Сравнения и споры насчет антивирусов и файерволов - Нижегородский Форум Друзей

Vladimir · 28.12.2008, 15:17

На Руборде попалось пояснение по реагированию антивирусников на всякое варезное - кейгены, патчи как на вирусы, хотя они таковыми не являются. Не новость, но внятно объяснено.
===+===
Barbos999

NTUser Цитата:
XnView 1.95.3 keygen by Ziggy // SnD

Какой-то подозрительный кейген. Вот что вирустотал пишет:
AntiVir 7.9.0.34 2008.11.20 TR/Dropper.Gen
Avas 4.8.1281.0 2008.11.20 Win32:Neptunia-ADO
CAT-QuickHeal 10.00 2008.11.20 (Suspicious) - DNAScan
eSafe 7.0.17.0 2008.11.19 Suspicious File
F-Secure 8.0.14332.0 2008.11.20 W32/Packed_FSG.D
GData 19 2008.11.20 Win32:Neptunia-ADO
Ikarus T3.1.1.45.0 2008.11.20 OScope.Dialer.GMHA
Norman 5.80.02 2008.11.20 W32/Packed_FSG.D
PCTools 4.4.2.0 2008.11.20 Packed/FSG
SecureWeb-Gateway 6.7.6 2008.11.20 Trojan.Dropper.Gen
Sophos 4.35.0 2008.11.20 Mal/Packer
Sunbelt 3.1.1801.2 2008.11.14 Trojan.Win32.Packed.gen (v)
TrendMicro 8.700.0.1004 2008.11.20 PAK_Generic.001
VirusBuster 4.5.11.0 2008.11.20 Packed/FSG
===+===
Dark_Diver

Barbos999
Антивирусы реагируют на пакер FSG. Пакер довольно популярен на демосцене и создавался, в первую очередь, для неё - для маленьких выполняемых файлов, созданных, в основном, на ассемблере. Он неплохо жмёт и при этом имеет очень небольшую по размеру процедуру распаковки. На демосцене размер программы - это вопрос престижа. То же самое касается и остальных "хакеров", т.е. кейгены, патчеры и т.п. исторически принято делать маленькими, кроме того, некоторыми считается, что упаковка/криптование патча/кейгена может помешать производителю ПО бороться с обходом защиты программы.
Приведённая реакция антивирусов на кейген означает, что они либо не умеют распаковывать и проверять файлы, зажатые этим пакером вообще, либо (в последнее время) многие антивирусы сознательно реагируют на подавляющее большинство пакеров и крипторов, которые могут быть использованы вирусами/троянами. На то, что антивирус при этом реагирует на совершенно безвредные программы, которые так же используют пакеры/крипторы (патчи, кейгены и т.п.), антивирусным компаниям наплевать, поскольку "обычные законопослушные пользователи не используют подобное ПО и, скорее всего, закриптованная/упакованная программа, оказавшаяся на компьютере пользователя - опасна (вирус, троян и т.п.)".

Это не значит, что не стоит обращать внимание на реакцию антивирусов и забыть про вирустотал, но стоит разбираться в том, что именно сообщают антивирусы и насколько вероятно, что файл действительно опасен.

Несколько настоящих троянов, попадавшихся мне в последнее время, на вирустотале не определялись никак ни одним из антивирусов. Зато чем дальше, тем чаще антивирусы "делают стойку" на очень многие кейгены и патчи.
===+===

28.12.2008, 15:17	#52
Vladimir Друг всей жизни Регистрация: 14.01.2007 Пол: M Провайдер: ВТ Сообщений: 4,083 Поблагодарил: 3,311 Поблагодарили 3,221 раз в 1,456 сообщениях Открыли хайд : 0 в этом сообщении 38 Всего	На Руборде попалось пояснение по реагированию антивирусников на всякое варезное - кейгены, патчи как на вирусы, хотя они таковыми не являются. Не новость, но внятно объяснено. ===+=== Barbos999 NTUser Цитата: XnView 1.95.3 keygen by Ziggy // SnD Какой-то подозрительный кейген. Вот что вирустотал пишет: AntiVir 7.9.0.34 2008.11.20 TR/Dropper.Gen Avas 4.8.1281.0 2008.11.20 Win32:Neptunia-ADO CAT-QuickHeal 10.00 2008.11.20 (Suspicious) - DNAScan eSafe 7.0.17.0 2008.11.19 Suspicious File F-Secure 8.0.14332.0 2008.11.20 W32/Packed_FSG.D GData 19 2008.11.20 Win32:Neptunia-ADO Ikarus T3.1.1.45.0 2008.11.20 OScope.Dialer.GMHA Norman 5.80.02 2008.11.20 W32/Packed_FSG.D PCTools 4.4.2.0 2008.11.20 Packed/FSG SecureWeb-Gateway 6.7.6 2008.11.20 Trojan.Dropper.Gen Sophos 4.35.0 2008.11.20 Mal/Packer Sunbelt 3.1.1801.2 2008.11.14 Trojan.Win32.Packed.gen (v) TrendMicro 8.700.0.1004 2008.11.20 PAK_Generic.001 VirusBuster 4.5.11.0 2008.11.20 Packed/FSG ===+=== Dark_Diver Barbos999 Антивирусы реагируют на пакер FSG. Пакер довольно популярен на демосцене и создавался, в первую очередь, для неё - для маленьких выполняемых файлов, созданных, в основном, на ассемблере. Он неплохо жмёт и при этом имеет очень небольшую по размеру процедуру распаковки. На демосцене размер программы - это вопрос престижа. То же самое касается и остальных "хакеров", т.е. кейгены, патчеры и т.п. исторически принято делать маленькими, кроме того, некоторыми считается, что упаковка/криптование патча/кейгена может помешать производителю ПО бороться с обходом защиты программы. Приведённая реакция антивирусов на кейген означает, что они либо не умеют распаковывать и проверять файлы, зажатые этим пакером вообще, либо (в последнее время) многие антивирусы сознательно реагируют на подавляющее большинство пакеров и крипторов, которые могут быть использованы вирусами/троянами. На то, что антивирус при этом реагирует на совершенно безвредные программы, которые так же используют пакеры/крипторы (патчи, кейгены и т.п.), антивирусным компаниям наплевать, поскольку "обычные законопослушные пользователи не используют подобное ПО и, скорее всего, закриптованная/упакованная программа, оказавшаяся на компьютере пользователя - опасна (вирус, троян и т.п.)". Это не значит, что не стоит обращать внимание на реакцию антивирусов и забыть про вирустотал, но стоит разбираться в том, что именно сообщают антивирусы и насколько вероятно, что файл действительно опасен. Несколько настоящих троянов, попадавшихся мне в последнее время, на вирустотале не определялись никак ни одним из антивирусов. Зато чем дальше, тем чаще антивирусы "делают стойку" на очень многие кейгены и патчи. ===+===