Polski

Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Wszelkie sprawy techniczne związane z EXEkami.
Uwagi mile widziane.
Anthrox W tym temacie chciałbym Wam uświadomić wraz z przykładami dlaczego exeki traktowane są jako wirusy.
Image

Zacznijmy od początku.
The Company zawsze zależało, aby robić doskonałe, amigowe exeki.
Pierwsze exeki były "ciężkie", długo się ładowały, zawierały w sobie nielegalne klucze (chociaż ukryte), o które pluli
się niektórzy amigowcy, larum szedł o kickstarta amigowego (rom)...
Nie obyło się bez idiotycznych prób szantażu - oto próbka niejakiego "hakera" skrywającego się za siecią TOR pod kryptonimem amim4n :
Image

Jednak mój komentarz na ten humorystyczny, kuriozalny list pozwolę sobie odłożyć, a wytłumaczę Wam w wersji rozszerzonej - dlaczego w niektórych exekach v2.5 wykrywa wirusy i czy jest czego się bać.

Code: Select all

Dlaczego The Company zrobiło taką fuszerkę?

Jak już wyżej pisałem, pierwsze exeki były "ciężkie".
Z początku to wystarczało, to była tylko próbka - zrobiona na użytek własny i puszczona na emulacji.net

Jak sprawa nabrała poważności, ekipa zaczęła rosnąć (olesio, esial) przyszedł czas na dopieszczanie.
Zaczęliśmy więc szukać odpowiednich technik minimalizowania rozmiaru kodu, ponieważ mimo krojenia końcowy rozmiar "silnika*" exeków nie był profesjonalnie mały. Analizowaliśmy różne techniki kompresji, które pozwalałyby zachować ich minimalną wielkość, ale równocześnie pełną funkcjonalność dla użytkownika, jaką powinien dawać EXE'k.

*mam tutaj na myśli rozmiar exeka bez żadnej gry.

Jednocześnie nie chcieliśmy, aby nasza technika produkcji została skopiowana przez gimbusów.
Dlatego zależało nam, aby kompresja była jednym z zabezpieczeń - utrudniając, a raczej uniemożliwiając niedoszłym cwaniaczkom używania np. naszego Demonic Window.

Myślę, że nasza decyzja jest zrozumiała i jest jasne dlaczego nie chcemy się dzielić naszym doświadczeniem tworzenia exeków - no chyba, że ktoś dołącza do ekipy i zostaje przez nas zweryfikowany.

Cyt. jednego z wielu komentarzy, który nas w tym utwierdził:
Ktoś ma program, który zrobi mi exeka z grą, bo mam wyjebkę na TC i nie chce mi się czekać na moją ulubioną grę Samurai Showdown Classiek? Koniecznie z instrukcją.

Pomijam już fakt, że taki EXE-Maker nie istnieje, ale pomyślmy: nawet gdyby istniał, chyba lepiej coś wnieść do już istniejącego projektu niż konkurować z TC?

Dlaczego o tym mówię? To szyfrowanie było właśnie chorobą wieku dziecięcego exeków.
Zapomnieliśmy, że utrudniając analizowanie kodu exeka tak naprawdę zabezpieczyliśmy się też przed "legalnymi"
analizatorami jakimi są antywirusy.
To z tego powodu (jak się dowiemy dalej nie tylko z tego), interpretują one kod jak malware/wirusy. Przezornie :-)

Code: Select all

Ho-ho-ho, myślisz, że ktoś Ci uwierzy? Jak udowodnisz, że to co mówisz jest prawdą?

W sumie nie muszę ale mam dobry humor, a szkoda nie rozwinąć wreszcie tematu, zamiast mydlić oczy, że to fałszywy alarm.

Weźmy aplikację PE jaką jest nasz poczciwy WinUAE (zakładam, że mamy już ten plik na dysku).

