Разъясните про использование UPX, почему он считается вирусом?

[f2065]

Здравствуйте.

 

У меня вопрос про проблемы с UPX.

 

Вот пишу какую-нибудь программу (самостоятельно, без сторонних компонентов, и абсолютно уверен что в программе нет вредоносного функционала).

Проверяю на VirusTotal - все антивирусы считают что всё хорошо.

Запаковываю в UPX - и 5…30 (из 61) антивируса ругаются что это теперь вирус. Нередко и Касперский (а следом через день - и Яндекс), причём жалобы на ложный детект по факту игнорируются у Касперского (хотя у многих остальных антивирусов ложный детект исправляют за 1-2 дня).

 

Почему так?

Догадываюсь что где-то там получаются похожие куски сигнатур на какой-то вирус которых тоже был сжат в UPX.

Однако ведь UPX - широкоизвестная программа, почему антивирус не может детектить UPX, распаковывать его и проверять реальный исполняемый код, а не сигнатуры сжатого UPX ?

ZIP/RAR ведь антивирусы распаковывают.

А если антивирус не умеет распаковывать UPX - то ведь злоумышленники могут за несколько перестановок/перепаковок кода найти комбинацию когда сигнатуры сжатого UPX детектится не будут…

Если всё-же UPX анализируется и внутри - то зачем ложно детектить по сжатому?

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Задай вопрос Евгению Касперскому!"

[Kapral]

Чисто спортивный интерес, что вам дает упаковка UPX

[f2065]

  10.06.2017 в 10:04, Kapral сказал:

Чисто спортивный интерес, что вам дает упаковка UPX

Уменьшение объёма в 3-4 раза.

На большинстве сайтов например программы выкладывают упакованными в ZIP/RAR или даже в 7z - тоже ведь место экономят…

Почему бы сразу исполняемый код не упаковать, если такая возможность есть?

 

Меня интересует официальная позиция разработчиков антивируса. Если вот они прямо скажут что с UPX будут проблемы потому что им он не нравится - то я учту их мнение…

А то какая-то непонятная и не логичная ситуация.

 

Вдобавок жалобы на ложный детект игнорят. Не понятно, сколько ждать их вердикта. В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

[Kapral]

 

 

  f2065 сказал:

Уменьшение объёма в 3-4 раза.

Скажите а это что дает? )))
я буду скачивать не 5 сек а 4? ))) или на моих нескольких терабайтах сэкономится аж целых мегабайт 10

 

 

 

  f2065 сказал:

в ZIP/RAR или даже в 7z - тоже ведь место экономят…

И вы упаковывайте в эти архиваторы

 

 

 

  f2065 сказал:

Меня интересует официальная позиция разработчиков антивируса

А вы попробуйте обратится к ним, в ТП, а не на форум пользователей

 

 

 

  f2065 сказал:

В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?

[andrew75]

Ностальгия по временам когда компьютеры были большими?

Ну не любят антивирусы сжатые исполняемые файлы да еще и без цифровой подписи.

Совершенно очевидная логика - сжимают, значит хотят что-то скрыть.

Поскольку других резонов для сжатия сейчас нет.

[thyrex]

А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

[kmscom]

 

 

  f2065 сказал:

антивируса ругаются что это теперь вирус

они может и ругаются, но не потому что вирус.

покажите скриншот алерта

[f2065]

  10.06.2017 в 10:29, Kapral сказал:

 

  f2065 сказал:

в ZIP/RAR или даже в 7z - тоже ведь место экономят…

И вы упаковывайте в эти архиваторы

 

Я хочу знать какое-то разумное обоснование (или хотя бы официальное признание факта что по религиозным причинам UPX под запретом). А не тупо следовать за толпой.

 

  10.06.2017 в 10:29, Kapral сказал:

 

  f2065 сказал:

В отписке робота сказано что если результат изменится - то сообщат. Однако следовало бы сообщать о любом результате.

Как часто надо вас извещать о том что ничего не изменилось? 5 раз в час достаточно?

 

Из текста отписки робота можно предположить что если антивирусные специалисты(?) решат что там реально вирус - то ответа не будет.

McAfee, Avast, Symantec, Baidu - на жалобу о ложном детекте реагируют за 1 день, и уже на следующий день проблемы нет. Причём, мелкие правки программы и повторная перекомпиляция/UPX - проблему не возвращает. Т.е. они вносят в белый список видимо не глобальную сигнатуру файла, а совокупность разных сигнатур корректируют.

Касперский же спустя 4 дня - ничего не изменилось, по прежнему клевещет на сжатый файл.

Возникает вопрос: то ли у него очередь на ложные детекты исчисляется неделями, то ли он не хочет признавать этот ложный детект.

