Backdoor.Hupigon.bnln и Heuristic.BehavesLike.Win32.O

← →
abun © (2009-08-18 14:53) [0]

Уже, наверное, многие слышали о новом delphi-вирусе "Induc". Я из-за него прошерстил на сервисе virustotal свою программу, так вот получил сообщение о двух вирусах:
Backdoor.Hupigon.bnln (по данным McAfee-GW-Edition) и
Heuristic.BehavesLike.Win32.O (CAT-QuickHeal)
Второй антивирь для меня, конечно, не особый авторитет. Да и вири какие-то стремные, но все же я хотел бы распространяя прогу показывать пользователю ссылку на отчет сервиса virustotal, что, мол, смотрите, все чисто, вирусов нет! Так вот мой вопрос: что это за вирусы и как с ними бороться (читай: где они находятся, в делфе моей или в винде)?

← →
abun © (2009-08-18 14:55) [1]

Прогу я aspack"ом паковал, возможно, поэтому ругается на купидон. Но кода-то вредоносного у меня в проге нет...

← →
Anatoly Podgoretsky © (2009-08-18 15:28) [2]

Хитрый какой, проверил чистую вирустоталом, а зараженую распространяешь.

← →
abun © (2009-08-18 15:33) [3]

В смысле?
Распространяю очищенную. Да и вопрос не об этом. Вопрос о вирусах.

← →
Anatoly Podgoretsky © (2009-08-18 15:44) [4]

А мы про что, только наивный поверит.

← →
abun © (2009-08-18 16:21) [5]

Короче, вопрос, если вы не прочитали его:
Backdoor.Hupigon.bnln и Heuristic.BehavesLike.Win32 - что за звери?

← →
gospel (2009-08-18 16:28) [6]

Backdoor.Hupigon.bnln - малоизвестный вирус, собирающий данные для китайского правительства. Какие данные, неизвестно.
Heuristic.BehavesLike.Win32.O - Совместная китайско-израильская разработка кабаллистического дао-вируса. Не делает ничего, особенно по субботам, чем приближает наступление дао во всем мире.

← →
KilkennyCat © (2009-08-18 16:34) [7]

> Второй антивирь для меня, конечно, не особый авторитет

первый не лучше

← →
abun © (2009-08-18 16:44) [8]

> Backdoor.Hupigon.bnln - малоизвестный вирус, собирающий
> данные для китайского правительства. Какие данные, неизвестно.
> Heuristic.BehavesLike.Win32.O - Совместная китайско-израильская
> разработка кабаллистического дао-вируса. Не делает ничего,
> особенно по субботам, чем приближает наступление дао во
> всем мире.

Тебе только Задорнову писать: http://www.zadornov.net/contact/

> > Второй антивирь для меня, конечно, не особый авторитетпервый
> не лучше

И все же. Как-то напрягает сообщение, что в моей программе какая-то борода сидит! Откуда? Вроде всегда было у меня на компе чисто. Тем более, эту прогу я сам компилю на Делфе.

← →
Anatoly Podgoretsky © (2009-08-18 16:49) [9]

> abun (18.08.2009 16:44:08) [8]

Тебя посодют

← →
Rouse_ © (2009-08-18 16:58) [10]

> Откуда? Вроде всегда было у меня на компе чисто. Тем более,
> эту прогу я сам компилю на Делфе.

Программа пакована? Пакована, причем PE заголовок оптимизирован, (не помню что именно там аспак делает - кажется выравнивание секций зажимает). С точки зрения большинства псевдоантивирусов, сие поведение для нормальной программы не есть кошерно, вот они и показывают что типа не просто так они на компе стоят: "вот она я хозяйн, вируса нашла, аднака". :)

← →
abun © (2009-08-18 16:59) [11]

> Anatoly Podgoretsky © (18.08.09 16:49) [9]
> > abun (18.08.2009 16:44:08) [8]Тебя посодют

"...а ты не воруй!" - знаем, это ©Ильф и Петров

Анатолий, а серьезнее? Или от вашего форума сегодня не ждать помощи?