Przykład #1

1. Wrzucamy plik WinUAE.exe na stronę VirusTotal
Image

2. Co to się okazało? Że ktoś tydzień temu sprawdzał ten plik i 46 silników antywirusowych wykryło w nim 0 wirusów. JEST DOBRZE!
3. Spakujmy sobie ten pliczek dosyć znanym konkurentem UPX - programem MPRESS:
  • Ściągamy program MPRESS
  • Plik mpress.exe wrzucamy do katalogu z WinUAE
  • Uruchamiamy CMD.exe (konsolę systemu windows)
  • Robimy coś takiego i czekamy...:
  • mpress_start.png

  • Gotowe!
  • mpress_koniec.png


4. Łał, nasz exek WinUAE skurczył się do mniejszych rozmiarów! Zamiast 8MB zajmuje "tylko" 2.10MB - i można go odpalać z dwuklika, nie trzeba go "wypakowywać" - mama byłaby z Was dumna.
5. Wrzućmy taki mniejszy exek na Virus Total i zobaczmy, jak zareagowały na niego silniki antyvirusowe.
Image

Oooo, co się okazuje? Jakbyśmy posiadali antywirusa: McAfee-GW-Edition wykryłby on wirusa: Heuristic.BehavesLike.Win32.Suspicious-BAY.O

Code: Select all

Anthrox, zauważ, że autor MPRESS'a nie udostępnia source'a programu - po latach kto wie, czy nie wyjdzie aferka, że gościu rzeczywiście nie dodał jakiegoś exploita na życzenie "służb specjalnych".

Przetestujmy zatem jak zareagują antywirusy na kompresor UPX, który posiada otwarty source - wszystkie zasady jasne, nie powinno być niespodzianek (zakładamy, że skompilowany program UPX! nie zawiera w sobie niczego dodatkowego niż jest w udostępnionym kodzie - aby mieć 100% pewność trzeba by skompilować kod z sourceforge'a -> ale myślę, że nie ma takiej potrzeby.)

GO!

Przykład #2

1. Ściągamy program UPX! ze sourceforge oraz dla ułatwienia nakładkę GUI -> FreeUPX, która jest dziełem naszego rodaka Jacka Pazery.
2. Instalujemy FreeUPX, oraz do katalogu z programem rozpakowujemy UPX! (aby mieć pewność, że mamy najnowszą wersję kompresora - Jacek nie zawsze prędko aktualizuje program)
3. Przeciągamy WinUAE.exe (oczywiście oryginalnego exeka 8MB, a nie skompresowanego 2MB) na okno FreeUPX, zaznaczamy opcje słabej kompresji i jedziemy! - wciskamy przycisk COMPRESS
upx_low.png


4. Cóż, UPX nam nie zaimponował - exek wyjściowy ma ponad 3MB!
5. Wrzucamy na stronę VirusTotal i...
upx_low_virustotal.png

No, no! Zero wirusów!

Code: Select all

A nie mówiłem? Gdybyś używał UPX'a nie byłoby tych problemów, zawsze możesz ustawić mocniejszą kompresję.


6. Fakt, sprawdźmy zatem wybierając najmocniejszy profil kompresji:
Image
(sugeruję uzbroić się w cierpliwość - UPX jest wolniejszy od MPRESSa przy tak mocnym kompresowaniu)

Wyniki prezentują się następująco:
Image

Różnica: 18432 bajty na niekorzyść UPX'a

7. No cóż, jest lepiej, ale UPX i tym razem nam nie zaimponował - mało, że się naczekaliśmy, to rozmiar exeka jest nadal nieco większy niż ten sam skompresowany MPRESSem (w międzyczasie jak UPX! sobie pakował MPRESS'em skompresowałem inną metodą na test, czy plik będzie mniejszy)

=> dobra, nie róbmy afery o "marne" ~20 kB ->czego nie robi się, aby programom antywirusowym zrobić dobrze? To najprostsza droga, skoro niektóre firmy potrafią olać sprawę jak chociażby support *cenzura* - niby można zgłosić wątpliwe exeki, które zostaną sprawdzone i ew. dodane na "białą listę" - spróbowałem i się zawiodłem. Za wysokie progi na pirackie nogi :gatorlove:
Oczywiście są chlubne wyjątki, ale nie oszukujmy się -> na 46 firm kilka(naście?) na pewno się wyłamie.

Z drugiej strony ich rozumiem - dlaczego mają aktualizować swoje niezawodny algorytmy dla osoby reprezentującą mało znaną firmę ]:-> .

