Антивир распознаёт трояна в DiskCryptor


Avira AntiVir Personal:

C:\Documents and Settings\Al\My Documents\dcrypt-0.2.6.zip
[0] Archive type: ZIP
  • -> BartPE/dcrypt.exe
    [1] Archive type: RSRC
    • -> Object
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  • -> i386/dcrypt.exe
    [1] Archive type: RSRC
    • -> Object
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
      [WARNING] The file was ignored!


ок, допустим, антивирус подобную программу приравнял к кейгенам и патчам, но тогда почему не реагирует на TrueCrypt ?

Комментарии
— SATtva (04/07/2008 07:00)   
[moderator]
DriveCrypt <> DiskCryptor. Тема переименована. Вы бы хоть разобрались, какую программу поставили. ;-)
[/moderator]

Этот вопрос уже обсуждался.
Гость (04/07/2008 10:04)   
Проверил архив «dcrypt-0.2.6.zip» в DrWeb 4.44 (обновление от 03.07.2008) и AVG Anti-Virus Free 8.0 (обновление от 04.07.2008 9:44), а также просканировал систему в Spybot Search & Destroy 1.5.2.20 (обновление от 02.07.2008) – ВИРУСОВ И ТРОЯНОВ НЕТ!!!
— ntldr (04/07/2008 10:09)   
Этот вопрос вы задали не по адресу, лучше спросите у авторов антивируса почему у них такие глюки. Я уже не раз на разных форумах вижу жалобы на то, что подобные антивирусы ругаются даже на самый безобидный код.
http://www.anti-malware.ru/for.....x.php? Showtopic=3532[link1]
— AlexLG (04/07/2008 21:15)   
И тем не менее на ВирусТотал.сом[link2] ДВА антивируса из 33 распознали[link3] вирус в DiskCryptor[link4] от ntldr
— AlexLG (04/07/2008 21:30)   
впрочем, почитав http://www.anti-malware.ru/forum/index.php? Showtopic=3532[link1] и сходив также на http://virusscan.jotti.org/, отправил письмо в Авиру о ложном срабатывании их продукта :)
Гость (04/07/2008 22:23)   
Во психология Русского человека, ну не доверяем мы соотечественникам. Господина Ntldr обвиняют с периодичностью в месяц, то прога его ненадежна, то он сам оказывается супер-мега хакером и вирусаписателем, то в его проге вирус находят. А про авторов той же TrueCrypt никто ничего, да и про саму прогу почти молчат.
— ntldr (04/07/2008 22:51)   
И тем не менее на ВирусТотал.сом ДВА антивируса из 33 распознали вирус в DiskCryptor

Что говорит о недопустимо низком качестве этих антивирусов.
Если вы хотите меня в чем-либо обвинить, то скачайте исходники DiskCryptor, найдите там вирус и запостите здесь конкретные строки кода и механизм их работы. В противном случае будем считать ваши слова акцией черного пиара.
Гость (05/07/2008 00:14)   
Вот что два антивируса
AntiVir 7.8.0.64 2008.07.04 TR/Crypt. XPACK. Gen
Webwasher-Gateway 6.6.2 2008.07.04 Trojan. Crypt. XPACK. Gen
"распознали[link3]" в дистрибутиве DiskCryptor 0.2.6[link5] (файл dcrypt-0.2.6.zip[link6])

При этом на содержащиеся в нём файлы файлы dcrypt.inf[link7] dcrypt.sys[link8]dcrypt.exe (64 bit)[link9] dcrypt.xml[link10] не ругается ни один из 33. На dcrypt.exe (32 bit) почти не ругается – у одного (не из тех двух) возникло лишь подозрение[link11] по поводу самомодификации:
Prevx1 – - Heuristic: Suspicious Self Modifying File

Файл dcrypt.exe (32 bit) присутствует в двух папках, оба экземпляра идентичны – с одинаковым хэшем. Ещё в архиве два текстовых файла: changes.txt и license.txt – их антивирусами проверять не стал, ограничившись визуальным просмотром. Больше в архиве ничего нет!

Если заархивировать только один файл dcrypt.exe (32bit) (я это делал с помощью 7-zip 4.57), то на полученный файл (.zip) те же два антивируса опять ругаются[link12], а на то же самое с 64бит – нет[link13]

Вот какие глюки бывают у антивирусов.
— SATtva (06/07/2008 11:19)   
Если взять подстроку (сигнатуру), по которой антивирус детектирует вирус, и записать её в простой двоичный файл (хоть hex-редактором), то этот файл тоже будет опознаваться как заражённый. А тут видимо поток в zip-архиве такую форму принял.

Антивирусы — заведомо проигрышный и неэффективный подход к безопасности. Если безопасность хоть сколь-нибудь важна, не полагайтесь на эту чушь. Даже грамотная настройка привилегий в том же Windows даст лучший результат.

Ссылки
[link1] http://www.anti-malware.ru/forum/index.php?showtopic=3532

[link2] http://www.virustotal.com

[link3] http://www.virustotal.com/ru/analisis/40e34e95d61d2ce29f976cfe9ce251dc

[link4] http://freed0m.org/index.php/DiskCryptor

[link5] http://freed0m.org/index.php/Downloads

[link6] http://freed0m.org/storage/dcrypt/dcrypt_0.2.6/dcrypt-0.2.6.zip

[link7] http://www.virustotal.com/ru/analisis/63f1c9ceaf6a47abf426a7d241132b4e

[link8] http://www.virustotal.com/ru/analisis/9d3fbcbae6af65486643c32ffa38f60d

[link9] http://www.virustotal.com/ru/analisis/91635f9c0823056bc84594a0722d20b3

[link10] http://www.virustotal.com/ru/analisis/91db322b0c2190f375009a69143a4113

[link11] http://www.virustotal.com/ru/analisis/10b38ff9f144630201f4655599b9e02c

[link12] http://www.virustotal.com/ru/analisis/144a106f1420104ed484acb3ffc8a435

[link13] http://www.virustotal.com/ru/analisis/c4bddfe29170cd6d11fa406367937754