Nod32 в файле /engine/inc/include/init.php находит вирус

[Sarvan 35]

Официальный дистрибутив DLE 9.6, из коробки.

Nod32 только, что в файле /engine/inc/include/init.php начал как будто бы находить вирус PHP/Kryptik.A

Недолго думав, скачал с сайта дистрибутив и залил этот файл на https://www.virustotal.com/

Анализ: https://www.virustot...sis/1340298212/

Владимир, думаю, пора писать нодавцам, чтобы убирали ложную сигнатуру.

Nod32 очень большой процент людей юзает.

[celsoft 6 007]

Спасибо за информацию, отправил запрос в их тех. поддержку.

[celsoft 6 007]

Получил подтверждение о устранении проблемы.

Проблема решена с версией базы данных № 7240

[Sarvan 35]

В № 7240 пока что палит. И работать не даёт в исключения пришлось прописать.

http://www.eset.eu/p...cia-7240?lng=en

Анализ: https://www.virustot...sis/1340365504/

Будем надеяться с завтрашним base update.

Изменено 22 июня 2012 пользователем Sarvan

[Nordstream 2]

Похоже, есетовцы занимаются банальными отписками. База сигнатур уже 7242 - конь не валялся...

[celsoft 6 007]

Будем надеяться с завтрашним base update.

сообщите о результатах после этого обновления.

[Sarvan 35]

Будем надеяться с завтрашним base update.

сообщите о результатах после этого обновления.

Хорошо.

В день обычно, раза 3 выходят обновления.

http://www.eset.eu/support/update-xy1

После № 7240 было уже два.

Воз, пока, что и ныне там...

[celsoft 6 007]

Отправил им еще раз повторный запрос, написал что ничего к сожалению не устранили.

Если вам несложно, отправьте отчет о ложном срабатывании антивируса и вы тоже. Чем больше пользователей жалуется, тем более внимательнее рассматривают проблему.

[Sarvan 35]

Отправил.

[Sarvan 35]

Собственно, что я писал.

Написал, что ложное срабатывания.

Приложил файл, отдельно оставил ссылку на файл залитый на yandex,

написал, откуда этот файл, что делает, от чего, указал думанию станицу dle-news.ru

ESET. Ответ на обращение № 653535

Здравствуйте.

22 23.06.2012

Для того, чтобы добавить файл (папку) в исключения, проделайте следующие действия:

Откройте антивирусную программу, нажмите клавишу F5 на клавиатуре. В дополнительных настройках выберите Компьютер - Исключения.

Нажимите клавишу "добавить" и укажите путь к файлу (папке), который нужно исключить из сканирования.

[celsoft 6 007]

Мне пока на повторный запрос ответов не было.

[Nordstream 2]

Вот я и говорю, что занимаются отписками. Они, походу, даже не читают обращения на перепроверку. А у роботов мозгов нет. Мне тоже самое письмо пришло, слово в слово.

Вместо того, чтобы устранить левое срабатывание, они учат пользователей есета, как правильно занести файл в исключения. И без разницы, что это за файл и к чему относится. Хохма!

Отправил ещё петицию. Возьмём измором! Посмотрим, чему ещё научат...

[celsoft 6 007]

Чтобы вам не мучаться с внесением файла в список исключений, я пересобрал данный файл, чтобы не было совпадений по их базам. Скачайте дистрибутив повторно и возмите файл с обновленного дистрибутива.

[Far06 0]

Мне, на запрос, даже пока ответа не пришло, хотя отвечают они оперативно.

Сelsoft, спасибо, обновился.

[celsoft 6 007]

Что то меня они пугают, сегодня после пары дней ожидания ответа пришел ответ:

На данный момент сайт не блокируется, пришлите, пожалуйста скриншот, на котором отображена блокировка Вашего сайта.

Причем здесь сайт? Когда речь шла о файле дистрибутива и высылался файл из дистрибутива, и описывалась проблема со скриптом, а не с каких либо сайтом, на сайты он итак никогда не срабатывал, потому как на сайте видно результаты работы скриптов, а не их содержание.

Мне приходилось уже иметь дело с ложными срабатываниями, и с контактами с антивирусными компаниями, и все без исключения в течении часа меняли свои базы и устраняли проблему, а тут какой то парадокс. Будем ждать развития событий, написал им еще раз повторно, повторно описал проблему.

[Nordstream 2]

Ваньку валяют, или, как я говорил ранее, не читают (или не вникают) то что им пишут, и какие проблемы описывают.

на сайты он и так никогда не срабатывал, потому как на сайте видно результаты работы скриптов, а не их содержание.

На сайты, расположенные на хостингах да, не влияет. А вот на денвере, лежат дубли сайтов, там нет-нет, да и сожрёт этот файл, после захода в один из разделов админки (нет времени выловить в каком разделе жрёт). Причём не всегда поедает, как это ни странно. Через раз-два-три. Странное поведение, непредсказуемое. Иной раз с нотепада этот файл поедает, иной раз пропускает безозрения совести...

При сканировании папки с движком, есет, с базами 7244, продолжает орать на файл, но в карантин файл попадает так-же через раз-два-три. Чего-то они там нахимичили.

Специально не вношу в исключения этот файл на денвере, не обновляю его там и всегда удаляю из карантина, чтобы посмотреть дальнейшие шаги есета.

p.s. Спасибо за пересобранный файл. На него, слава богу, не орёт. Обновился.