8. Wrzućmy plik i zobaczmy na VirusTotal, czy poświęcenie rozmiaru exeka korzystnie wpłynie na ilość wykrywanych fałszywych alarmów.
9. Raport:
Image

BitDefender -------------- Gen:Variant.Barys.50
Emsisoft ------------------ Gen:Variant.Barys.50 (B)
F-Secure ------------------ Gen:Variant.Barys.50
GData --------------------- Gen:Variant.Barys.50
MicroWorld-eScan ------- Gen:Variant.Barys.50

Niemożliwe! Czyżby na jaw wyszło, że przy mocnej kompresji dodaje się jakiś wirus?

Code: Select all

Hmmmm, może rzeczywiście coś w tym musi być, skoro aż 5 programów się pluło - trzeba będzie zrobić test z własnoręcznie skompilowaną binarką!

Nie chce mi się. Zrobimy prostszy test.

Skoro nie ma ŻADNYCH wirusów przy kompresji LOW, zmieńmy parę bajtów...

1. Używając HexEditora (jest to program pozwalający edytować plik binarny, jakim jest plik .exe) otwórzmy winuae.exe, który został spakowany upxem, metodą lekką.

2. Na samym początku pliku da się zauważyć napisy "UPX":
UPX_string.png


3. Wyedytujmy ten "autograf" zmieniając "UPX" na "SEX" :prawytroll: :
UPX_string_fake.png


4. Zapisujemy zmiany, wrzucamy na VirusTotal.

5. Raport:
antyvir_troll.png


Okazuje się, że strollowaliśmy dwa silniki antywirusowe:
Agnitum -------------- Suspicious!SA
eSafe -------------- Suspicious File

Dosyć mało, ale ze względu na późną porę, pokażę tylko mój osobisty rekord, jaki można osiągnąć zmieniając po prostu parę bajtów:
Image

AntiVir--------------------TR/Crypt.XPACK.Gen
AVG-----------------------Win32/Heur
BitDefender--------------Trojan.Generic.8399328
F-Secure------------------Trojan.Generic.8399328
Fortinet-------------------Malware_fam.NB
GData---------------------Trojan.Generic.8399328
Ikarus---------------------Virus.Win32.Heur
McAfee--------------------Artemis!41A9F73D0A91
McAfee-GW-Edition------Artemis!41A9F73D0A91
MicroWorld-eScan--------Trojan.Generic.8399328
nProtect-------------------Trojan.Generic.8399328
Panda----------------------Suspicious-file
Sophos---------------------Mal/EncPk-ZE
Symantec------------------WS.Reputation.1
TrendMicro-HouseCall---TROJ_GEN.R47H1LB
VIPRE----------------------Trojan.Win32.Generic!BT

Podsumowanie:
Cóż mogę napisać... albo jestem genialnym programistą, który potrafi zmieścić wirusa w 1 bajcie, albo ktoś tu oszukuje Was, biedne owieczki...

Code: Select all

Lejesz wodę, ale tłumaczysz się w miarę przekonująco, ale nadal Ci nie wierzę!

Nie trzeba mi wierzyć. Wystarczy poczekać na exeki v2.6, w których już nie powinno wykrywać fałszywych alarmów.
Raport:
Image

Idziemy nawet o krok dalej. Chcemy zabezpieczyć Was przed zawirusowanymi exekami (chociaż z takimi przypadkami jeszcze się nie spotkaliśmy).
W finalnej wersji exek będzie się łączył do strony http://www.thecompany.pl i sprawdzał, czy suma kontrolna exeka się zgadza:
suma_md5.png


Oprócz tego zabezpieczenia będziecie wiedzieć, czy wyszła nowa wersja exeka, bo nawet jak zmieni się malutki fragment pokroju "UPX" -> "SEX" suma kontrolna jest całkowicie inna - przez co łatwo wykryć, czy ktoś nie dłubał przy exekach TC.
Oczywiście nic nie będzie stało na przeszkodzie, aby exeki zablokować w firewallu, ale o tym pogadamy w innej opowieści :tuptup1:

Code: Select all

Wszystko pięknie, ładnie i elegancko - ale nie wytłumaczyłeś się dlaczego w niektórych exekach v2.5 wirusy są wykrywane, a w niektórych wcale

