id: Гость   вход   регистрация
текущее время 22:32 18/01/2021
Автор темы: Гость, тема открыта 04/07/2008 00:44 Печать
Категории: софт, инфобезопасность, безопасная разработка, антивирусная защита, diskcryptor
https://www.pgpru.com/Форум/ТехническиеВопросы/АнтивирРаспознаётТроянаВDiskCryptor
создать
просмотр
ссылки

Антивир распознаёт трояна в DiskCryptor


Avira AntiVir Personal:


C:\Documents and Settings\Al\My Documents\dcrypt-0.2.6.zip

[0] Archive type: ZIP
  • -> BartPE/dcrypt.exe
    [1] Archive type: RSRC
    • -> Object
      [DETECTION] Is the Trojan horse TR/Crypt. XPACK. Gen
  • -> i386/dcrypt.exe
    [1] Archive type: RSRC
    • -> Object
      [DETECTION] Is the Trojan horse TR/Crypt. XPACK. Gen
      [WARNING] The file was ignored!

ок, допустим, антивирус подобную программу приравнял к кейгенам и патчам, но тогда почему не реагирует на TrueCrypt ?


 
Комментарии
— SATtva (04/07/2008 07:00)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
[moderator]
DriveCrypt <> DiskCryptor. Тема переименована. Вы бы хоть разобрались, какую программу поставили. ;-)
[/moderator]

Этот вопрос уже обсуждался.
— Гость (04/07/2008 10:04)   <#>
Проверил архив «dcrypt-0.2.6.zip» в DrWeb 4.44 (обновление от 03.07.2008) и AVG Anti-Virus Free 8.0 (обновление от 04.07.2008 9:44), а также просканировал систему в Spybot Search & Destroy 1.5.2.20 (обновление от 02.07.2008) – ВИРУСОВ И ТРОЯНОВ НЕТ!!!
— ntldr (04/07/2008 10:09)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Этот вопрос вы задали не по адресу, лучше спросите у авторов антивируса почему у них такие глюки. Я уже не раз на разных форумах вижу жалобы на то, что подобные антивирусы ругаются даже на самый безобидный код.
http://www.anti-malware.ru/for.....x.php? Showtopic=3532
— AlexLG (04/07/2008 21:15)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
И тем не менее на ВирусТотал.сом ДВА антивируса из 33 распознали вирус в DiskCryptor от ntldr
— AlexLG (04/07/2008 21:30)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
впрочем, почитав http://www.anti-malware.ru/forum/index.php? Showtopic=3532 и сходив также на http://virusscan.jotti.org/, отправил письмо в Авиру о ложном срабатывании их продукта :)
— Гость (04/07/2008 22:23)   <#>
Во психология Русского человека, ну не доверяем мы соотечественникам. Господина Ntldr обвиняют с периодичностью в месяц, то прога его ненадежна, то он сам оказывается супер-мега хакером и вирусаписателем, то в его проге вирус находят. А про авторов той же TrueCrypt никто ничего, да и про саму прогу почти молчат.
— ntldr (04/07/2008 22:51)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
И тем не менее на ВирусТотал.сом ДВА антивируса из 33 распознали вирус в DiskCryptor

Что говорит о недопустимо низком качестве этих антивирусов.
Если вы хотите меня в чем-либо обвинить, то скачайте исходники DiskCryptor, найдите там вирус и запостите здесь конкретные строки кода и механизм их работы. В противном случае будем считать ваши слова акцией черного пиара.
— Гость (05/07/2008 00:14)   <#>
Вот что два антивируса
AntiVir 7.8.0.64 2008.07.04 TR/Crypt. XPACK. Gen
Webwasher-Gateway 6.6.2 2008.07.04 Trojan. Crypt. XPACK. Gen
"распознали" в дистрибутиве DiskCryptor 0.2.6 (файл filedcrypt-0.2.6.zip)

При этом на содержащиеся в нём файлы файлы dcrypt.inf dcrypt.sysdcrypt.exe (64 bit) dcrypt.xml не ругается ни один из 33. На dcrypt.exe (32 bit) почти не ругается – у одного (не из тех двух) возникло лишь подозрение по поводу самомодификации:
Prevx1 – - Heuristic: Suspicious Self Modifying File

Файл dcrypt.exe (32 bit) присутствует в двух папках, оба экземпляра идентичны – с одинаковым хэшем. Ещё в архиве два текстовых файла: changes.txt и license.txt – их антивирусами проверять не стал, ограничившись визуальным просмотром. Больше в архиве ничего нет!

Если заархивировать только один файл dcrypt.exe (32bit) (я это делал с помощью 7-zip 4.57), то на полученный файл (.zip) те же два антивируса опять ругаются, а на то же самое с 64бит – нет

Вот какие глюки бывают у антивирусов.
— SATtva (06/07/2008 11:19)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Если взять подстроку (сигнатуру), по которой антивирус детектирует вирус, и записать её в простой двоичный файл (хоть hex-редактором), то этот файл тоже будет опознаваться как заражённый. А тут видимо поток в zip-архиве такую форму принял.

Антивирусы — заведомо проигрышный и неэффективный подход к безопасности. Если безопасность хоть сколь-нибудь важна, не полагайтесь на эту чушь. Даже грамотная настройка привилегий в том же Windows даст лучший результат.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3