Перейти к содержанию

Рекомендуемые сообщения

Ничего личного, но некоторые специалисты (из числа вирусных аналитиков) таких похвал не заслуживают!

 

Сообщение от модератора C. Tantin
Вынес обсуждение работы Вирлаба в отдельную тему
Изменено пользователем C. Tantin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Некоторые аналитики ЛК халтурят. Добавляют сигнатуру упакованного вредоносного кода, достаточно снять пакер/протектор и получим новый вредонос, тут я об этом говорил.

Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры... ;)

 

Изменено пользователем Ummitium

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры... ;)
Фолсы лучше через сайт отправлять: http://support.kaspersky.ru/virlab/helpdesk.html

Отправлял not-a-virus, который явно трояном был, первый ответ через почту "Детектирование файлов будет добавлено в следующее обновление." с таким же вердиктом not-a-virus:WebToolbar.Win32.VB, на ответное письмо, что это троян - тишина. После отправки через феб-форму, довольно быстро пришел ответ: "Обладает функциональностью даунлодера - переименован в Trojan-Downloader.Win32.Agent"

Наверное, надо было в теме писать Ложное срабатывание или False Alarm, тогда письмо дошло бы аналитику с 1-го раза, а не обработалось сначала роботом.

Ответ с таким заголовком был, когда через сайт отправлял: RE: [310481014][False Alarm]

 

Строгое предупреждение от модератора C. Tantin
Оффтопик! (п.5 правил)
Изменено пользователем C. Tantin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В моем случае, я просил перепроверить файл, который уже детектился! В ответ мне НЕ РОБОТ, а аналитик написал, что спасибо, добавим в базы ваше новое вредоносное ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В ответе не пишется, что это робот ответил :). Недавно отправлял письмо, ответ через 4 минуты пришел с подписью аналитика, сомневаюсь, что человек его обработал так быстро и вне очереди :).

 

Строгое предупреждение от модератора C. Tantin
Публичное обсуждение действий администрации запрещено (п. 7 правил). Устное предупреждение.
Изменено пользователем C. Tantin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sergio342, ну давайте для начала вспомним, что фактическим ни Вы ни я не знаеа как организована структура проверки/получения вреденосов до последней точки. Поэтому говорить о том, о чём не известно всех фактов - просто неразумно = ) Это я про 4-минуты на ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ещё есть детекты по иконкам, нестандартным расширениям в структурах PE файла.

 

Равшан и Джамшут устроились в вир. лаб :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

JIABP, это личные наблюдения, складывание воедино всей инфы, которую по кусочкам выдают на форумах, в блогах аналитиков... :). Когда обрабатывается автоматически, это не пишется, как, например, у доктора, а стоит подпись аналитика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В статье есть немного про Вирлаб: http://www.thg.ru/business/kaspersky_tour/onepage.html

Как видно на экране и по тексту, большинство запросов обрабатывается роботом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если aybo может распаковать, проанализировать, задетектировать автоматически, участие человека излишне :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А то что робот не может обработать самостоятельно? :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно выбрать из двух вариантов:

1. Игнорируется

2. Отправится аналитику

Насколько качественно отработает аналитик....это другой вопрос.

 

А если робот неправильно отработал детект....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если робот неправильно отработал детект....

:blink: Ну пошлешь файлик еще один раз - напишешь - фолс :lool:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Или буду подымать систему :blink: Ай а где мой explorer.exe (svchost, hall.dll)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тогда слушаем предложения :blink: по исправлению

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...