To proste!
Każdy exek ma indywidualny silnik, więc jeżeli wyjdzie nowy engine, to dopiero po pewnym czasie "stare exeki" zostają zaktualizowane.
Nieraz ten okres wydłuża się ;)

PS
Gdyby obrazki przestały działać - dajcie znać :gatorlove:
Page 1 of 2 2 https://forum.thecompany.pl/exe-pytania-techniczne/wirusy-adware-exekach-oficjalne-wytlumaczenie-t2350.html
2012-12-18T01:43:46+01:00
W tym temacie chciałbym Wam uświadomić wraz z przykładami dlaczego exeki traktowane są jako wirusy.
Image

Zacznijmy od początku.
The Company zawsze zależało, aby robić doskonałe, amigowe exeki.
Pierwsze exeki były "ciężkie", długo się ładowały, zawierały w sobie nielegalne klucze (chociaż ukryte), o które pluli
się niektórzy amigowcy, larum szedł o kickstarta amigowego (rom)...
Nie obyło się bez idiotycznych prób szantażu - oto próbka niejakiego "hakera" skrywającego się za siecią TOR pod kryptonimem amim4n :
Image

Jednak mój komentarz na ten humorystyczny, kuriozalny list pozwolę sobie odłożyć, a wytłumaczę Wam w wersji rozszerzonej - dlaczego w niektórych exekach v2.5 wykrywa wirusy i czy jest czego się bać.

Code: Select all

Dlaczego The Company zrobiło taką fuszerkę?

Jak już wyżej pisałem, pierwsze exeki były "ciężkie".
Z początku to wystarczało, to była tylko próbka - zrobiona na użytek własny i puszczona na emulacji.net

Jak sprawa nabrała poważności, ekipa zaczęła rosnąć (olesio, esial) przyszedł czas na dopieszczanie.
Zaczęliśmy więc szukać odpowiednich technik minimalizowania rozmiaru kodu, ponieważ mimo krojenia końcowy rozmiar "silnika*" exeków nie był profesjonalnie mały. Analizowaliśmy różne techniki kompresji, które pozwalałyby zachować ich minimalną wielkość, ale równocześnie pełną funkcjonalność dla użytkownika, jaką powinien dawać EXE'k.

*mam tutaj na myśli rozmiar exeka bez żadnej gry.

Jednocześnie nie chcieliśmy, aby nasza technika produkcji została skopiowana przez gimbusów.
Dlatego zależało nam, aby kompresja była jednym z zabezpieczeń - utrudniając, a raczej uniemożliwiając niedoszłym cwaniaczkom używania np. naszego Demonic Window.

Myślę, że nasza decyzja jest zrozumiała i jest jasne dlaczego nie chcemy się dzielić naszym doświadczeniem tworzenia exeków - no chyba, że ktoś dołącza do ekipy i zostaje przez nas zweryfikowany.

Cyt. jednego z wielu komentarzy, który nas w tym utwierdził:
Ktoś ma program, który zrobi mi exeka z grą, bo mam wyjebkę na TC i nie chce mi się czekać na moją ulubioną grę Samurai Showdown Classiek? Koniecznie z instrukcją.

Pomijam już fakt, że taki EXE-Maker nie istnieje, ale pomyślmy: nawet gdyby istniał, chyba lepiej coś wnieść do już istniejącego projektu niż konkurować z TC?

Dlaczego o tym mówię? To szyfrowanie było właśnie chorobą wieku dziecięcego exeków.
Zapomnieliśmy, że utrudniając analizowanie kodu exeka tak naprawdę zabezpieczyliśmy się też przed "legalnymi"
analizatorami jakimi są antywirusy.
To z tego powodu (jak się dowiemy dalej nie tylko z tego), interpretują one kod jak malware/wirusy. Przezornie :-)

Code: Select all

Ho-ho-ho, myślisz, że ktoś Ci uwierzy? Jak udowodnisz, że to co mówisz jest prawdą?

W sumie nie muszę ale mam dobry humor, a szkoda nie rozwinąć wreszcie tematu, zamiast mydlić oczy, że to fałszywy alarm.

Weźmy aplikację PE jaką jest nasz poczciwy WinUAE (zakładam, że mamy już ten plik na dysku).

