Разъясните про использование UPX, почему он считается вирусом?

[f2065]

 

Если выложить не упакованный, то проблем с антивирусами вобщем нет

выложите не упакованный фаил, для проверки.

 

Ну так ссылку давал выше, http://www.f2065.ru/soft/UPS_LM_v1207_deUPX.rar

[kmscom]

Действительно все на ура проходит. и даже работает, я бы не заморачивался, а распространял программу именно в таком виде.

тем более что размер RAR архива, практически равен.

[santax]

 

 

выложите не упакованный фаил, для проверки.

 

 

А также покажите хотя бы один детект virustotal.com на Ваш упакованный файл

Знаком с автором темы и его разработками: даю 100% гарантию, что внедрением вирусов в свои утилиты он не занимается.

[thyrex]

@santax, так я и не утверждал подобного. Просто хотелось посмотреть на детект 

[regist]

@f2065,

1) Если хотите официальный ответ, то надо было писать не сюда, а либо в тех. поддержку, либо хотя бы на оф. форум. Все остальные ответы тут являются частным мнением отдельных пользователей (в том числе и мой).

2) Проблем с UPX не должно быть и касперский должен нормально его распаковывать (как и любой нормальный антивирус). То, что он ругается, просто из-за того что упаковали в UPX не нормально.

3) Да есть проблема, что если файл посылать по почте, то несколько недель можно ждать пока аналитики касперского снимут фолс (есть подозрение, что даже спустя это время он до них не доходит).

4) Для того чтобы пользоваться вайт-лист от касперского не обязательно быть юр. лицом (проверено на практике).

 

Повторюсь, что это моё личное мнение и никак не является официальным ответом.

И мне также хотелось бы увидеть ссылку на отчёт VT, где касперский ругается на файл.

Не плохо было бы если рядом в том же посте была бы ссылка на тот же файл, не накрытым UPX.

[f2065]

1) Если хотите официальный ответ, то надо было писать не сюда, а либо в тех. поддержку, либо хотя бы на оф. форум.

Тех.поддержка подразумевает регистрацию в качестве их клиента, я же давно не пользуюсь их антивирусом. На оф.форуме не вижу подходящего раздела по этому достаточно абстрактному вопросу. Проблема ведь не касается конкретного продукта.

Много лет назад кстати аналогичная проблема была - без UPX нормально, а с UPX касперский реагировал, на оф.форуме уже тогда спрашивал - ничего толком не ответили, отослали в ложный детект.

Там помнится я решения тоже не дождался, и немного переделал упаковщик - добавил простейшую шифровку XOR-паттерном, перед запуском распакованного кода была сделана соответствующая дешифровка после упаковки. Касперскому этого хватило, реагировать он перестал.

Но, там был инсталлятор, и те наработки применить сейчас невозможно…

 

2) Проблем с UPX не должно быть и касперский должен нормально его распаковывать (как и любой нормальный антивирус).

Я тоже так думал, но статистика вот показывает совсем другое. Стоит сжать файл в UPX - и сразу десяток антивирусов (причём всегда разных) начинает реагировать.

Правда в большинстве случаев касперский на UPX не реагировал (но тем не менее это далеко не первый случай его реакции именно на UPX)

 

Подумал вот может антивирусу не нравится сжатия секций экспорта и релока (может там при распаковке что-то скрыть можно), отключил:

upx --best --ultra-brute --compress-exports=0 --strip-relocs=0

Однако это ничуть не решает проблему…

 

4) Для того чтобы пользоваться вайт-лист от касперского не обязательно быть юр. лицом (проверено на практике).

Но аналитики там те же самые? Тоже очередь на проверку несколько недель?

Или что помешает злоумышленнику без юр.лица и прочих координат зарегистрироваться в вайт-лист и затем какой-то вредоносный файл там выпустить?

 

И мне также хотелось бы увидеть ссылку на отчёт VT, где касперский ругается на файл.

Так выше, в сообщение #8 этой темы, есть ссылка на отчёт VT до UPX (где почти никто не ругается) и после UPX (где сразу многие, в т.ч. касперский, ругаются).

 

Не плохо было бы если рядом в том же посте была бы ссылка на тот же файл, не накрытым UPX.

И ссылки были выше, вот выложил новую версию без UPX-сжатия - http://www.f2065.ru/soft/UPS_LM_v1208.rar- VT не жалуется практически - https://virustotal.com/ru/file/844e25c628dfc849e801905215d87476ebe08961a43488dd8dc31126c97b12cb/analysis/

Желающие могут скачать UPX 3.94w, запаковать файл командой upx --best --ultra-brute, и убедится что после этого VirusTotal будет массово ругаться вот примерно так - https://virustotal.com/ru/file/78cac2caa88f44ba497a2c35012c832a0d6e7ba129d96960295f52513c8fd1ef/analysis/

 

Интересно что вот попробовал запаковывать разные файлы из %programfiles%… И в подавляющем большинстве случаев факт UPX-упаковки ничего не портит, как было 0…1…2 детекта, так обычно и остаётся.

Но с разными самописными программами, независимо причём от языка на котором они написаны (ассемблеры, делфи, net, msvc2017), упаковка резко портит статистику на VT. Если до упаковки обычно 0 или не более 1-2 детектов, то после упаковки сразу 5-15 (а то и 20-30) детектов оказывается.

Вероятно что эвристика учитывает популярность файла среди пользователей облачных проверок? Т.е. файлы которые давно и часто попадаются у пользователей - паковать в UPX можно, а малоизвестные файлы паковать в UPX нельзя…

[regist]

Но аналитики там те же самые? Тоже очередь на проверку несколько недель?

Нет, обычно очень быстро (пару дней), а так официально там должно быть не более 5 рабочих дней.

Или что помешает злоумышленнику без юр.лица и прочих координат зарегистрироваться в вайт-лист и затем какой-то вредоносный файл там выпустить?

Файл ведь не слепо добавляется в вайт лист, а проверяется сначала роботом, если у него остались сомнения, то передаёт его на анализ живому аналитику.

• В final report вы можете посмотреть, к какой зоне (<DangerZone>)в результате обработки был отнесен ваш файл:
  • Good означает, что файл был добавлен в базу White List.
  • Bad означает, что файл является вредоносным.
  • Gray означает, что файл относится к категории riskware и/или adware.

 

 

 

Так выше, в сообщение #8 этой темы,

ссылку видел, смотрел её, а касперского среди детектов клонов бита не заметил . Сейчас ткнули, увидел.