Казус антивирусов относительно системного файла

[Nikolay Lazarenko]

Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен...начал быструю проверку и оказалось,что...C:\WINDOWS\system32\RESTART.EXE является программой взлома(Tool.ShutDown.11) ну я давай запускать файл в Песочнице КИСы...комп перезагружается(название файла гляньте,кстати он в КИСе доверенный)...на вирустотал отправил для хохмы на анализ и вот что выдало: http://www.virustotal.com/ru/analisis/fed3...10c5-1277481850

 

a-squared 5.0.0.30 2010.06.25 Trojan.Win32.Shutdown.NAA!A2

AntiVir 8.2.4.2 2010.06.25 SPR/Tool.Hardoff.A

Avast5 5.0.332.0 2010.06.25 Win32:Shutdowner-CD

Comodo 5216 2010.06.25 TrojWare.Win32.Shutdowner.~A

DrWeb 5.0.2.03300 2010.06.25 Tool.ShutDown.11

NOD32 5229 2010.06.25 Win32/Shutdown.NAA

nProtect 2010-06-25.01 2010.06.25 Trojan/W32.ShutDown.16384

ViRobot 2010.6.21.3896 2010.06.25 Trojan.Win32.ShutDown.16384

 

Мне пришлось дятлов помучать отправил файл на анализ и оказалось что он только перезагружает систему и ничего больше.

Вот такие дела...

 

Сообщение от модератора vasdas

Тема перемещена в более подходящий раздел.

[Marcos]

Вчера скачал Cureit обновленный,хотел посмотреть насколько он крут и эффективен...

Эта фраза улыбнула...

Мне пришлось дятлов помучать

А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо! У Веба ложное срабатывание - пусть его "дятлы" и долбят файл... Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был.

Кстати, у меня только RESET.EXE есть Я хотел на вебовском онлайн сканере проверить.

Изменено 29 июня, 2010 пользователем Лисицин Павел

[Nikolay Lazarenko]

А зачем дятлов ЛК мучать? Ай-яй-яй, нехорошо!

Виноват Исправлюсь.Только не бейте меня

Зато я недавно нашёл Trojan.Win32.Qhost.nkr - только один из сорока одного антивируса на ВирусТотал увидел зловреда(эвристически или по базам-не знаю).У остальных даже эвристика молчала.Девочку одну из друзей ломанули и только(!) на моей стене написали "Как думаешь?" и ссылку.

Вирлаб достаточно быстро обработал файл и добавил в базы(даже поблагодарили ).Посмотрю как ситуация по этому зверю изменится.Также будут "передирать" или нет...

 

Я читал что если 1 анивирь детектит файл, пусть даже ложно, за ним начнут "повторять" и остальные антивирусы. По-моему у ЛК такой опыт был.

Знаем такое...знаем...

[Marcos]

Зато я недавно нашёл Trojan.Win32.Qhost.nkr

Только из-за этого и не побьём!

А максимум что я нашел для ЛК - 2 рекламных программы...

Знаем такое...знаем...

Вот этим я хотел сказать, что у какого-то антивиря сбой произошёл, ну а остальные по аналогии в базы добавили легитимный файл. Ведь такое тоже бывает.

Изменено 29 июня, 2010 пользователем Лисицин Павел

[Евгений Малинин]

А максимум что я нашел для ЛК - 2 рекламных программы... laugh.gif

//пиписькометрство

 

я нашёл уже около 35-37 зловредов и отправил в ЛК...

 

//А сколько тогда нашли хелперы?

[Marcos]

//пиписькометрство smile.gif

Евгений Малинин, я для сравнения (не поймите чего плохого).

//А сколько тогда нашли хелперы?

Здесь спорить, я думаю, не придётся...

я нашёл уже около 35-37 зловредов и отправил в ЛК...

Ты что - считаешь их что ли?

[Евгений Малинин]

Ты что - считаешь их что ли? laugh.gif

Нет - это примерное число... Хотя можно и точно сказать (все письма из Вир. Лаба я сохраняю), но лень перебирать...

[Nikolay Lazarenko]

А теперь представим если антивирус удалит этот файл...

 

Забыл сказать...я ж отправил файл в Др.Веб с пометкой ложного срабатывания...вот ответ:

> Уважаемый *************@mail.ru(мыло своё не покажу ),

>

> Ваш запрос был проанализирован. Это вирус уже знакомый Dr.Web ®.

> Вирус: Tool.ShutDown.11.

>

> Спасибо за сотрудничество.

>

> --

> С уважением,

> Служба вирусного мониторинга ООО "Доктор Веб"

 

Вот что ответил я:

Добрый день.Этот файл является легитимным и отвечает за перезагрузку системы,больше ничего не делает.Может быть вам дать вердикт Лаборатории Касперского?Я сам этот файл поверхностно анализировал по совершаемым действиям в системе,ничего кроме перезагрузки нет.Я могу получить описание Tool.ShutDown.11. ?

 

А вот их ответ:

Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными.

