Перейти к содержанию

Разъясните про использование UPX, почему он считается вирусом?


f2065

Рекомендуемые сообщения

Здравствуйте.

 

У меня вопрос про проблемы с UPX.

 

Вот пишу какую-нибудь программу (самостоятельно, без сторонних компонентов, и абсолютно уверен что в программе нет вредоносного функционала).

Проверяю на VirusTotal - все антивирусы считают что всё хорошо.

Запаковываю в UPX - и 5…30 (из 61) антивируса ругаются что это теперь вирус. Нередко и Касперский (а следом через день - и Яндекс), причём жалобы на ложный детект по факту игнорируются у Касперского (хотя у многих остальных антивирусов ложный детект исправляют за 1-2 дня).

 

Почему так?

Догадываюсь что где-то там получаются похожие куски сигнатур на какой-то вирус которых тоже был сжат в UPX.

Однако ведь UPX - широкоизвестная программа, почему антивирус не может детектить UPX, распаковывать его и проверять реальный исполняемый код, а не сигнатуры сжатого UPX ?

ZIP/RAR ведь антивирусы распаковывают.

А если антивирус не умеет распаковывать UPX - то ведь злоумышленники могут за несколько перестановок/перепаковок кода найти комбинацию когда сигнатуры сжатого UPX детектится не будут…

Если всё-же UPX анализируется и внутри - то зачем ложно детектить по сжатому?

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
Ссылка на комментарий
Поделиться на другие сайты

Чисто спортивный интерес, что вам дает упаковка UPX

Уменьшение объёма в 3-4 раза.

На большинстве сайтов например программы выкладывают упакованными в ZIP/RAR или даже в 7z - тоже ведь место экономят…

Почему бы сразу исполняемый код не упаковать, если такая возможность есть?

 

Меня интересует официальная позиция разработчиков антивируса. Если вот они прямо скажут что с UPX будут проблемы потому что им он не нравится - то я учту их мнение…

А то какая-то непонятная и не логичная ситуация.

 

Вдобавок жалобы на ложный детект игнорят. Не понятно, сколько ждать их вердикта. В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Уменьшение объёма в 3-4 раза.
Скажите а это что дает? )))
я буду скачивать не 5 сек а 4? ))) или на моих нескольких терабайтах сэкономится аж целых мегабайт 10

 

 

 


в ZIP/RAR или даже в 7z - тоже ведь место экономят…
И вы упаковывайте в эти архиваторы

 

 

 


Меня интересует официальная позиция разработчиков антивируса
А вы попробуйте обратится к ним, в ТП, а не на форум пользователей

 

 

 


В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.
Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?
Ссылка на комментарий
Поделиться на другие сайты

Ностальгия по временам когда компьютеры были большими? :)

Ну не любят антивирусы сжатые исполняемые файлы да еще и без цифровой подписи.

Совершенно очевидная логика - сжимают, значит хотят что-то скрыть.

Поскольку других резонов для сжатия сейчас нет.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

в ZIP/RAR или даже в 7z - тоже ведь место экономят…

И вы упаковывайте в эти архиваторы

 

Я хочу знать какое-то разумное обоснование (или хотя бы официальное признание факта что по религиозным причинам UPX под запретом). А не тупо следовать за толпой.

 

 

В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?

 

Из текста отписки робота можно предположить что если антивирусные специалисты(?) решат что там реально вирус - то ответа не будет.

McAfee, Avast, Symantec, Baidu - на жалобу о ложном детекте реагируют за 1 день, и уже на следующий день проблемы нет. Причём, мелкие правки программы и повторная перекомпиляция/UPX - проблему не возвращает. Т.е. они вносят в белый список видимо не глобальную сигнатуру файла, а совокупность разных сигнатур корректируют.

Касперский же спустя 4 дня - ничего не изменилось, по прежнему клевещет на сжатый файл.

Возникает вопрос: то ли у него очередь на ложные детекты исчисляется неделями, то ли он не хочет признавать этот ложный детект.