Почему я как автор программы не могу оспорить мнение этих якобы специалистов? Почему они не могут сказать что именно им не нравится в программе?

 

  10.06.2017 в 10:36, thyrex сказал:

А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

Ну вот сейчас скомпилировал, исходный файл: https://virustotal.com/ru/file/0a2fe7377457f3c4fe1f88d26cbe596f3dd163e88c0eca03e5a5671d5db4e900/analysis/

Проблем можно считать нет (3 малопопулярных антивируса чем-то недовольны, это не существенно)

 

upx --best --ultra-brute UPS_LM.exe

Ultimate Packer for eXecutables

Copyright © 1996 - 2017

UPX 3.94w Markus Oberhumer, Laszlo Molnar & John Reiser May 12th 2017

 

File size Ratio Format Name

-------------------- ------ ----------- -----------

276480 -> 62464 22.59% win32/pe UPS_LM.exe

 

Packed 1 file.

 

Итог: https://virustotal.com/ru/file/05a7354d34b94583dc707496bee8baa885c62c6b7e043d2d0c16b6bebabdd141/analysis/

И тут сразу 16 антивирусов. А через 2-3 дня их станет больше, некоторые копируют базы.

В предыдущей сборке (неделю назад) их число достигало 30 через 3 дня после первого анализа.

 

 

  10.06.2017 в 11:48, kmscom сказал:

они может и ругаются, но не потому что вирус.

покажите скриншот алерта

[Friend]

@f2065,  для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть.

[f2065]

  10.06.2017 в 12:09, Friend сказал:

@f2065,  для вас: http://whitelist.kaspersky.ru/whitelist-for-partners-ruи не будет ложного детекта от ЛК, если он конечно есть.

Там же юр.лицо надо… Т.е. много финансовых расходов. Ради небольшой кучки бесплатных утилит - это абсурд.

[kmscom]

  10.06.2017 в 12:04, f2065 сказал:

KIS_false.jpg

данный фаил блокируется не только антивирусом

[f2065]

  10.06.2017 в 12:20, kmscom сказал:

данный фаил блокируется не только антивирусом

Это просто антивирус гугла. Передаёт в Chrome списки файлов которые ему не понравились. Это уже было на старой сборке полгода назад, я тоже разослал жалобы на ложный детект и через день Chrome стал файл скачивать.

 

Более проблемный детект у микрософтовского антивируса, он блокирует даже не исполняемые файлы а вообще любые файлы на сайте, если был один файл который ему не понравился.

[kmscom]

а если выложить не упакованный UPX, это как влияет ?

[f2065]

  10.06.2017 в 12:39, kmscom сказал:

а если выложить не упакованный UPX, это как влияет ?

Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).

В принципе вот ( /soft/UPS_LM_v1207_deUPX.rar ), именно пакованный файл с сайта взял, команда upx -d - и касперский более не ругается - https://virustotal.com/ru/file/d9c618137bde5a83022f344e0301e36f88b234831e00ca70d3d8c7e01dcbc127/analysis/

 

 

Вопрос то не про отдельно взятый файл. Это системная проблема ряда антивирусов, и наводит на мысли об их бесполезности.

Если они ложно детектят вирусы в общеизвестном UPX потому что его не понимают, то точно так же они могут и не увидеть реальных вирусов запакованных в UPX, если подобрать сигнатуры упаковки.

 

Есть кстати и более простой пример абсурдности антивирусов, вообще без участия UPX. Вот исходные коды (в FASM) программы:

format PE GUI 4.0
entry Empty86
include 'C:\FASM\INCLUDE\WIN32A.INC'
section '.idata' import data readable writeable
library kernel32,'KERNEL32.DLL'
import kernel32,ExitProcess,'ExitProcess'
section '.text' code readable executable
Empty86: invoke ExitProcess, 0

И вот что про эту программу (без UPX) пишет virustotal: https://virustotal.com/ru/file/a4e5b17e6e7c9ffdc3b0e1a5262c654b1fcd66db17062dbfc07ce21618935f99/analysis/

Baidu: Win32.Trojan.WisdomEyes.16070401.9500.9872

Invincea: heuristic

SentinelOne (Static ML): static engine - malicious

 

Кажется кто-то сошёл с ума.

 

Внедрять принципы whilelist может и надо, но что делать с софтом который имеет низкую популярность и разрабатывается обычными людьми? Если софт не приносит прибыли чтобы делать для него юридическое лицо?

[kmscom]

 

 

  f2065 сказал:

Если выложить не упакованный, то проблем с антивирусами вобщем нет (ну не считая какой-то непонятной проблемы с Windows Smart Screen).

выложите не упакованный фаил, для проверки.