Перейти к содержанию

Разъясните про использование UPX, почему он считается вирусом?


f2065

Рекомендуемые сообщения

Здравствуйте.

 

У меня вопрос про проблемы с UPX.

 

Вот пишу какую-нибудь программу (самостоятельно, без сторонних компонентов, и абсолютно уверен что в программе нет вредоносного функционала).

Проверяю на VirusTotal - все антивирусы считают что всё хорошо.

Запаковываю в UPX - и 5…30 (из 61) антивируса ругаются что это теперь вирус. Нередко и Касперский (а следом через день - и Яндекс), причём жалобы на ложный детект по факту игнорируются у Касперского (хотя у многих остальных антивирусов ложный детект исправляют за 1-2 дня).

 

Почему так?

Догадываюсь что где-то там получаются похожие куски сигнатур на какой-то вирус которых тоже был сжат в UPX.

Однако ведь UPX - широкоизвестная программа, почему антивирус не может детектить UPX, распаковывать его и проверять реальный исполняемый код, а не сигнатуры сжатого UPX ?

ZIP/RAR ведь антивирусы распаковывают.

А если антивирус не умеет распаковывать UPX - то ведь злоумышленники могут за несколько перестановок/перепаковок кода найти комбинацию когда сигнатуры сжатого UPX детектится не будут…

Если всё-же UPX анализируется и внутри - то зачем ложно детектить по сжатому?

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"
Ссылка на комментарий
Поделиться на другие сайты

Чисто спортивный интерес, что вам дает упаковка UPX

Уменьшение объёма в 3-4 раза.

На большинстве сайтов например программы выкладывают упакованными в ZIP/RAR или даже в 7z - тоже ведь место экономят…

Почему бы сразу исполняемый код не упаковать, если такая возможность есть?

 

Меня интересует официальная позиция разработчиков антивируса. Если вот они прямо скажут что с UPX будут проблемы потому что им он не нравится - то я учту их мнение…

А то какая-то непонятная и не логичная ситуация.

 

Вдобавок жалобы на ложный детект игнорят. Не понятно, сколько ждать их вердикта. В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Уменьшение объёма в 3-4 раза.
Скажите а это что дает? )))
я буду скачивать не 5 сек а 4? ))) или на моих нескольких терабайтах сэкономится аж целых мегабайт 10

 

 

 


в ZIP/RAR или даже в 7z - тоже ведь место экономят…
И вы упаковывайте в эти архиваторы

 

 

 


Меня интересует официальная позиция разработчиков антивируса
А вы попробуйте обратится к ним, в ТП, а не на форум пользователей

 

 

 


В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.
Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?
Ссылка на комментарий
Поделиться на другие сайты

Ностальгия по временам когда компьютеры были большими? :)

Ну не любят антивирусы сжатые исполняемые файлы да еще и без цифровой подписи.

Совершенно очевидная логика - сжимают, значит хотят что-то скрыть.

Поскольку других резонов для сжатия сейчас нет.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

в ZIP/RAR или даже в 7z - тоже ведь место экономят…

И вы упаковывайте в эти архиваторы

 

Я хочу знать какое-то разумное обоснование (или хотя бы официальное признание факта что по религиозным причинам UPX под запретом). А не тупо следовать за толпой.

 

 

В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?

 

Из текста отписки робота можно предположить что если антивирусные специалисты(?) решат что там реально вирус - то ответа не будет.

McAfee, Avast, Symantec, Baidu - на жалобу о ложном детекте реагируют за 1 день, и уже на следующий день проблемы нет. Причём, мелкие правки программы и повторная перекомпиляция/UPX - проблему не возвращает. Т.е. они вносят в белый список видимо не глобальную сигнатуру файла, а совокупность разных сигнатур корректируют.

Касперский же спустя 4 дня - ничего не изменилось, по прежнему клевещет на сжатый файл.

Возникает вопрос: то ли у него очередь на ложные детекты исчисляется неделями, то ли он не хочет признавать этот ложный детект.

Почему я как автор программы не могу оспорить мнение этих якобы специалистов? Почему они не могут сказать что именно им не нравится в программе?

