Перейти к публикации

Nod32 в файле /engine/inc/include/init.php находит вирус


Рекомендованные сообщения

Официальный дистрибутив DLE 9.6, из коробки.

Nod32 только, что в файле /engine/inc/include/init.php начал как будто бы находить вирус PHP/Kryptik.A

Недолго думав, скачал с сайта дистрибутив и залил этот файл на https://www.virustotal.com/

2fa65769a1fd.jpg

Анализ: https://www.virustot...sis/1340298212/

Владимир, думаю, пора писать нодавцам, чтобы убирали ложную сигнатуру.

Nod32 очень большой процент людей юзает.

Ссылка на сообщение
Поделиться на других сайтах

Получил подтверждение о устранении проблемы.

Проблема решена с версией базы данных № 7240

Ссылка на сообщение
Поделиться на других сайтах

В № 7240 пока что палит. И работать не даёт в исключения пришлось прописать.

http://www.eset.eu/p...cia-7240?lng=en

Анализ: https://www.virustot...sis/1340365504/

Будем надеяться с завтрашним base update.

Изменено пользователем Sarvan
Ссылка на сообщение
Поделиться на других сайтах

Будем надеяться с завтрашним base update.

сообщите о результатах после этого обновления.

Ссылка на сообщение
Поделиться на других сайтах

Будем надеяться с завтрашним base update.

сообщите о результатах после этого обновления.

Хорошо.

В день обычно, раза 3 выходят обновления.

После № 7240 было уже два.

Воз, пока, что и ныне там...

Ссылка на сообщение
Поделиться на других сайтах

Отправил им еще раз повторный запрос, написал что ничего к сожалению не устранили.

Если вам несложно, отправьте отчет о ложном срабатывании антивируса и вы тоже. Чем больше пользователей жалуется, тем более внимательнее рассматривают проблему.

Ссылка на сообщение
Поделиться на других сайтах

Собственно, что я писал.

Написал, что ложное срабатывания.

Приложил файл, отдельно оставил ссылку на файл залитый на yandex,

написал, откуда этот файл, что делает, от чего, указал думанию станицу dle-news.ru

ESET. Ответ на обращение № 653535

Здравствуйте.

22 23.06.2012

Для того, чтобы добавить файл (папку) в исключения, проделайте следующие действия:

Откройте антивирусную программу, нажмите клавишу F5 на клавиатуре. В дополнительных настройках выберите Компьютер - Исключения.

Нажимите клавишу "добавить" и укажите путь к файлу (папке), который нужно исключить из сканирования.

Ссылка на сообщение
Поделиться на других сайтах

Вот я и говорю, что занимаются отписками. Они, походу, даже не читают обращения на перепроверку. А у роботов мозгов нет. Мне тоже самое письмо пришло, слово в слово.

Вместо того, чтобы устранить левое срабатывание, они учат пользователей есета, как правильно занести файл в исключения. И без разницы, что это за файл и к чему относится. Хохма!

Отправил ещё петицию. Возьмём измором! Посмотрим, чему ещё научат...

Ссылка на сообщение
Поделиться на других сайтах

Чтобы вам не мучаться с внесением файла в список исключений, я пересобрал данный файл, чтобы не было совпадений по их базам. Скачайте дистрибутив повторно и возмите файл с обновленного дистрибутива.

Ссылка на сообщение
Поделиться на других сайтах

Что то меня они пугают, сегодня после пары дней ожидания ответа пришел ответ:

На данный момент сайт не блокируется, пришлите, пожалуйста скриншот, на котором отображена блокировка Вашего сайта.

Причем здесь сайт? Когда речь шла о файле дистрибутива и высылался файл из дистрибутива, и описывалась проблема со скриптом, а не с каких либо сайтом, на сайты он итак никогда не срабатывал, потому как на сайте видно результаты работы скриптов, а не их содержание.

Мне приходилось уже иметь дело с ложными срабатываниями, и с контактами с антивирусными компаниями, и все без исключения в течении часа меняли свои базы и устраняли проблему, а тут какой то парадокс. Будем ждать развития событий, написал им еще раз повторно, повторно описал проблему.

Ссылка на сообщение
Поделиться на других сайтах

Ваньку валяют, или, как я говорил ранее, не читают (или не вникают) то что им пишут, и какие проблемы описывают.

на сайты он и так никогда не срабатывал, потому как на сайте видно результаты работы скриптов, а не их содержание.

На сайты, расположенные на хостингах да, не влияет. А вот на денвере, лежат дубли сайтов, там нет-нет, да и сожрёт этот файл, после захода в один из разделов админки (нет времени выловить в каком разделе жрёт). Причём не всегда поедает, как это ни странно. Через раз-два-три. Странное поведение, непредсказуемое. Иной раз с нотепада этот файл поедает, иной раз пропускает безозрения совести...

При сканировании папки с движком, есет, с базами 7244, продолжает орать на файл, но в карантин файл попадает так-же через раз-два-три. Чего-то они там нахимичили.

Специально не вношу в исключения этот файл на денвере, не обновляю его там и всегда удаляю из карантина, чтобы посмотреть дальнейшие шаги есета.

p.s. Спасибо за пересобранный файл. На него, слава богу, не орёт. Обновился.

