Вверх ↑
Этот топик читают: Гость
Администрация
Ответов: 15295
Рейтинг: 1519
#1: 2009-03-08 16:22:11 ЛС | профиль | цитата
Случайно наткнулся на форуме касперского на ответ специалиста по анализу программы, вупущенной из под HiAsm
Zaitsev Oleg писал(а):
Я посмотрел программу, сохранение ее исходников в страшном секрете это конечно интересно - такие семплы есть в любой книжке по Delphi Ничего опасного программа эта не делает, шлет почту куда сказано, но:
1. Это нестандартный мейлер, запакованный непонятно зачем кучей всего
2. У него неясно зачем иконка от антивируса AVP. Столкнувшись с таким "чудом" бдительные юзеры будут слать данный мейлер в ЛК для проверки, в чем дело (иконка популярного бренда в непонятной программе, да еще запакованной и работающей с сетью с точки зрения юзера весьма подозрительна)
3. Программа выясняет адрес ya.ru перед отправкой почты, хотя он ей реально не нужен (видимо разновидность контроля, есть ли Инет), подозрительно настроенный юзер будет отправлять почту на mail.ru, firewall сообщит о определении адреса ya.ru - пользователь напугается и решит, что это троян
4. Во многих корпоративных сетях строжайше запрещено применять любые посторонние мейлеры и средства передачи данных/файлов, кроме стандартных или установленных админом (у меня в сети это прописано отдельным пунктом в корпоративной политике, и за применение любого нештатного мейлера юзер может крепко получить). А тут еще в почтовом обмене в HELO программа передает нестандартные данные в начале обмена (HELO HiAsm.Mail), на это могут среагировать IDS ... что ускорит получение пользователем влоб от админов

Детект подобного ПО связан в основном именно с п.п. 4 - расширения баз в области RiskTool.Win32 предназначено в основном для админов, чтобы обнаруживать нестандартное ПО на машинах юзеров (RiskTool.Win32 - это не вирус и не троян !!) - как описано у меня в п.п. 4. В этом разделе есть масса мелких программ - ломалки и подсматривалки паролей, средства рассылки почты, мелкие прокси и FTP/WEB сервера и т.п. - т.е. софт не опасный, но мягко говоря неуместный на ПК бухгалтера в конторе. Меня лично и многих админов подобные расширенные базы выручают - проверяется некий ПК, и тут детект RiskTool - значит сразу "пишу объяснительную в службу безопасности - что это такое, зачем поставил, гда взял ..." Если внимательно посмотреть на антивирус AVP, то детект RiskTool там нужно включить вручную и даже в GUI сказано "Я согласен, что некоторые легальные программы могут быть классифицированы как потенциально опасные, и хочу, чтобы они воспринимались как угроза на этом компьютере"


небольшие комментарии для тех, кто не так хорошо знаком с вкладной Internet:
Это нестандартный мейлер, запакованный непонятно зачем кучей всего

подозреваю, что одним из упаковщиков был встроенный в hiasm упаковщик UPX - эта программа предназначена для сжатия исполняемых файлов и их распаковке на лету при запуске. Эта технология действительно применяется многими вирусами и троянами для уменьшения своего кода и для обхода "дубовых" антивирусов, которые не способны фальсифицировать запуск программы для ее анализа. Что автор отзыва имел ввиду под "кучей всего" остается не ясно - тут надо видеть саму программу.

Программа выясняет адрес ya.ru перед отправкой почты

это действительно делает наш элемент с именем NET, который наличие интернета на компьютере проверяет по возможности получения IP адреса для хоста ya.ru(этот способ универсальным не является, но срабатывает в большинстве случаев). Адрес был взят как наиболее полулярный в интеренете и понятный каждому.

А тут еще в почтовом обмене в HELO программа передает нестандартные данные в начале обмена (HELO HiAsm.Mail)

SMTP действительно передает строку HiAsm.Mail в качестве приветствия для сервера. Однако рекомендованное по спецификации имя, которое должен отправлять клиент это полное доменное имя компьютера. Но никто не запрещает отправлять и произвольную строку, являющуюся именем клиента отправки почтовых сообщений. Но раз уж это создает проблемы с антивирусами, то для элемента SMTP отправка HELO была переделана в соответствие со стандартами.

PS: ввиду всего, выше сказанного хотелось бы порекомендовать не использовать для распространения своих схем встроенное сжатие кода и производить проверку программ на наличие потенциально опасного кода. Иногда проверку удается пройти банальной перестановкой элементов.
карма: 27
0
Ответов: 902
Рейтинг: 27
#2: 2009-03-09 03:20:44 ЛС | профиль | цитата
Задолбал этот касперский.
Я оправдываться устал, и не только на этом форуме:
http://sysadmin.mail.ru/pforum/viewtopic.php?p=109345#109345

Может ли он ругатся, на такую схему:
Add(MainForm,10765077,245,210)
{
Left=20
Top=105
Width=233
Height=141
}
Add(WinEnum,9836290,353,258)
{
link(onFindWindow,3295803:doPress,[])
link(Caption,9271815:Value,[])
}
Add(Memory,9271815,353,202)
{
Default=String(Program Manager)
}
Add(KeyEvent,3295803,423,258)
{
Code=116
link(Handle,9836290:Handle,[(429,246)(394,246)(394,302)(359,302)])
}
Add(Button,8854453,280,259)
{
Left=25
Top=30
link(onClick,9836290:doFind,[(332,265)(332,271)])
}
карма: 1
Время верстки: %cr_time% Текущее время: %time%
0
Ответов: 590
Рейтинг: 19
#3: 2009-03-09 09:25:31 ЛС | профиль | цитата
juk писал(а):
Может ли он ругатся, на такую схему:

у меня не ругается... стоит кис 2009
карма: 0

0
Ответов: 1161
Рейтинг: 160
#4: 2009-03-09 10:09:09 ЛС | профиль | цитата
juk писал(а):
Может ли он ругатся, на такую схему:

у меня тоже не ругается kav7
карма: 0

0
Ответов: 5227
Рейтинг: 587
#5: 2009-03-09 21:42:42 ЛС | профиль | цитата
У меня каспер вообще оборзел. Простой файл васика test.vbs c единственной строкой Set oXMLHTTP = CreateObject("MSXML2.XMLHTTP") выдаёт

Фaйл coдepжит тpoянcкyю
пpoгpaммy 'Trojan-
Downloader.JS.gen'. Лeчeниe
нeвoзмoжнo


бл... какие ещё слова для этого подобрать уже не знаю
карма: 4
Мой форум - http://hiasm.bbtalk.me/ схемы, компоненты...
0
Ответов: 5446
Рейтинг: 323
#6: 2009-03-10 17:45:32 ЛС | профиль | цитата
andrestudio, ради интереса скормил файлик VirusTotal-у. Результат - всё чисто, даже кашпировский промолчал. Ссылка: клац
карма: 1

0
Ответов: 8923
Рейтинг: 823
#7: 2009-03-10 18:19:16 ЛС | профиль | цитата
andrestudio, наверное Ваш Касперский простудился и подхватил ОВИ (раньше это называлось ОРЗ) - у меня промолчал и "найдено 0 вирусов"
карма: 19

0
Ответов: 5227
Рейтинг: 587
#8: 2009-03-10 19:48:49 ЛС | профиль | цитата
Да каспер у меня довольно старый 6.0 workstations, хотя базы свежие. К моему изумлению он тоже самое выкидывает даже если файл txt, короче пздит по полной программе
карма: 4
Мой форум - http://hiasm.bbtalk.me/ схемы, компоненты...
0
Ответов: 21
Рейтинг: 0
#9: 2009-04-15 11:25:00 ЛС | профиль | цитата
У мя каспер рас пикнул при установки HIASM и умер да я тока вспомнил что он у мя есть!
карма: 0

0
Ответов: 1305
Рейтинг: 29
#10: 2009-04-15 12:07:28 ЛС | профиль | цитата
ERNESTO писал(а):
каспер рас пикнул при установки HIASM и умер

HiAsm - убийца антивирусов. Это что-то новое
карма: 0

0
Разработчик
Ответов: 4698
Рейтинг: 426
#11: 2009-04-15 12:16:32 ЛС | профиль | цитата
И правда что-то новенькое!!! У меня каспер каждый день апдатится и на HiAsm не ругается и не ругался никогда
------------ Дoбавленo в 12.18:
Хотя нет, ругался, когда я проги на ФПЦ делал, говорил что они заражены спай-агентом и схема становилась неисправима, поэтому я перешел на делфи и каспер молчит
карма: 10
0
Ответов: 133
Рейтинг: 3
#12: 2009-05-19 21:52:55 ЛС | профиль | цитата
Всем советую переходить на компилятор делфи, знаю по своему опыту- "Dr web находил "вирусы" практически в любом приложении, скомпилированном на FPC.
А ещё лучше- ставьте Nod 32 и забудьте про проблему "верещания" антивирусов на Hiasm.

карма: 0

0
Ответов: 485
Рейтинг: 86
#13: 2009-05-19 22:12:18 ЛС | профиль | цитата
Artem_user писал(а):
А ещё лучше- ставьте Nod 32 и забудьте про проблему "верещания" антивирусов на Hiasm.
"А ещё лучше- ставьте Nod 32 и забудьте про проблему "верещания" антивирусов". Вот как должна правильно звучать эта фраза Мммм.. Не сторонник устраивать баталии типа "какой антивирус лучше", но тут не удержался. Личная просьба: никогда и нигде не устанавливайте NOD32! Я запарился после вас системы восстанавливать...
карма: 0

0
Разработчик
Ответов: 26137
Рейтинг: 2126
#14: 2009-05-19 22:40:42 ЛС | профиль | цитата
filyaxxxcom писал(а):
какой антивирус лучше

Самый лучший антивирус -- это его отсутствие
карма: 22

1
Голосовали:Ghost_Russia
Ответов: 133
Рейтинг: 3
#15: 2009-05-19 22:45:14 ЛС | профиль | цитата
Пользователь filyaxxxcom, Вы пишите : Личная просьба: никогда и нигде не устанавливайте NOD32! Я запарился после вас системы восстанавливать..."
То есть Вы хотите сказать - Nod 32 дырявый( пропускает вирусы)? я уже более года им пользуюсь, и вири типа троянов в мой комп не пролезли(пытались, если бы пролезли, то я бы явно это заметил(компьютер стал бы падать и т. д.)
по результатам тестирования Virus Bulletin Nod 32 занимает 1 место ( Успешно Пройдено более 96%)- это официальные данные.
Хотя кому какая программа по душе.....
карма: 0

0
Сообщение
...
Прикрепленные файлы
(файлы не залиты)