SafeGroup

Pełna wersja: Trojan czy False Positive ?
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Chciałem pograć w gierki  z automatów na emulatorze WinKawaks, pobrałem emulator z oficjalnej strony i po rozpakowaniu Comodo krzyczy, że plik zainfekowany. Wrzuciłem archiwum na virus total:

[Aby zobaczyć linki, zarejestruj się tutaj]

I nie wiem, to FP czy jednak syf ?
Hmm sprawdziłem info na kilku forach i jest jeden ze znanych emulatorów do starych gier arcade.

Mimo wszystko MAME albo Zinc czy też FinalBurn Alpha są zdecydowanie lepszymi zamiennikami.
Jeśli jednak chcesz ten powyższy emulator to najpewniejsze źródło jest pobierać ze strony autora:

[Aby zobaczyć linki, zarejestruj się tutaj]


Tu masz portal anglojęzyczny z emulatorami może sie przyda.

[Aby zobaczyć linki, zarejestruj się tutaj]


Ja z dzieciństwa to jedynie kojarzę MAME jak grałem w metal sluga oraz ePSXe do odpalania starego Final Fantasy Tactic ^^
demisen daj mi ten plik w linku , a wyślę go do labu
Zwróć uwagę, że niemal każdy z tych silników wskazuje na inny rodzaj zagorzenia, a wykryty jest zazwyczaj przez silnik heurystyczny,. Jeżeli masz z oficjalnego źródła to raczej FP.

Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile
(01.01.2019, 23:09)M\cin napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile

FBA jest na tyle dobry, że o WinKawaksie zapomniałem. Wysłałbym to do labu aby sprawdzili. Być może autorzy dodali coś w stylu PUA aby trochę dorobić na sponsoringu (jeżeli to instalator to wielce prawdopodobne np: w którejś instalce emulatora Andy dodana była koparka kryptowalut), albo ktoś im wjechał na serwer i dokleił coś niechcianego.
Plik wygląda na czysty
(01.01.2019, 22:05)Sillo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

demisen daj mi ten plik w linku , a wyślę go do labu

Link:

[Aby zobaczyć linki, zarejestruj się tutaj]

Emu pobrany z oficjalnej strony, a czemu akurat Winkawaks ? Chyba kwestia przyzwyczajenia, pamiętałem, że kiedyś używałem.

(01.01.2019, 23:41)wredniak napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(01.01.2019, 23:09)M\cin napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile

FBA jest na tyle dobry, że o WinKawaksie zapomniałem. Wysłałbym to do labu aby sprawdzili. Być może autorzy dodali coś w stylu PUA aby trochę dorobić na sponsoringu (jeżeli to instalator to wielce prawdopodobne np: w którejś instalce emulatora Andy dodana była koparka kryptowalut), albo ktoś im wjechał na serwer i dokleił coś niechcianego.

Pamiętam jak jeden z emulatorów N64 tak skończył :/
Plik wysłany do labu mks_vir / czekam na odp
(02.01.2019, 13:02)Sillo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Plik wysłany do labu mks_vir / czekam na odp

Ja chciałem od razu skorzystać z Comodo Valkyrie, ale okazało się że teraz analiza przez człowieka jest tylko dla płatnych subskrypcji, więc wysłałem plik przez zgłoszenie FP i o dziwo dziś odpowiedź od Comodo, że plik czysty i aktualizacja baz gotowa. Jednak im więcej analiz tym lepiej Grin
Od supportu mks_vir :
Cytat:Według   naszej  oceny  jedynym  "grzechem"  tej  aplikacji  jest  jej
skompresowanie  za  pomocą UPX'a i usunięcie jego znaczników, co przez
te  kilkanaście programów na Virustotal jest traktowane jako działanie
podejrzane.  Sami  również  mamy  w  silniku  podobny klasyfikator ale
akurat w tym przypadku on nie "zaskakuje" ze względu na inne elementy.

Czyli wychodzi że plik jest czysty.
I spoko. Nie wiem czemu, ale zgłoszenie FP i wysłanie pliku do części producentów AV to jest jakaś mordęga, albo nie ma nigdzie informacji jak to zrobić, albo wymagania typu założenie konta, przebrnięcie przez 5-6 stron z anietami i jeszcze lepiej wysyłanie przez e-mail z kluczem PKI. Serio ? Chyba powinno im być na rękę dostarczanie próbek lub FP i być jak najprostsze.
Kiedyś Avira miała takie coś zintegrowane ze swoim programem. Można było wysłać plik z kwarantanny bezpośrednio do labu. I co się potem okazało, to tych plików po tamtej stronie nikt nie sprawdzał Cool
(02.01.2019, 23:44)Tajny Współpracownik napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kiedyś Avira miała takie coś zintegrowane ze swoim programem. Można było wysłać plik z kwarantanny bezpośrednio do labu. I co się potem okazało, to tych plików po tamtej stronie nikt nie sprawdzał Cool

Microsoft, Comodo, Sophos zareagowali szybko, GDATA trochę wolniej, a McAfee i Yandex są w ciemnej (_._)
Zemana bardzo szybko reaguje i w miare dobrze SecureAPlus
Arcabit/mks_vir też szybko Smile
(03.01.2019, 13:06)Sillo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Arcabit/mks_vir też szybko Smile

Jak coś do nich przesłać ?
(03.01.2019, 15:52)demisen napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(03.01.2019, 13:06)Sillo napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Arcabit/mks_vir też szybko Smile

Jak coś do nich przesłać ?

Aby wysłać plik do laboratorium są 2 możliwości
1. Jeżeli posiada Pan zainstalowany produkt Arcabit\mks_vir klikamy Prawym przyciskiem myszy na plik który chce Pan wysłać i wybieramy  mks_vir - analiza Zostanie uruchomiony sender w którym podaje Pan swój mail kontaktowy i kilka informacji o Pliku
W przypadku Arcabit będzie opcja wyślij Plik do Laboratorium
2. Wysyła Pan Email na adres pomocy technicznej mks_vir lub Arcabit  np. [email protected] (lab jest jeden ) załącza Pan plik (najlepiej spakowany w .zip z hasłem: infected) i w treści prosi Pan o analizę tego pliku
Ja im (mks_vir) wysyłam bez hasła Smile

Możesz też wysłać plik do Putina Grin [email protected] / raczej ta sama szybkość werdyktu odnośnie pliku