Почему я как автор программы не могу оспорить мнение этих якобы специалистов? Почему они не могут сказать что именно им не нравится в программе?

 

А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

Ну вот сейчас скомпилировал, исходный файл: https://virustotal.com/ru/file/0a2fe7377457f3c4fe1f88d26cbe596f3dd163e88c0eca03e5a5671d5db4e900/analysis/

Проблем можно считать нет (3 малопопулярных антивируса чем-то недовольны, это не существенно)

 

upx --best --ultra-brute UPS_LM.exe

Ultimate Packer for eXecutables

Copyright © 1996 - 2017

UPX 3.94w Markus Oberhumer, Laszlo Molnar & John Reiser May 12th 2017

 

File size Ratio Format Name

-------------------- ------ ----------- -----------

276480 -> 62464 22.59% win32/pe UPS_LM.exe

 

Packed 1 file.

 

Итог: https://virustotal.com/ru/file/05a7354d34b94583dc707496bee8baa885c62c6b7e043d2d0c16b6bebabdd141/analysis/

И тут сразу 16 антивирусов. А через 2-3 дня их станет больше, некоторые копируют базы.

В предыдущей сборке (неделю назад) их число достигало 30 через 3 дня после первого анализа.

 

 

они может и ругаются, но не потому что вирус.

покажите скриншот алерта

post-46223-0-40329300-1497095488_thumb.jpg
Ссылка на комментарий
Поделиться на другие сайты

@f2065,  для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть. :coffee:

Там же юр.лицо надо… Т.е. много финансовых расходов. Ради небольшой кучки бесплатных утилит - это абсурд.
Ссылка на комментарий
Поделиться на другие сайты

данный фаил блокируется не только антивирусом

Это просто антивирус гугла. Передаёт в Chrome списки файлов которые ему не понравились. Это уже было на старой сборке полгода назад, я тоже разослал жалобы на ложный детект и через день Chrome стал файл скачивать.

 

Более проблемный детект у микрософтовского антивируса, он блокирует даже не исполняемые файлы а вообще любые файлы на сайте, если был один файл который ему не понравился.

Ссылка на комментарий
Поделиться на другие сайты

а если выложить не упакованный UPX, это как влияет ?

Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).

В принципе вот ( /soft/UPS_LM_v1207_deUPX.rar ), именно пакованный файл с сайта взял, команда upx -d - и касперский более не ругается - https://virustotal.com/ru/file/d9c618137bde5a83022f344e0301e36f88b234831e00ca70d3d8c7e01dcbc127/analysis/

 

 

Вопрос то не про отдельно взятый файл. Это системная проблема ряда антивирусов, и наводит на мысли об их бесполезности.

Если они ложно детектят вирусы в общеизвестном UPX потому что его не понимают, то точно так же они могут и не увидеть реальных вирусов запакованных в UPX, если подобрать сигнатуры упаковки.

 

Есть кстати и более простой пример абсурдности антивирусов, вообще без участия UPX. Вот исходные коды (в FASM) программы:

format PE GUI 4.0
entry Empty86
include 'C:\FASM\INCLUDE\WIN32A.INC'
section '.idata' import data readable writeable
library kernel32,'KERNEL32.DLL'
import kernel32,ExitProcess,'ExitProcess'
section '.text' code readable executable
Empty86: invoke ExitProcess, 0
И вот что про эту программу (без UPX) пишет virustotal: https://virustotal.com/ru/file/a4e5b17e6e7c9ffdc3b0e1a5262c654b1fcd66db17062dbfc07ce21618935f99/analysis/

Baidu: Win32.Trojan.WisdomEyes.16070401.9500.9872

Invincea: heuristic

SentinelOne (Static ML): static engine - malicious

 

Кажется кто-то сошёл с ума.

