][-news Гадим антивирусам ! :)

Всем привет !

Многие школо-хакеры говорят "Не лей на VT", отчасти они правы ведь VirusTotal (VT), сливает ваши вирусы вендорам, но давайте рассмотрим и положительную сторону VT, разумеется в коррыстных целях:

1)Если у вас крутой вирус/криптор, то именно залив на VT можно, во первых проверить его стойкость, а во вторых именно VT даст вам понимание, какие АВ его детектят, ибо это самый надёжный и достоверный способ;

2)Всплыло это только сейчас, но в хак. кругах это известно уже давно, да-да при помощи VT и уязвимостей в протоколе, можно нагадить АВ, как это делается:

- Не секрет, что АВ "Смотрят" на детект других АВ, и если у кого-то есть такой детект, "Нерадивые АВ", такие например как Qihoo 360 начнут его детектить...

Теперь теоретическая метода, если есть уязвимость делается следующее:

По отраслевым каналам типа VirusTotal можно распространять нормальные программные файлы, внутрь которых специально засовываем строчки с вредоносным кодом, в этоге они начнут детектится...

Короче это может привести к детекту чистых файлов !

Вот-что пишет по этому поводу Евгений Касперский:

Теперь подробнее об этом случае: в ноябре 2012-го мы допустили ложное срабатывание и заблокировали несколько обычных файлов – игровой клиент Steam, игровой центр Mail.ru и клиент мессенджера QQ. Шум, переполох, внутреннее расследование. Выяснилось, что кто-то извне целенаправленно нам портил жизнь.


За несколько месяцев до этого наш вирлаб начал получать десятки слегка модифицированных файлов этих клиентов добавленными вредоносными строками. Получали мы их в первую очередь через сайт VirusTotal. Скорее всего, негодяи разбирались в том, как работает наш движок: сканнер анализирует не весь файл, и вот они свои закладки делали именно там, где надо, чтобы обмануть сканер. Новые файлы квалифицировались как вредоносные и в таком статусе сохранялись в базе данных.


А потом, когда Steam, Mail.ru и QQ начали обновлять свой софт, наш движок сравнил новые версии файлов с нашими записями и все заблокировал. Обычно такие программы быстро добавляются в разрешенные списки (whitelisting), но в данном случае движок успел их отправить в карантин раньше. Мы поменяли алгоритм, чтобы избежать детектов на основе только данных об имеющихся аналогичных файлах, но весь год этот кто-то так и слал нам их. Просто мы научились их не ловить.

3)Что-же за шум произошёл, вообще в АВ-индустрии есть такое понятие как "Кража детекта", что это такое:

Некий АВ (Часто облачный), просто "Мониторит" детекты других на VT, и если он сеть, просто включает его в свой...

Тем-самым не нужны вирлабы, АВ аналитики и т.д. Достаточно скрипта, который будет постоянно отслеживать и проверять по VT !

Несколько раз я делал тесты, так например поступает Qihoo 360 !

Так-вот недавно, агенство Reuters опубликовало, что и АВ не редко друг-друга так "Мочат", в частности и ЛК непрочь эти заниматься...

Произошёл скандал, что самому Евгению пришлось даже давать офф. ответ:https://xakep.ru/2015/08/16/reuters-vs-kaspersky-lab2/

 

Не только, тут ещё проблема с фолсами...

Ну и на самом деле проблема шире:

На самом деле идёт война в самом ЛК, между руководством:http://m.forbes.ru/article.php?id=294549

То-ли ещё всплывёт !