← →
abun © (2009-08-18 17:10) [12]

> > Откуда? Вроде всегда было у меня на компе чисто. Тем более,
> > эту прогу я сам компилю на Делфе.Программа пакована?
> Пакована, причем PE заголовок оптимизирован, (не помню что
> именно там аспак делает - кажется выравнивание секций зажимает).
> С точки зрения большинства псевдоантивирусов, сие поведение
> для нормальной программы не есть кошерно, вот они и показывают
> что типа не просто так они на компе стоят: "вот она я хозяйн,
> вируса нашла, аднака". :)

Попробую не паковать.

← →
abun © (2009-08-18 17:10) [13]

Удалено модератором

← →
CSS (2009-08-18 17:50) [14]

Может вы про это:
http://programmersforum.ru/showthread.php?t=60120 - Delphi-“вирус” проверьте свою установленную Delphi!

:)

← →
Anatoly Podgoretsky © (2009-08-18 19:33) [15]

> abun (18.08.2009 16:59:11) [11]

А серьезно - не пакуй.

← →
TIF © (2009-08-18 22:55) [16]

Баян.
Читать до полного прояснения:
http://delphimaster.net/view/15-1246894995/

← →
abun © (2009-08-19 10:15) [17]

> Баян.Читать до полного прояснения:http://delphimaster.ru/cgi-
> bin/forum.pl?id=1246894995&n=3http://delphimaster.ru/cgi-
> bin/forum.pl?id=1246894995&n=3

Ну и в чем сила, брат?©Данила Б.
И что, в чем баян?
Обсуждение в этой ссылке тоже зашло в тупик - никаких толковых рекомендаций нет.

> И что, в чем баян?

В том, что не надо делать круглые глаза, когда на каком-то вирустотале какие-то "крутые" анотивирусы принимают проверяемый файл за страшное-престрашное троянское чудище

> Обсуждение в этой ссылке тоже зашло в тупик - никаких толковых
> рекомендаций нет.

Не вижу никакого тупика. После прочтения можно сделать простые выводы:
1) Ориентироваться на все антивирусные продукты сразу - бред. Выбирается только десяток самых распространённых. Всем не угодишь
2) Хорошую программу детектят как плохую? Если есть желание и адрес - пишем письмо разработчикам
3) Всё-таки если нам важнее
> но все же я хотел бы распространяя прогу показывать пользователю
> ссылку на отчет сервиса virustotal

а не уменьшение размера исполняемого файла, к примеру, то не пакуем exe, пренебрегаем упаковщиком во благо вирустотала

Если важнее размер - игнорируем вирустотал. Его вообще нельзя использовать как индикатор "смотрите, моя программа - не вирус". Никто не даст гарантию, что сегодня никто её не детектит, а завтра пользователь перейдёт по ссылке, сделает повторное сканирование и получит 3-4 результата "троян!" в списке.

С натяжкой можно использовать в качестве ярлыка "вирусов нет" проверки опять же самыми распространёнными продуктами (Касперский, NOD, Dr.Web), но и тут можно наколоться, хоть и вероятность в разы ниже.

А самое интересное, что нельзя 100% утверждать, что ПРОГРАММА АБСОЛЮТНО БЕЗВРЕДНА ДЛЯ ПОЛЬЗОВАТЕЛЯ, опираясь на результаты любых тестов и проверок. Это можно только утверждать после:
* Отправки файла в антивирусную лабораторию, где специалисты "разберут её по атомам". Проблема - кто только возьмётся за проверку какой-то там программы за просто-так? За денюжку может и проверят, и сертификат выпишут :) Я лично о таких услугах не слышал
* Сертификация программы в Microsoft, получение цифровой подписи. ДОРОГО. Программа будет подвержена тестированию независимыми экспертами, если всё пройдёт успешно, получит значок. Проблема - нужно много денег, нужно ежегодно их платить и, самое главное, ради значка программа и должна работать нормально. Если сертификация программы для Vista, то если прога пытается писать что-то в папку program files, то затея обречена. Даже деньги не помогут :)