Przykład #1

1. Wrzucamy plik WinUAE.exe na stronę VirusTotal
Image

2. Co to się okazało? Że ktoś tydzień temu sprawdzał ten plik i 46 silników antywirusowych wykryło w nim 0 wirusów. JEST DOBRZE!
3. Spakujmy sobie ten pliczek dosyć znanym konkurentem UPX - programem MPRESS:
  • Ściągamy program MPRESS
  • Plik mpress.exe wrzucamy do katalogu z WinUAE
  • Uruchamiamy CMD.exe (konsolę systemu windows)
  • Robimy coś takiego i czekamy...:
  • mpress_start.png

  • Gotowe!
  • mpress_koniec.png


4. Łał, nasz exek WinUAE skurczył się do mniejszych rozmiarów! Zamiast 8MB zajmuje "tylko" 2.10MB - i można go odpalać z dwuklika, nie trzeba go "wypakowywać" - mama byłaby z Was dumna.
5. Wrzućmy taki mniejszy exek na Virus Total i zobaczmy, jak zareagowały na niego silniki antyvirusowe.
Image

Oooo, co się okazuje? Jakbyśmy posiadali antywirusa: McAfee-GW-Edition wykryłby on wirusa: Heuristic.BehavesLike.Win32.Suspicious-BAY.O

Code: Select all

Anthrox, zauważ, że autor MPRESS'a nie udostępnia source'a programu - po latach kto wie, czy nie wyjdzie aferka, że gościu rzeczywiście nie dodał jakiegoś exploita na życzenie "służb specjalnych".

Przetestujmy zatem jak zareagują antywirusy na kompresor UPX, który posiada otwarty source - wszystkie zasady jasne, nie powinno być niespodzianek (zakładamy, że skompilowany program UPX! nie zawiera w sobie niczego dodatkowego niż jest w udostępnionym kodzie - aby mieć 100% pewność trzeba by skompilować kod z sourceforge'a -> ale myślę, że nie ma takiej potrzeby.)

GO!

Przykład #2

1. Ściągamy program UPX! ze sourceforge oraz dla ułatwienia nakładkę GUI -> FreeUPX, która jest dziełem naszego rodaka Jacka Pazery.
2. Instalujemy FreeUPX, oraz do katalogu z programem rozpakowujemy UPX! (aby mieć pewność, że mamy najnowszą wersję kompresora - Jacek nie zawsze prędko aktualizuje program)
3. Przeciągamy WinUAE.exe (oczywiście oryginalnego exeka 8MB, a nie skompresowanego 2MB) na okno FreeUPX, zaznaczamy opcje słabej kompresji i jedziemy! - wciskamy przycisk COMPRESS
upx_low.png


4. Cóż, UPX nam nie zaimponował - exek wyjściowy ma ponad 3MB!
5. Wrzucamy na stronę VirusTotal i...
upx_low_virustotal.png

No, no! Zero wirusów!

Code: Select all

A nie mówiłem? Gdybyś używał UPX'a nie byłoby tych problemów, zawsze możesz ustawić mocniejszą kompresję.


6. Fakt, sprawdźmy zatem wybierając najmocniejszy profil kompresji:
Image
(sugeruję uzbroić się w cierpliwość - UPX jest wolniejszy od MPRESSa przy tak mocnym kompresowaniu)

Wyniki prezentują się następująco:
Image

Różnica: 18432 bajty na niekorzyść UPX'a

7. No cóż, jest lepiej, ale UPX i tym razem nam nie zaimponował - mało, że się naczekaliśmy, to rozmiar exeka jest nadal nieco większy niż ten sam skompresowany MPRESSem (w międzyczasie jak UPX! sobie pakował MPRESS'em skompresowałem inną metodą na test, czy plik będzie mniejszy)

=> dobra, nie róbmy afery o "marne" ~20 kB ->czego nie robi się, aby programom antywirusowym zrobić dobrze? To najprostsza droga, skoro niektóre firmy potrafią olać sprawę jak chociażby support *cenzura* - niby można zgłosić wątpliwe exeki, które zostaną sprawdzone i ew. dodane na "białą listę" - spróbowałem i się zawiodłem. Za wysokie progi na pirackie nogi :gatorlove:
Oczywiście są chlubne wyjątki, ale nie oszukujmy się -> na 46 firm kilka(naście?) na pewno się wyłamie.

