заполонили киборги

[Lemmit]

Добрый день!

Имеется несколько файлов с фальшивым срабатыванием антивируса Касперского на безвредных файлах. Вердикты в основном "multipack.gen".

Отправка на e-mail newvirus@ заканчивается стандартным ответом робота-убийцы.

Отправка на https://newvirus.kaspersky.ru/ ничего не дает.

Есть ли надежда на контакт с живым человеком -аналитиком?

Или людям уже все это не интересно и ЛК безнадежно заполонили киборги?

[Soft]

Информация

Из вирусобойни перенесено в Помощь по продуктам Лаборатории Касперского

[Friend]

@Soft, думаю зря перенес. Актуальная проблема о которой должно знать руководство компании.

@Lemmit, обращайтесь через техническую поддержку в зависимости от вашего продукта (корпоративный или домашний) подробно описав проблему и приложив проблемные файлы в архиве с паролем: infected: http://support.kaspersky.ru/faq/SupportServices#contactus.supportcontacts

[Lemmit]

Добрый день!

Ссылка http://support.kaspersky.ru/faq/SupportServices#contactus.supportcontacts ведет на

http://support.kaspersky.ru/faq/SupportServices#contactus.virlab

и далее на https://newvirus.kaspersky.ru

Все по кругу.

В данном случае для теста у меня установлен Kaspersky free. Может, в платном кабинете как-то иначе.

Но у меня вопрос не по работе конкретно моего продукта определенной версии, а по ложному срабатыванию и, если точнее, вопрос,  возможно ли достучаться до живого вирусного аналитика, имеется ли она для обычного человека без каких-то связей.

Если да, то как?

Я понимаю, что есть приоритет у платного пользователя перед кем-то с улицы, а перед ним - кто-то еще.  Это разумно.
Но все же должна быть возможность у человека "с улицы" дождаться человеческого ответа (или просто исключения ложного срабатывания) в разумный срок.

Аналогичная же ситуация с обратным знаком также может получиться: у меня есть пойманный вредонос, я его присылаю, но робот его таковым не считает. И тишина и никто не услышит?

[Kapral]

Я обычно посылаю запросы в вирлаб со своего Личного кабинета

https://scan.kaspersky.ru/?utm_source=my.kaspersky.com&utm_medium=kaspersky&utm_campaign=My_Kaspersky

и за все время у меня было только одно несогласие с вирлабом... но потом его (этот файл) детектировали все

[Денис-НН]

Судя по вердикту это срабатывание на многократную упаковку объекта и скорее всего сделанную при помощи нелицензионных версий упаковщиков. такой детект позволяет одной сигнатурой обнаруживать множетсво вирусов. Программы разрабатываемые серьёзными фирмами так не пакуются.

 Снять детект могут с конкретного файла - пишите вирлаб. 

[Friend]

@Lemmit, обращайтесь в техническую поддержку: https://my.kaspersky.com/support/requests/createподробным описание проблемы, а там уж разберутся.

[Lemmit]

Отправил все с пояснениями еще и на https://my.kaspersky.com/support/requests/create

[Lemmit]

Итак результат  INC000006546722

 

Было отправлено: 

Антивирус Касперского дает ложное заключение о вредоносности прилагаемых файлов.
Описание:

RDGPD.exe - универсальный распаковщик защит PE ехе-файлов: определяет
чем скомпилирован файл и какая защита используется.

upack.exe - компрессор PE ехе-файлов версии 0.31. Команды компрессии
вводятся в форме командной строки.

unfsg_1.0.exe - снимает компрессию PE exe-файлов от утилиты FSG версии 1.0
(интерфейс оконный).

keygen.exe - генератор ключей древней версии браузера Опера

 

Ответ:

11.08.2016, 17:55, "Kaspersky Lab Support" <customerservicesolution@kaspersky.com>:

 

Здравствуйте!
Уважаемый пользователь, как нам сообщили вирусные аналитики детектирование является корректным.
Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.
С уважением,
Служба Технической Поддержки
АО "Лаборатория Касперского"

 

 

Позор...