4) Заключительный пункт. Чем программа сложнее и навороченнее, тем выше вероятность, что её не спутают ни с каким вирусом :)

PS: тут скорее зависит от репутации разработчика, скорее всего. Я вот для одной своей программки, для определённого сайта, сразу сделал оговорку - вы вводите свой логин и пароль от аккаунта, он хранится в таком-то файле. Мне ваш пароль нафик не нужен, я такой ерундой не занимаюсь. Личные данные тоже не краду.
Прошёл год. На вирустотале файлик детектился ;-) И сейчас вроде детектится каким-то "чудоантивирусом" (упаковывал программу UPX-ом, так что и неудивительно), но самое главное - жалоб "ах ты гад такой, украл пароль мой" от пользователей не было.

> на результаты любых тестов и проверок.

автоматических, имелось в виду :)

> TIF (19.08.2009 19:15:18) [18]

Лучше логотип в виде штампика - "вирусов нет"

* Сертификация программы в Microsoft, получение цифровой подписи. ДОРОГО. Программа будет подвержена тестированию независимыми экспертами, если всё пройдёт успешно, получит значок. Проблема - нужно много денег, нужно ежегодно их платить и, самое главное, ради значка программа и должна работать нормально.

Я хочу заметить что сертификация никак не обозначает что программа не вирус и не троян. Это частая ошибка многих юзеров.
Сертификация гарантирует лишь то, что InternetCrack.exe - это действительно InternetCrack.exe, а не WebmoneyHack.exe.

> Я хочу заметить что сертификация никак не обозначает что
> программа не вирус и не троян

Не совсем согласен.

http://delphimaster.net/view/15-1245585239/

http://download.microsoft.com/documents/rus/events/materials/Net_Architecture_Day/2009-04-08/05_Win7%20Certification.pdf

Windows 7 Logo - Требования • Не распространяйте вредоносное ПО (malware, spyware, ...)

Этот момент 100% будет проверяться (само собой при самой навороченной сертификации, когда тесты проводят эксперты, а не сам автор программы).
Но, само собой, тут тоже могут пропустить что-то вредоносное (года два назад читал, что какой-то там хакер хвастается "в висте появился UAC, у хороших программ с цифровыми подписями появляется иконка, у остальных нет. В данный момент сертифицирую своего трояна". Интересно, чем там дело закончилось), но уж если заметят подозрительный код - мало не покажется )))

> TIF © (20.08.09 01:59) [22]

Вы ж прекрасно понимаете что никакой 100% гарантии нет, даже 50% нет. Сомневаюсь что это все разбирается на байты, также очень сомневаюсь что тщательно тестируют. просто запускают в пакете антивирусы, и жизненный цикл в автомате, и тестер кнопкодав понажимает видные кнопки.

Ну не могут они указывать производителю что нужно поменять, где кнопку переставить, где поменять картинку. Также не будут они расписывать ваши баги, если они будут (иначе вы затянете с оплатой, а это будет долгая и долгая история).

Не распространяйте вредоносное ПО (malware,
spyware, ...)
• Не изменяйте ресурсы, защищенные WRP
• Используйте «чистую» установку и удаление
• Устанавливайте в корректные папки
• Поддерживайте Windows x64
• Соответствуйте требованиям UAC
• Не загружайте драйвера/сервисы в режиме Safe
Mode
• Не проверяйте версию ОС
• Не требуйте перезагрузки после
установки
• Поддерживайте многопользовательские
сессии
• Тестируйте приложения с помощью
Application Verifier

Вот и все требования. Часть из них просто рекомендации, которые нельзя проверить полностью. Ведь очевидна их цель - не протестировать ПО, а взять с вас деньги.

Короче, когда убрал упаковку с помощью Aspack"а, на вирустотале все чисто... :)
Всем спасибо за обсуждение.
P.S. Напомню, сию гениальную программу можно посмотреть тут: http://www.bestchange.info/prog.html

Backdoor.Hupigon.bnln и Heuristic.BehavesLike.Win32.O - что это?? Найти похожие ветки