Z drugiej strony ich rozumiem - dlaczego mają aktualizować swoje niezawodny algorytmy dla osoby reprezentującą mało znaną firmę ]:-> .

8. Wrzućmy plik i zobaczmy na VirusTotal, czy poświęcenie rozmiaru exeka korzystnie wpłynie na ilość wykrywanych fałszywych alarmów.
9. Raport:
Image

BitDefender -------------- Gen:Variant.Barys.50
Emsisoft ------------------ Gen:Variant.Barys.50 (B)
F-Secure ------------------ Gen:Variant.Barys.50
GData --------------------- Gen:Variant.Barys.50
MicroWorld-eScan ------- Gen:Variant.Barys.50

Niemożliwe! Czyżby na jaw wyszło, że przy mocnej kompresji dodaje się jakiś wirus?

Code: Select all

Hmmmm, może rzeczywiście coś w tym musi być, skoro aż 5 programów się pluło - trzeba będzie zrobić test z własnoręcznie skompilowaną binarką!

Nie chce mi się. Zrobimy prostszy test.

Skoro nie ma ŻADNYCH wirusów przy kompresji LOW, zmieńmy parę bajtów...

1. Używając HexEditora (jest to program pozwalający edytować plik binarny, jakim jest plik .exe) otwórzmy winuae.exe, który został spakowany upxem, metodą lekką.

2. Na samym początku pliku da się zauważyć napisy "UPX":
UPX_string.png


3. Wyedytujmy ten "autograf" zmieniając "UPX" na "SEX" :prawytroll: :
UPX_string_fake.png


4. Zapisujemy zmiany, wrzucamy na VirusTotal.

5. Raport:
antyvir_troll.png


Okazuje się, że strollowaliśmy dwa silniki antywirusowe:
Agnitum -------------- Suspicious!SA
eSafe -------------- Suspicious File

Dosyć mało, ale ze względu na późną porę, pokażę tylko mój osobisty rekord, jaki można osiągnąć zmieniając po prostu parę bajtów:
Image

AntiVir--------------------TR/Crypt.XPACK.Gen
AVG-----------------------Win32/Heur
BitDefender--------------Trojan.Generic.8399328
F-Secure------------------Trojan.Generic.8399328
Fortinet-------------------Malware_fam.NB
GData---------------------Trojan.Generic.8399328
Ikarus---------------------Virus.Win32.Heur
McAfee--------------------Artemis!41A9F73D0A91
McAfee-GW-Edition------Artemis!41A9F73D0A91
MicroWorld-eScan--------Trojan.Generic.8399328
nProtect-------------------Trojan.Generic.8399328
Panda----------------------Suspicious-file
Sophos---------------------Mal/EncPk-ZE
Symantec------------------WS.Reputation.1
TrendMicro-HouseCall---TROJ_GEN.R47H1LB
VIPRE----------------------Trojan.Win32.Generic!BT

Podsumowanie:
Cóż mogę napisać... albo jestem genialnym programistą, który potrafi zmieścić wirusa w 1 bajcie, albo ktoś tu oszukuje Was, biedne owieczki...

Code: Select all

Lejesz wodę, ale tłumaczysz się w miarę przekonująco, ale nadal Ci nie wierzę!

Nie trzeba mi wierzyć. Wystarczy poczekać na exeki v2.6, w których już nie powinno wykrywać fałszywych alarmów.
Raport:
Image

Idziemy nawet o krok dalej. Chcemy zabezpieczyć Was przed zawirusowanymi exekami (chociaż z takimi przypadkami jeszcze się nie spotkaliśmy).
W finalnej wersji exek będzie się łączył do strony http://www.thecompany.pl i sprawdzał, czy suma kontrolna exeka się zgadza:
suma_md5.png


Oprócz tego zabezpieczenia będziecie wiedzieć, czy wyszła nowa wersja exeka, bo nawet jak zmieni się malutki fragment pokroju "UPX" -> "SEX" suma kontrolna jest całkowicie inna - przez co łatwo wykryć, czy ktoś nie dłubał przy exekach TC.
Oczywiście nic nie będzie stało na przeszkodzie, aby exeki zablokować w firewallu, ale o tym pogadamy w innej opowieści :tuptup1:

