Работа ВирЛаба

[Ummitium]

Ничего личного, но некоторые специалисты (из числа вирусных аналитиков) таких похвал не заслуживают!

 

Сообщение от модератора C. Tantin

Вынес обсуждение работы Вирлаба в отдельную тему

Изменено 30 января, 2009 пользователем C. Tantin

[Ummitium]

Некоторые аналитики ЛК халтурят. Добавляют сигнатуру упакованного вредоносного кода, достаточно снять пакер/протектор и получим новый вредонос, тут я об этом говорил.

Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры...

 

Изменено 25 января, 2009 пользователем Ummitium

[sergio342]

Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры...

Фолсы лучше через сайт отправлять: http://support.kaspersky.ru/virlab/helpdesk.html

Отправлял not-a-virus, который явно трояном был, первый ответ через почту "Детектирование файлов будет добавлено в следующее обновление." с таким же вердиктом not-a-virus:WebToolbar.Win32.VB, на ответное письмо, что это троян - тишина. После отправки через феб-форму, довольно быстро пришел ответ: "Обладает функциональностью даунлодера - переименован в Trojan-Downloader.Win32.Agent"

Наверное, надо было в теме писать Ложное срабатывание или False Alarm, тогда письмо дошло бы аналитику с 1-го раза, а не обработалось сначала роботом.

Ответ с таким заголовком был, когда через сайт отправлял: RE: [310481014][False Alarm]

 

Строгое предупреждение от модератора C. Tantin

Оффтопик! (п.5 правил)

Изменено 26 января, 2009 пользователем C. Tantin

[Ummitium]

В моем случае, я просил перепроверить файл, который уже детектился! В ответ мне НЕ РОБОТ, а аналитик написал, что спасибо, добавим в базы ваше новое вредоносное ПО.

[sergio342]

В ответе не пишется, что это робот ответил . Недавно отправлял письмо, ответ через 4 минуты пришел с подписью аналитика, сомневаюсь, что человек его обработал так быстро и вне очереди .

 

Строгое предупреждение от модератора C. Tantin

Публичное обсуждение действий администрации запрещено (п. 7 правил). Устное предупреждение.

Изменено 30 января, 2009 пользователем C. Tantin

[JIABP]

sergio342, ну давайте для начала вспомним, что фактическим ни Вы ни я не знаеа как организована структура проверки/получения вреденосов до последней точки. Поэтому говорить о том, о чём не известно всех фактов - просто неразумно = ) Это я про 4-минуты на ответ.

[starik]

Ещё есть детекты по иконкам, нестандартным расширениям в структурах PE файла.

 

Равшан и Джамшут устроились в вир. лаб

[sergio342]

JIABP, это личные наблюдения, складывание воедино всей инфы, которую по кусочкам выдают на форумах, в блогах аналитиков... . Когда обрабатывается автоматически, это не пишется, как, например, у доктора, а стоит подпись аналитика.

[sergio342]

В статье есть немного про Вирлаб: http://www.thg.ru/business/kaspersky_tour/onepage.html

Как видно на экране и по тексту, большинство запросов обрабатывается роботом.

[Гриша]

Если aybo может распаковать, проанализировать, задетектировать автоматически, участие человека излишне :blink:

[Kapral]

А то что робот не может обработать самостоятельно? :blink:

[akoK]

Можно выбрать из двух вариантов:

1. Игнорируется

2. Отправится аналитику

Насколько качественно отработает аналитик....это другой вопрос.

 

А если робот неправильно отработал детект....

[Kapral]

А если робот неправильно отработал детект....

:blink: Ну пошлешь файлик еще один раз - напишешь - фолс

[akoK]

Или буду подымать систему :blink: Ай а где мой explorer.exe (svchost, hall.dll)?

[Kapral]

Тогда слушаем предложения :blink: по исправлению