[link12] http://www.virustotal.com/ru/analisis/144a106f1420104ed484acb3ffc8a435
[link13] http://www.virustotal.com/ru/analisis/c4bddfe29170cd6d11fa406367937754
[moderator]
DriveCrypt <> DiskCryptor. Тема переименована. Вы бы хоть разобрались, какую программу поставили. ;-)
[/moderator]
Этот вопрос уже обсуждался.
Проверил архив «dcrypt-0.2.6.zip» в DrWeb 4.44 (обновление от 03.07.2008) и AVG Anti-Virus Free 8.0 (обновление от 04.07.2008 9:44), а также просканировал систему в Spybot Search & Destroy 1.5.2.20 (обновление от 02.07.2008) – ВИРУСОВ И ТРОЯНОВ НЕТ!!!
Этот вопрос вы задали не по адресу, лучше спросите у авторов антивируса почему у них такие глюки. Я уже не раз на разных форумах вижу жалобы на то, что подобные антивирусы ругаются даже на самый безобидный код.
http://www.anti-malware.ru/for.....x.php? Showtopic=3532[link1]
И тем не менее на ВирусТотал.сом[link2] ДВА антивируса из 33 распознали[link3] вирус в DiskCryptor[link4] от ntldr
впрочем, почитав http://www.anti-malware.ru/forum/index.php? Showtopic=3532[link1] и сходив также на http://virusscan.jotti.org/, отправил письмо в Авиру о ложном срабатывании их продукта :)
Во психология Русского человека, ну не доверяем мы соотечественникам. Господина Ntldr обвиняют с периодичностью в месяц, то прога его ненадежна, то он сам оказывается супер-мега хакером и вирусаписателем, то в его проге вирус находят. А про авторов той же TrueCrypt никто ничего, да и про саму прогу почти молчат.
Что говорит о недопустимо низком качестве этих антивирусов.
Если вы хотите меня в чем-либо обвинить, то скачайте исходники DiskCryptor, найдите там вирус и запостите здесь конкретные строки кода и механизм их работы. В противном случае будем считать ваши слова акцией черного пиара.
Вот что два антивируса "распознали[link3]" в дистрибутиве DiskCryptor 0.2.6[link5] (файл dcrypt-0.2.6.zip[link6])
При этом на содержащиеся в нём файлы файлы dcrypt.inf[link7] dcrypt.sys[link8]dcrypt.exe (64 bit)[link9] dcrypt.xml[link10] не ругается ни один из 33. На dcrypt.exe (32 bit) почти не ругается – у одного (не из тех двух) возникло лишь подозрение[link11] по поводу самомодификации:
Файл dcrypt.exe (32 bit) присутствует в двух папках, оба экземпляра идентичны – с одинаковым хэшем. Ещё в архиве два текстовых файла: changes.txt и license.txt – их антивирусами проверять не стал, ограничившись визуальным просмотром. Больше в архиве ничего нет!
Если заархивировать только один файл dcrypt.exe (32bit) (я это делал с помощью 7-zip 4.57), то на полученный файл (.zip) те же два антивируса опять ругаются[link12], а на то же самое с 64бит – нет[link13]
Вот какие глюки бывают у антивирусов.
Если взять подстроку (сигнатуру), по которой антивирус детектирует вирус, и записать её в простой двоичный файл (хоть hex-редактором), то этот файл тоже будет опознаваться как заражённый. А тут видимо поток в zip-архиве такую форму принял.
Антивирусы — заведомо проигрышный и неэффективный подход к безопасности. Если безопасность хоть сколь-нибудь важна, не полагайтесь на эту чушь. Даже грамотная настройка привилегий в том же Windows даст лучший результат.