Code: Select all

Wszystko pięknie, ładnie i elegancko - ale nie wytłumaczyłeś się dlaczego w niektórych exekach v2.5 wirusy są wykrywane, a w niektórych wcale

To proste!
Każdy exek ma indywidualny silnik, więc jeżeli wyjdzie nowy engine, to dopiero po pewnym czasie "stare exeki" zostają zaktualizowane.
Nieraz ten okres wydłuża się ;)

PS
Gdyby obrazki przestały działać - dajcie znać :gatorlove:

2012-12-18T02:21:22+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Wydało się jak działają antywirusy.
Mnie tam nie przeszkadza przy użytkowaniu exeków jak antywirus krzyczy (no chyba wtedy jak nie wiem jak exeka dodac do wyjątku, czy nie ma możliwości tworzenia wyjątków w danym programie to może być wtedy problem),jednak zadaje sobie sprawę, że nowi użytkownicy mogą być lekko zaniepokojeni. Myślę, że ten post ich "uświadomi" i uspokoi.

2012-12-18T04:33:56+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

ESEt się mj nie pluje, KAV 2010 jak używałem się później też nie pluł. Imo f..k the rest ;P Jak ktoś pobiera exeka z thecompany.pl może być pewien, że nie ma w nim wirusa. A jeśli nam nie wierzy może sobie sam pobrać WinUAE, wygooglować romy i postawić system albo użyć gotowego i grać pod WHDLoad. Jest to według mnie dość banalne jeżeli się tylko poświęci chwilę na zgłębienie tego zagadnienia. Ale mimo to wielu osobom nie chce się tego robić. Ja podam sytuacje z życia wziętą. Okaząło się, że używany od niedawna ESET Smart Security 5 wykrywa wirusa w moim niezłośliwym programie który wchodzi na IRC (wszystkim jawnie może kontrolowac użytkownik) i podczas gry online w SWOSa Amigowego pod Kaillerą komentuje podając na początku składy, a w trakcie gry po golu wynik, strzelców bramek oraz rozpoczęcie lub zakonczenie połów meczu. Korzystałem z komponentów Vortex pobranych z torry, aby nie klepać obsluge IRC'a pod socketami, bo nie chcialo by mi się wymyślać koła od nowa. Może to było przyczyną, bo jakiś trojan też ma swoj C&C na IRC'u, a jakiś gimbuś użył do ułatwienia sobie szkodzenia Vortexa, tak jak wielu pseudo pr0gr4m3ruff mysli, że jak piszemy coś w Delphi/C++ do obsługi protokołu HTTP to trzeba używac Indy. I wiele av widząc pewne ciągi bajtów w exekach charakterystyczne dla Indy też się pluje. Kończąc mój wywód, bo za duzo tekstu dla jednego bobra ;> Podesłalem na e-maila osobie znanej mi z czasów świetności sceny zjadaczy crackersów, którzy swoje produkcje puszczali na www. On przeanalizował i dodał co trzeba do bazy i od teraz ESET milczy. W razie jakby ESET miał "wątpy" co do przyszłych exeków to możemy liczyć na pomoc tej osoby, bo dostałem info gdzie słać pliki i co podać jako dodatkowe info i prosić w treści e-maila aby to ta osoba z polskiego oddziału w Krakowie się tym zajeła. Ale dzięki Tobie Antek za wytłumaczenie. Myslę jednak, że osoby które nas doceniają i chcą grać w nasze exeki, nie zrazi dodanie katalogu z exekami do wyjątków jeżeli używant przez nich program AV się "pluje". Ewentualnie jego zmianę na inny, który się nie czepia exeków, o to co nie trzeba :)

2012-12-18T12:28:45+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

No, i to mi się podoba, wreszcie jakieś racjonalne wytłumaczenie na chłopski rozum.
Ileż to razy widziałem wystraszonych biedaków którzy już prawie "format c:" chcieli robić bo łolaboga, jakiś tam skaner znalazł potencjalnego wirusa który nic nie robi ale on mówi że tam siedzi więc na pewno jest groźny. :-E