 

А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

Ну вот сейчас скомпилировал, исходный файл: https://virustotal.com/ru/file/0a2fe7377457f3c4fe1f88d26cbe596f3dd163e88c0eca03e5a5671d5db4e900/analysis/

Проблем можно считать нет (3 малопопулярных антивируса чем-то недовольны, это не существенно)

 

upx --best --ultra-brute UPS_LM.exe

Ultimate Packer for eXecutables

Copyright © 1996 - 2017

UPX 3.94w Markus Oberhumer, Laszlo Molnar & John Reiser May 12th 2017

 

File size Ratio Format Name

-------------------- ------ ----------- -----------

276480 -> 62464 22.59% win32/pe UPS_LM.exe

 

Packed 1 file.

 

Итог: https://virustotal.com/ru/file/05a7354d34b94583dc707496bee8baa885c62c6b7e043d2d0c16b6bebabdd141/analysis/

И тут сразу 16 антивирусов. А через 2-3 дня их станет больше, некоторые копируют базы.

В предыдущей сборке (неделю назад) их число достигало 30 через 3 дня после первого анализа.

 

 

они может и ругаются, но не потому что вирус.

покажите скриншот алерта

post-46223-0-40329300-1497095488_thumb.jpg
Ссылка на комментарий
Поделиться на другие сайты

@f2065,  для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть. :coffee:

Там же юр.лицо надо… Т.е. много финансовых расходов. Ради небольшой кучки бесплатных утилит - это абсурд.
Ссылка на комментарий
Поделиться на другие сайты

данный фаил блокируется не только антивирусом

Это просто антивирус гугла. Передаёт в Chrome списки файлов которые ему не понравились. Это уже было на старой сборке полгода назад, я тоже разослал жалобы на ложный детект и через день Chrome стал файл скачивать.

 

Более проблемный детект у микрософтовского антивируса, он блокирует даже не исполняемые файлы а вообще любые файлы на сайте, если был один файл который ему не понравился.

Ссылка на комментарий
Поделиться на другие сайты

а если выложить не упакованный UPX, это как влияет ?

Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).

В принципе вот ( /soft/UPS_LM_v1207_deUPX.rar ), именно пакованный файл с сайта взял, команда upx -d - и касперский более не ругается - https://virustotal.com/ru/file/d9c618137bde5a83022f344e0301e36f88b234831e00ca70d3d8c7e01dcbc127/analysis/

 

 

Вопрос то не про отдельно взятый файл. Это системная проблема ряда антивирусов, и наводит на мысли об их бесполезности.

Если они ложно детектят вирусы в общеизвестном UPX потому что его не понимают, то точно так же они могут и не увидеть реальных вирусов запакованных в UPX, если подобрать сигнатуры упаковки.

 

Есть кстати и более простой пример абсурдности антивирусов, вообще без участия UPX. Вот исходные коды (в FASM) программы:

format PE GUI 4.0
entry Empty86
include 'C:\FASM\INCLUDE\WIN32A.INC'
section '.idata' import data readable writeable
library kernel32,'KERNEL32.DLL'
import kernel32,ExitProcess,'ExitProcess'
section '.text' code readable executable
Empty86: invoke ExitProcess, 0
И вот что про эту программу (без UPX) пишет virustotal: https://virustotal.com/ru/file/a4e5b17e6e7c9ffdc3b0e1a5262c654b1fcd66db17062dbfc07ce21618935f99/analysis/

Baidu: Win32.Trojan.WisdomEyes.16070401.9500.9872

Invincea: heuristic

SentinelOne (Static ML): static engine - malicious

 

Кажется кто-то сошёл с ума.

 

Внедрять принципы whilelist может и надо, но что делать с софтом который имеет низкую популярность и разрабатывается обычными людьми? Если софт не приносит прибыли чтобы делать для него юридическое лицо?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).
выложите не упакованный фаил, для проверки.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mrak
      Автор Mrak
      Всем привет! 
      У меня дома тёплые полы использовались с помощью дистанционного управления через приложение. Там ставлю режимы работы, температуру, при отъезде - одной кнопкой выключаю или ставлю другую температуру. В общем удобно.
      После 2х суток статуса "не в сети" всех тёплых полов, я обнаружил такую новость: https://welrok.com/support/instruktsiya-kak-dobavit-terneo-v-welrok
      Поставил приложение Welrok и у меня всё работает почти как раньше (глючит один терморегулятор в плане режимов и ночной яркости (не выключает подсветку ночью), но надеюсь, что это решаемо).
       