Изменено 29 июня, 2010 пользователем Nikolay Lasarenko

[Werewolf]

Я сейчас тоже не вирустотал файлик засылал. Вот такой отчет получился

Антивирус Версия Обновление Результат

a-squared 5.0.0.31 2010.06.29 -

AhnLab-V3 2010.06.29.00 2010.06.29 -

AntiVir 8.2.4.2 2010.06.29 -

Antiy-AVL 2.0.3.7 2010.06.25 -

Authentium 5.2.0.5 2010.06.29 -

Avast 4.8.1351.0 2010.06.29 -

Avast5 5.0.332.0 2010.06.29 -

AVG 9.0.0.836 2010.06.29 -

BitDefender 7.2 2010.06.29 -

CAT-QuickHeal 10.00 2010.06.29 -

ClamAV 0.96.0.3-git 2010.06.29 -

Comodo 5254 2010.06.29 -

DrWeb 5.0.2.03300 2010.06.29 Trojan.AdultBan.196

eSafe 7.0.17.0 2010.06.29 -

eTrust-Vet 36.1.7674 2010.06.29 -

F-Prot 4.6.1.107 2010.06.29 -

F-Secure 9.0.15370.0 2010.06.29 -

Fortinet 4.1.133.0 2010.06.29 -

GData 21 2010.06.29 -

Ikarus T3.1.1.84.0 2010.06.29 -

Jiangmin 13.0.900 2010.06.27 -

Kaspersky 7.0.0.125 2010.06.29 -

McAfee 5.400.0.1158 2010.06.29 -

McAfee-GW-Edition 2010.1 2010.06.29 -

Microsoft 1.5902 2010.06.29 -

NOD32 5236 2010.06.29 -

Norman 6.05.10 2010.06.29 -

nProtect 2010-06-29.01 2010.06.29 -

Panda 10.0.2.7 2010.06.28 -

PCTools 7.0.3.5 2010.06.29 -

Prevx 3.0 2010.06.29 -

Rising 22.54.01.03 2010.06.29 -

Sophos 4.54.0 2010.06.29 -

Sunbelt 6521 2010.06.29 Trojan.Win32.Generic.pak!cobra

Symantec 20101.1.0.89 2010.06.29 -

TheHacker 6.5.2.0.304 2010.06.28 -

TrendMicro 9.120.0.1004 2010.06.29 -

TrendMicro-HouseCall 9.120.0.1004 2010.06.29 -

VBA32 3.12.12.5 2010.06.29 -

ViRobot 2010.6.29.3912 2010.06.29 -

VirusBuster 5.0.27.0 2010.06.29 -

Так что пусть дятлы не рассабляются. Я им его послал

Правда проактивка отработала и сказала HEUR:Trojan.Win32.Generic (модификация)

 

 

А вот их ответ:

Гы. А стандартная виндовская Shutdown.exe тоже потенциальна опасна? Подсунь и ее докторам

[Nikolay Lazarenko]

Так вот обратите внимание,что тот файл именуемый от Др.Веба Tool.ShutDown.11 Cureit видит как программу взлома.Перезагрузкой взломать что-то можно?

[arh_lelik1]

2006 год http://forum.sald.ru/

[Omnividente]

Tool.ShutDown.11 Cureit видит как программу взлома

Tool.ShutDown.11 - дословный перевод утилита выключения. Откуда паника то? аналогчино говорят и другие антивирусы (троецу называющую их троянами в учет не беру)

 

Так вот вирусом его никто не называет это сообщение скорее относится к категории "к сведению",так же как и сообщения из категории riskware. Для примера установите Касперского 6-7 и воткните туда http://www.kaspersky.ru/extraavupdates вот это, и тогда каспер распознает эту программу как Tool.Win32.Destart. Так что сарказм по поводу данного файла слегка не уместен. cureit и расчитан на то чтобы показать любую возможную угрозу

 

Nikolay Lasarenko

 

почитайте что выделенно.

 

 

Проактивка касперского тоже к примеру срабатывает частенько ложно, на то она и проактивка, (начиная от банк клиентов, крипто про и т.д. и заканчивая безобидным Media player идущим в дистрибутиве K-lite и определяемом как pdm-keylogger http://forum.kasperskyclub.ru/index.php?sh...t&p=238650) а в cureit по умолчанию врезана проактивка на максимуме, если не изменяет память настроек в нем нет.

 

а вот и тему нашел в которой касперский с расширенными базами определяет restart.exe как Win32.Destart, о чем я уже писал выше

 

Ах да restart.exe это не системный файл) Либо программа для перезагрузки, либо остаток от какого либо драйвера требующего перезагрузку)

Изменено 29 июня, 2010 пользователем Omnividente

[aglu]

Эти программы осуществляют перезагрузку системы, поэтому считаются потенциально опасными.

Linux, Windows - потенциально опасныее?)

[arh_lelik1]

Linux, Windows - потенциально опасныее?)

Это операционные системы, а не программы.

[Nikolay Lazarenko]

Ну если этим файлом воспользуется зловред,то тогда согласен что потенциально опасен файл...Но!В КИСе этот файл у меня доверенный,а это значит,что если какой-либо троян захочет воспользоваться файлом,действие будет запрещено (если кто не читал справку КИСа по Контролю программ)