[Friend]

@Lemmit, загрузите каждый файл сюда https://www.virustotal.com/и предоставьте результаты здесь. Посмотрим как другие компании реагируют на ваши файлы. 

[Lemmit]

https://virustotal.com/ru/file/41ec4d7622ca8f11d9943c031723ff2d061b29a2e4d7777d15f98428f1764eda/analysis/

https://virustotal.com/ru/file/6f973d53ce8866e958a8c30e27a9fd4408abbd0275734677b6bbefe92ed7cebe/analysis/

https://virustotal.com/ru/file/0b14332fcd9e06deb4c28b763a4d10e371a5b69529431414b3120087814808f6/analysis/

https://virustotal.com/ru/file/081062e7252e6fb33936cf870635ce1d77ffb05f7cf0e26ca86b100d0cd52c4a/analysis/

Интересно сравнить с первым сообщением http://www.anti-malware.ru/forum/index.php?showtopic=9116и приведенным там вердиктом VT

Недалеко ушла наука  с 2009 года.. Аж ностальгия пошла

Изменено 12 августа, 2016 пользователем Lemmit

[Денис-НН]

Бета версии хакерских утилит, кейген...

Мне одному кажется что весь этот мусор детектируется правильно?

[Lemmit]

Гм, мне кажется:

1) что кейген (времен мамонтов) детектировать трояном - (Trojan-Dropper.Win32.Injector.opth) дурной тон.

2) что утверждение о хакерских утилитах "несколько" преувеличено. (Сmd.exe - тоже вполне себе хакерская штука. Можно в ней такие вещи творить с важным видом!)

3) что мусором можно назвать что угодно, но детект должен быть только на вредоносное содержимое. 

Изменено 12 августа, 2016 пользователем Lemmit

[SLASH_id]

Ваш треш детектируется правильно согласно  общей политике антивирусных продуктов. 
Нравится вам это или  нет но они будут детектиться и далее.

Судя по вашей логике WIN95.CIH тоже следует исключить из баз. 

Но тогда по вашей логике нас ожидает спустя 20 лет еще одна волна крипторов.

Ну а что? Устарели детекты, давайте удалять.

Изменено 16 августа, 2016 пользователем SLASH_id

[Lemmit]

1. "Треш" - не мой. Я им лично не пользуюсь и не собираюсь.

2. По поводу определения "трэш" - оценочное суждение, см. выше.

3.  "согласно  общей политике антивирусных продуктов".

Где вы ее видели?

DrWeb не видит вредоноса в этих файлах - во всех.

Bitdefender, Eset и прочие распределили вердикты - там вижу, там не вижу. Кто-то спер детект.

У кого-то политика считать "крэки" вредоносами с наименованиями от балды, у кого-то - нет.

Кто-то добавляет отдельные "крэки" в базы по неочевидным причинам.

А кому-то удобно считать, раз файл чистый, но где-то там есть, скажем, upack, то давай и его до кучи убьем эвристикой на всякий случай. Ибо нефиг. И сделаем вид, что так надо.  Это общепринятая политика? Да, возможно, в масштабах отдельной компании. Не уверен.

Со стороны эта политика похожа на "лень работать" и "репутацию заработали, а теперь уже все равно, пипл то хавает".

4. Да, будут детектится ошибочно, по крайней мере, пока кого-то в ЛК хорошенько не взгреют. Меня не заботит судьба этих конкретных  файлов. Можете быть спокойны.

Был интерес: узнать, можно ли добиться рассмотрения ошибочного вердикта человеком, а не роботом. Оказалось, что можно, но совсем не так просто, как раньше. И в данном случае рассмотрение человеком прошло без исправления ошибки.

5. Логику вы мою не поняли. Это ваша фантазия на тему. 

Изменено 12 августа, 2016 пользователем Lemmit