      Но возник вопрос безопасности. Скажите пожалуйста:
      1. Насколько безопасно пользоваться приложением от Welrok? Судя по всему, это Российская организация. Но вдруг это под видом организации в России какие-нибудь хакеры/мошенники?
      2. Насколько безопасно управлять полами по сети? Какой самый негативный вариант? Квартиру спалить не смогут, вызывав замыкание? Т.е. есть ли встроенная защита от умышленного причинения вреда? Или максимум чем могут вредить - выключить полы или жарить на 40 градусов?
    • KL FC Bot
      Автор KL FC Bot
      В нашем полном гиде по ключам доступа (passkeys) мы уже разобрали, как отказаться от паролей при пользовании обычными комбинациями смартфонов и компьютеров на базе Android, iOS, macOS и Windows. В этом посте мы сосредоточимся на важных частных случаях:
      как один раз войти в свой аккаунт с чужого устройства; что делать, если часто меняешь компьютеры или смартфоны; как защититься от взлома аккаунта, если тот поддерживает резервный вход по паролю; какие проблемы могут возникать в международных поездках; что происходит при использовании нишевых браузеров и ОС. Как пользоваться passkeys на чужих компьютерах?
      Что делать, если нужно войти в свою учетную запись, защищенную ключом доступа, из библиотеки, с компьютера в аэропорту или просто у родственников дома? Не торопитесь вспоминать резервный пароль.
      Начните на компьютере вход в учетную запись на нужном сайте: введите имя пользователя, при необходимости нажмите «Вход с помощью passkey». После этого на экране появится QR-код — его нужно просканировать своим смартфоном, на котором сохранен ключ доступа. Если все получилось, QR-код пропадет, и вы войдете в свой аккаунт.
      Чтобы этот несложный на вид процесс прошел гладко, нужно не так мало:
      компьютер должен поддерживать Bluetooth Low Energy (BLE) — с его помощью идет проверка, что смартфон и компьютер действительно находятся рядом; на компьютере должны быть установлены ОС и браузер, поддерживающие ключи доступа; и у компьютера, и у смартфона должно быть надежное интернет-соединение.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Отказаться от паролей и цифровых кодов по SMS, подтверждать вход в приложения и на сайты простым отпечатком пальца или улыбкой в камеру — именно так звучит обещание passkeys. А еще passkeys, в отличие от паролей, устойчивы к краже, поэтому новости об утечках вроде недавней, на 16 миллиардов учетных записей, можно будет читать, не хватаясь за сердце.
      Под разными названиями этот способ входа на сайты настойчиво рекомендуют WhatsApp, Xbox, Microsoft 365, YouTube и десятки других популярных сервисов. Но как выглядит использование пасскеев, они же ключи доступа, они же ключи входа, на практике? Мы подробно писали об этом в приложении к аккаунтам Google, а сегодня разберем, как поддерживают passkeys другие сервисы и платформы. В первом посте мы расскажем об основах использования passkeys на одном или нескольких устройствах, а во втором — разберем более сложные случаи, когда нужно войти в свой аккаунт на чужом компьютере, использовать Linux или же хранить ключи доступа на аппаратном брелоке-токене.
      Что такое passkey
      Passkey — это уникальный цифровой ключ входа, созданный для конкретного сайта или приложения. Он безопасно хранится на вашем устройстве: смартфоне, компьютере или специальном USB-брелоке (аппаратном токене) вроде YubiKey или Google Titan Security Key. В момент логина ваше устройство с помощью биометрии или ПИН-кода проверяет, что входите действительно вы. После этого оно отправляет сайту защищенный ответ, созданный на базе этого уникального ключа. Этот механизм хорошо защищает от кражи учетных записей, возможных при использовании паролей, обоими популярными способами — и через фишинговые атаки, и через взлом сайтов. Passkeys работают на устройствах Apple, Google и Microsoft, а при использовании облачной синхронизации в теории доступны на всех ваших устройствах. Подробнее о внутреннем устройстве passkeys — в предыдущем посте про ключи доступа.
       
      View the full article
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Acteon_927
      Автор Acteon_927
      Можно ли использовать резервное хранилище Kaspersky Password Manager для восстановления днных в новом хранилище KPM, если утерян мастер-пароль к нему? Сколько резервных хранилищ может быть и где их можно хранить? Можно ли использовать проводник для создания резервных копий?
       
×
×
  • Создать...