Symantec: Trojan.Gen.2 - полное раскрытие (1 Viewer)

[keb]

Сделал настройки, как у вас, да на sfx и форму пошёл детект ws.reputation.1...

Сейчас откомпилировал другую форму Делфи (Пустой проект) и получил:

Посмотреть вложение 53056

Ладно хрен с делфи, откроем асм (Fasm), откомпилируем пустую форму там и посмотрим что будет:

На настройках keb, никакого детекта нет, вот VT:

https://www.virustotal.com/ru/file/...8f9f884cd1e65cb0bc106127/analysis/1425121025/

https://www.virustotal.com/ru/file/...f4a8cb354805ce35eaf8d2df/analysis/1425121039/

Также прилагаю формы во вложении, значит всё-же и тут не на все исполняемые файлы идёт детект !

Файлы безвредны, просто выводят мессаги и всё...

Не знаю что сказать но детект есть все по тому же реп1!

 

[X-Shar]

Не знаю что сказать но детект есть все по тому же реп1!
Посмотреть вложение 53058

Ничего не понимаю, вот посмотрите ролик, всё-ли я включил:

Также сделал проверку, ничего не сказал:

 

[keb]

Ничего не понимаю, вот посмотрите ролик, всё-ли я включил:

Также сделал проверку, ничего не сказал:

Посмотреть вложение 53059

Вряд ли это поможет но все же! Автоматически удалять угрозы выставьте - всегда также удалять угрозы если меня нет на месте - всегда! Угрозы с низкой степенью риска - всегда! Еще самому интересно перед настройкой
той что я сейчас расписал попробуйте скачать архив который вы сюда залили и распаковать его в системе! Интересно будет если он их так сдетектит!
И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Norton

 

[X-Shar]

Вряд ли это поможет но все же!

Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?

 

[keb]

Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?

Как то раньше на Nis 2014 был у меня момент на одних и тех же зловредах ,что у человека детекта было больше на 8-ке чем у меня на 7-ке ХЗ почему так учитывая что тогда 8-ка только недавно вышла! А может и действительно в виртуалке дело! Сейчас я тестировал на реальной 8.1!Может NS 2015 не важно под хрюшу адаптирован все же почти мертвая система уже!

 

[X-Shar]

И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Norton

Видно Нортон обиделся на мои негативные посты, а может дело в санкциях, гы-гы !

 

[DikiySan]

#18 > Но также тогда могут-быть ложные срабатывания, например на какой-нить патч к игре

к играм,брал без пристрастия,да и тот случай когда вес имеет значение 90м http://sendfile.su/1090913
по одному сайман бьёт

 

[X-Shar]

Пока-что детекта на SFX-архив нет у Нортона (На дефолте), зато добавился TrendMicro:https://www.virustotal.com/ru/file/...c636f2a21b0c550e856ec4f5/analysis/1425191011/

Интересное наблюдение:

Qihoo-360 тырит детект с VT, я заливал чистые файлы на VT, тот-же sfx-архив, формы на делфи, наши окошки на асме...

В начале кихо не детектил, но через некоторое время, появлялся один и тот-же детект: HEUR/QVM...

Вот смотрите:

1)SFX:https://www.virustotal.com/ru/file/...c636f2a21b0c550e856ec4f5/analysis/1425191011/

На следующий день появилось:HEUR/QVM06.1.Malware.Gen

2)Обычное окно на асме:https://www.virustotal.com/ru/file/...8f9f884cd1e65cb0bc106127/analysis/1425191092/

На следующий день появилось:HEUR/QVM19.1.Malware.Gen

3)Обычное сообщение, типо "Hello world !" на асме:https://www.virustotal.com/ru/file/...f4a8cb354805ce35eaf8d2df/analysis/1425191135/

На следующий день появилось:HEUR/QVM20.1.Malware.Gen

4)Ну и последнее, самое вкусное, наш новый банковский троян GoldSpy, гы-гы:https://www.virustotal.com/ru/file/...04dd8a6b8f92045edb14075b/analysis/1425191378/

HEUR/QVM05.1.Malware.Gen

Про банковский троян это шутка, если-что !

Получается что Qihoo-360 вообще молодец, если файл новый и имеет хоть какой-то детект на VT, то они его тоже обзывают HEUR/QVM... !

 

[Nedovirus]

http://club-symantec.ru/showthread.php?t=7181 - в КЛС товарищи опять эпично слились. Попытались спорить, но их аргументы рассыпались. В итоге пришли к тому, что это им просто неинтересно, а в детекте по хешу нет ничего плохого - надо просто под другим углом смотреть.

 

[Антоха]

Nedovirus, а ты профессиональный троль...это да;)Конечно же твой собеседник не признает даже очевидных аргументов,ведь это будет сродни поражению и антирекламе продукта.Если развивать там эту тему и дальше,будет "многабукав",но не будет объективных прямых ответов со стороны оппонента (симнатек).Сохранил для истории веб-страничку,может когда пригодится для пруфов)
Доставило..