2012-12-19T05:34:32+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Ciekawy artykuł. thx.
Wychodzi na to ,że heurystykę w antyvirach to najlepiej wyłączyć. :huh:

2012-12-19T11:39:53+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Bez przesady, nikt nie mówi, żeby ją wyłączyć, a po prostu rozsądnie podchodzić do problemu, że "wszędzie widać wirusy" :)

2012-12-19T12:26:07+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

@orhom: wiesz, wystarczy nie traktować te ostrzeżenia w 100% poważnie, bo jak wszystko na tym świecie to nie jest kwestia że coś jest zawsze białe a coś innego zawsze czarne. Są też odcienie szarości... ;)

2012-12-19T15:13:25+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

myślę że TC można bez przeszkód traktować jako pewne źródło, więc przy wykryciu jakiegokolwiek wirusa, komunikat o zagrożeniu można ignorować :-)

2012-12-19T15:56:53+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Jeszcze nigdy żaden exek mi nie spsuł systemu. Raz tylko, dawno temu się wystraszyłem, że niby jest wirus. Poczytałem i dodałem katalog gdzie mam exeki do wyjątków i git jest :D

2012-12-19T19:00:23+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Robię co mogę, aby produkcja v2.6 rozpoczęła się jak najszybciej :)

2013-04-21T13:32:53+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Raport zdany - PPHammer v2.6 podesłany!
Image

2013-05-12T11:22:25+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Anthrox wrote:
Idziemy nawet o krok dalej. Chcemy zabezpieczyć Was przed zawirusowanymi exekami (chociaż z takimi przypadkami jeszcze się nie spotkaliśmy).
W finalnej wersji exek będzie się łączył do strony http://www.thecompany.pl i sprawdzał, czy suma kontrolna exeka się zgadza


Dopiero czytałem temat, tak z ciekawości, bo ja tam mam katalog z execami w exclude'ach dla avasta. No i pytanie odnośnie powyższego - nie oznacza to mam nadzieję, że jeśli nie połączę się z netem, to nie odpalę gry? Otóż z racji zawodu będę spędzał sporo czasu w morzu bez dostępu do internetu, a chcę sobie na to pościągać trochę exeków i poprzechodzić trochę gier, na które nie było czasu. Konieczność połączenia dla mnie będzie zabójstwem.

2013-05-12T11:26:12+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

nie ketyow, nie potrzeba polaczenia do internetu zeby grac w exeki, byloby to bez sensu i napewno nie przeszlo by to kontroli jakosci ;)
exek dziala jak dzialal dawnej, z ta roznica ze sobie porownuje sumy md5 gdy ma taka mozliwosc, gdy nie (brak netu) po prostu bedziesz mial status unknown.

2013-05-14T12:43:23+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Oprócz tego zapomniałem podkreślić Pancio, że sprawdzatora da się wyłączyć dla wszystkich exeków używając klawisza DELETE, o czym jest stosowna informacja.

Image

Pobierz ketyow dowolnego exeka v2.6 np. Moonstone i sam zobacz jak to działa.

2013-05-14T23:35:25+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Ja tam was nie rozumię
Brak antywira=brak wirusa :haha:

2013-11-19T13:37:08+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

dziś zainstalowałem AVG Internet Security 2014 i uprzejmie donoszę że :
problem flase-positive w tej wersji programu został wyeliminowany

2013-11-19T14:10:55+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

OBY :-)

2013-11-19T15:12:59+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

jest ok - sprawdziłem wszystkie 2.6 jakie mam na dysku :P
ale fakt mógłby ktoś potwierdzić:)

2013-11-19T19:35:20+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Avast już od jakiegoś czasu też nie ma problemu z exekami. Także jest dobrze.

2017-10-29T01:20:57+01:00

Re: Wirusy/Adware w EXE'kach - oficjalne wytłumaczenie

Hmm ciekawe wyjaśnienie,szkoda tylko że czasami można się przejechać i naprawdę wpuścić jakiś syf na naszego PC. Skąd można mieć pewność że ktoś nie dodał do tego jakieś kinderka nie mówię tu o waszych plikach tylko np emulatorach Game Loader All RH itd hmm

Return to Pytania techniczne