Ссылка на сообщение
Поделиться на других сайтах

Все получил шедевральный ответ:

В прилагаемом файле с помощью скрипта запутывается код, такой способ широко используется вирусописателями , чтобы избежать обнаружения вредоносных программ. Это причина того, что файл была в черном списке. Обнаружение останется неизменным. Это широко описанно в блоге: http://blog.eset.com...t-a-tangled-web

Исходя из того что у них написано в блоге, все сводится к тому что что они будут вносить все JS или PHP файлы, которые были сжаты или закрыты для редактирования в свои списки баз. И менять они эту политику не будут. Шедеврально, что еще можно сказать. Меняйте ребята антивирус на любой другой, я в данной ситуации бессилен и не могу повлиять на них.

p.s. Спасибо за пересобранный файл. На него, слава богу, не орёт. Обновился.

Это к сожалению ненадолго их политка вносить все файлы закрытые файлы в черные списки.

С учетом сообщения:

As it happens, the IEEE Malware Working Group, of which ESET is a member, has been working for some time with some of the major packer companies on a system for making it possible to blacklist individual (mis)users of the software rather than the software itself. (Vendors with an approach based on whitelisting and/or reputation services may also find approach more useful.)

We hope that this will introduce some significant benefits to companies like Themida, to AV vendors, and (most importantly, some would say!) to the customer, whereas current piecemeal approaches to blacklisting and whitelisting have only limited, short-term effectiveness. Which is why, at present, AV vendors tend to favour a more generic approach that benefits the majority.

и того что им сообщили и предоставили нормальный файл, и это один из самых популярных упаковщиков, на что получили ответ, что собственно нам по "барабану". Можно смело утверждать что ложные срабатывания будут повторятся со временем не только на DLE но и на многие другие скрипты. Так что моя рекомендация это менять антивирус, по одной простой причине, крайне непрофессиональных подход к своей работе, со стороны антивирусной компании, и как следствие думаю такой же подход собственно и к выявлению реальных вирусов. Потому как обмануть антивирусник реальным вирусописателем проще простого, они проверяют не вирусные сигнатуры, а то чем был упакован код. Изменил пару строк при упаковке и получил вирус, который будет прекрасно пропускаться антивирусной программой.

Буду использовать последний шанс, напишу в английскую службу поддержки данного антивируса, в надежде что возможно там будет хотя бы более менее профессиональный подход к проблеме. Если нет, то к сожалению я буду вынужден умыть руки, помочь более ничем я в данной проблеме вам не смогу. Вам придется менять антивирусную программу или с каждой версией вносить файл в список безопасных.

Ссылка на сообщение
Поделиться на других сайтах

Да, ладно нельзя судить, о компании по представительству в России. :)

Я думаю, не обошлось и без человеческого фактора, возможно, поступило очень много жалоб, был какой проспам.

Этот файл довольно распространён в сети и не мне рассказывать, что туда запаковывают.

Изменено пользователем Sarvan
Ссылка на сообщение
Поделиться на других сайтах

Да, ладно нельзя судить, о компании по представительству в России.

Пока не знаю, я надеюсь что не так. Поэтому отписал сейчас в английскую службу поддержки. Посмотрим. Я искренне еще продолжаю надеятся что проблема будет устранена.

Ссылка на сообщение
Поделиться на других сайтах

Это финиш) Видел таких товарищей, которые использует эти "илитные" антивирусы вроде нод32 и авасты, которые по большей части только делают вид, что чего то там происходит. Ну и конечно же от этого компьютер не тормозит (действительно, как от ничего не делания может что то тормозить:)) значит он лучший! А касперский плохой! Он же "системы грузит" fp.gif

Ссылка на сообщение
Поделиться на других сайтах

Это финиш) Видел таких товарищей, которые использует эти "илитные" антивирусы вроде нод32 и авасты, которые по большей части только делают вид, что чего то там происходит. Ну и конечно же от этого компьютер не тормозит (действительно, как от ничего не делания может что то тормозить:)) значит он лучший! А касперский плохой! Он же "системы грузит" Изображение

+100500

Ссылка на сообщение
Поделиться на других сайтах

Будет вам и финиш, и +100500, когда, в один прекрасный момент, есет (а вместе с ним и все остальные), встанут в третью позу, а наутро, проснувшись, вы обнаружите на всех своих сайтах, и во всех браузерах, замечательную красную табличку "Не влезай, убьёт!" А вы, равно как и все вебмастера, при этом потеряете весь свой трафик на dle-сайтах.

Дело то ведь совсем не в том, чьи шаровары шире, и кто чем пользуется, а в том, почему, из целой кучи антивирусников, только есет взял на себя роль вершителя судьбы этого файла?

Пусть, представим, даже, только есет сделает вам до свидания ручкой (а он может это сделать, не сомневайтесь) - потом подсчитаете потерянных пользователей (поинтересуйтесь процентом юзеров, использующих этот вирь по всему миру), и прослезитесь. А потом и объясните им (юзерам), что они пользуются хернёй, и им нужно сменить антивирус... Как вам такой расклад?

Ссылка на сообщение
Поделиться на других сайтах

Nordstream, ну уж такой триллер вряд ли будет когда. На вкус и цвет, как говорится... А вот опыт, подтверженный многолетней практикой, лучший советчик, как и десятки компьютеров пользователей, которые приходилось лечить за эти годы после использования nod, drweb, avast, avira и т.д., которые видят вирусы там, где их нет, и не видят, где они действительно есть.

А насчет потери трафика - это все ерунда... У поисковиков свои методы проверки на вирусы...

Изменено пользователем ower_xz
Ссылка на сообщение
Поделиться на других сайтах
nod, drweb, avast, avira и т.д., которые видят вирусы там, где их нет, и не видят, где они действительно есть.
А вы не думали, что то же самое относится и к вашему хваленому касперу?
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...