 

Внедрять принципы whilelist может и надо, но что делать с софтом который имеет низкую популярность и разрабатывается обычными людьми? Если софт не приносит прибыли чтобы делать для него юридическое лицо?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).
выложите не упакованный фаил, для проверки.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • fmlnuser
      Автор fmlnuser
      Добрый день, не работают системные переменные в контроле приложений. Как то можно включить поддержку?
      Переменные на подобии этих:
      %system32%
      %osdrive% 
      и тд
    • shidogbc
      Автор shidogbc
      Добрый вечер, позавчера столкнулся с проблемой, что использование gpu в играх очень сильно увеличилось. Если раньше в Valorant оно было около 5%, то резко стало 50-60%. При заходе в Counter Strike 2 игра вообще не запускалась (отображался экран загрузки и зависал на нем), а использование gpu было 100% в момент входа. Увеличение использования GPU  произошло во всех играх (Apex Legends, в League of legends работал лаунчер, но сама игра не работала).
      Хотелось бы узнать, с чем это может быть связано.
      Изначально подумал, что поймал вирус или майнер (который работает при заходе в игры). На компе был обнаружен chromium:page.malware.url и процесс лечения можно посмотреть в этой теме -> 
      До начала лечения вируса почитал о возможных проблемах, кто-то писал, что недавно драйвера амд начали конфликтовать с кастомными разрешениями экрана. Решил удалить папку в стиме, в которой хранится информация о персональных настройках, чтобы убрать кастомные разрешения. После этого Counter Strike 2 начала запускаться, но использование GPU всё равно осталось высоким (не думаю, что у меня какая-либо проблема с драйверами так как изначально, в момент повышения использования gpu, у меня стояли прошлогодние драйвера; подумал, что проблема с ними - обновил до актуальных, но ничего не изменилось; чуть позже поставил драйвер августа 2024 года).
      Итак, подходя к сегодняшнему состоянию, после удаления вируса, описанного в вышеуказанной теме, использование GPU в играх снизилось, но оно всё равно в разы выше, чем было ранее (3 дня назад всё было в порядке, сейчас 40-50% в зависимости от игры). За этот период как таковых обновлений игр не было.
    • sammi
      Автор sammi
      Здравствуйте!
      Коллеги, помогите разобраться плз. 
      Есть в KSC политика на одну группу компьютеров, в которой включен контроль устройств. Там есть ряд разрешенных устройств и мне нужно добавить в разрешённые виртуальный сидиром винды. Чтобы можно было с  iso работать. 
      Пробовал через "Добавить->Сформировать правила на основе данных системы" и он как-бы добавляет  Virtual_DVD-ROM, но всё равно не работает. Судя по всему, мой предшественник также делал и у него тоже не взлетело.
      Единственное, что я заметил, что DeviceID которое в правиле и в событие, которое генерится при срабатывании защиты отличаются.  
      В правиле "SCSI\CDROM&VEN_MSFT&PROD_VIRTUAL_DVD-ROM\000001", а в событии перед 000001 ещё символы есть. 
       
      Я выгрузил правила в .xml, там добавил дополнительные символы в DeviceId и оставил только одно моё правило в этой xml. Делаю "Импорт из файла XML->Добавить правила к существующим" и получаю ошибку чтения правил из файла. Синтаксис внутри вроде корректный. 
       
      Может я сильно усложняю и как-то можно проще сделать?  С KSC только знакомлюсь)
       
       
    • Митьян070
      Автор Митьян070
      Всем доброе утро!
      Прошу прощения за глупый вопрос, у меня Windows 11 и так вышло, что я установил Adobe Photoshop, но вместе с ним ещё установились World of Tanks и World of Warships. Мышки у меня нет у ноутбука и ещё я инвалид I-группы после серьёзного ДТП 07.07.2017 года. Я все эти программы удалил, потому что Adobe Photoshop не работал, но на нижней панели остались два белых ярлыка. Как от них избавиться? Всем большое спасибо заранее и желаю отличного дня.
    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
×
×
  • Создать...