[celsoft 6 007]

Все получил шедевральный ответ:

В прилагаемом файле с помощью скрипта запутывается код, такой способ широко используется вирусописателями , чтобы избежать обнаружения вредоносных программ. Это причина того, что файл была в черном списке. Обнаружение останется неизменным. Это широко описанно в блоге: http://blog.eset.com...t-a-tangled-web

Исходя из того что у них написано в блоге, все сводится к тому что что они будут вносить все JS или PHP файлы, которые были сжаты или закрыты для редактирования в свои списки баз. И менять они эту политику не будут. Шедеврально, что еще можно сказать. Меняйте ребята антивирус на любой другой, я в данной ситуации бессилен и не могу повлиять на них.

p.s. Спасибо за пересобранный файл. На него, слава богу, не орёт. Обновился.

Это к сожалению ненадолго их политка вносить все файлы закрытые файлы в черные списки.

С учетом сообщения:

As it happens, the IEEE Malware Working Group, of which ESET is a member, has been working for some time with some of the major packer companies on a system for making it possible to blacklist individual (mis)users of the software rather than the software itself. (Vendors with an approach based on whitelisting and/or reputation services may also find approach more useful.)

We hope that this will introduce some significant benefits to companies like Themida, to AV vendors, and (most importantly, some would say!) to the customer, whereas current piecemeal approaches to blacklisting and whitelisting have only limited, short-term effectiveness. Which is why, at present, AV vendors tend to favour a more generic approach that benefits the majority.

и того что им сообщили и предоставили нормальный файл, и это один из самых популярных упаковщиков, на что получили ответ, что собственно нам по "барабану". Можно смело утверждать что ложные срабатывания будут повторятся со временем не только на DLE но и на многие другие скрипты. Так что моя рекомендация это менять антивирус, по одной простой причине, крайне непрофессиональных подход к своей работе, со стороны антивирусной компании, и как следствие думаю такой же подход собственно и к выявлению реальных вирусов. Потому как обмануть антивирусник реальным вирусописателем проще простого, они проверяют не вирусные сигнатуры, а то чем был упакован код. Изменил пару строк при упаковке и получил вирус, который будет прекрасно пропускаться антивирусной программой.

Буду использовать последний шанс, напишу в английскую службу поддержки данного антивируса, в надежде что возможно там будет хотя бы более менее профессиональный подход к проблеме. Если нет, то к сожалению я буду вынужден умыть руки, помочь более ничем я в данной проблеме вам не смогу. Вам придется менять антивирусную программу или с каждой версией вносить файл в список безопасных.

[Sarvan 35]

Да, ладно нельзя судить, о компании по представительству в России.

Я думаю, не обошлось и без человеческого фактора, возможно, поступило очень много жалоб, был какой проспам.

Этот файл довольно распространён в сети и не мне рассказывать, что туда запаковывают.

Изменено 25 июня 2012 пользователем Sarvan

[celsoft 6 007]

Да, ладно нельзя судить, о компании по представительству в России.

Пока не знаю, я надеюсь что не так. Поэтому отписал сейчас в английскую службу поддержки. Посмотрим. Я искренне еще продолжаю надеятся что проблема будет устранена.

[Adobe 111]

Это финиш) Видел таких товарищей, которые использует эти "илитные" антивирусы вроде нод32 и авасты, которые по большей части только делают вид, что чего то там происходит. Ну и конечно же от этого компьютер не тормозит (действительно, как от ничего не делания может что то тормозить) значит он лучший! А касперский плохой! Он же "системы грузит"

[ower_xz 117]

Это финиш) Видел таких товарищей, которые использует эти "илитные" антивирусы вроде нод32 и авасты, которые по большей части только делают вид, что чего то там происходит. Ну и конечно же от этого компьютер не тормозит (действительно, как от ничего не делания может что то тормозить) значит он лучший! А касперский плохой! Он же "системы грузит" Изображение

+100500

[Nordstream 2]

Будет вам и финиш, и +100500, когда, в один прекрасный момент, есет (а вместе с ним и все остальные), встанут в третью позу, а наутро, проснувшись, вы обнаружите на всех своих сайтах, и во всех браузерах, замечательную красную табличку "Не влезай, убьёт!" А вы, равно как и все вебмастера, при этом потеряете весь свой трафик на dle-сайтах.

Дело то ведь совсем не в том, чьи шаровары шире, и кто чем пользуется, а в том, почему, из целой кучи антивирусников, только есет взял на себя роль вершителя судьбы этого файла?

Пусть, представим, даже, только есет сделает вам до свидания ручкой (а он может это сделать, не сомневайтесь) - потом подсчитаете потерянных пользователей (поинтересуйтесь процентом юзеров, использующих этот вирь по всему миру), и прослезитесь. А потом и объясните им (юзерам), что они пользуются хернёй, и им нужно сменить антивирус... Как вам такой расклад?

[ower_xz 117]

Nordstream, ну уж такой триллер вряд ли будет когда. На вкус и цвет, как говорится... А вот опыт, подтверженный многолетней практикой, лучший советчик, как и десятки компьютеров пользователей, которые приходилось лечить за эти годы после использования nod, drweb, avast, avira и т.д., которые видят вирусы там, где их нет, и не видят, где они действительно есть.

А насчет потери трафика - это все ерунда... У поисковиков свои методы проверки на вирусы...

Изменено 25 июня 2012 пользователем ower_xz

[alex32 938]

nod, drweb, avast, avira и т.д., которые видят вирусы там, где их нет, и не видят, где они действительно есть.

А вы не думали, что то же самое относится и к вашему хваленому касперу?

[ower_xz 117]

А вы не думали, что то же самое относится и к вашему хваленому касперу?

Не-а!