Też ale w sumie technika jest skuteczna można wykrywać to czego nie ma jeszcze w bazach
Vipre też wchodzi na czarną listę...
Pobrałem najnowszą paczkę z malwares - wykrył 117 na 125
Następnie zmieniłem nazwy wszystkich plików na "abcd" (czyli było "abcd (2)" itd.), wykrył tyle samo.
Czyli na pewno bierze pod uwagę również jakąś formę hasha.
Ale to jest chmura, więc ona musi wykrywać po nazwach plików. Zresztą pewnie identyfikuje pliki po własnym algorytmie (tak jak Prevx to robi).
Coś mi się wydaje że przebadacie teraz wszystkie programy : ).
Eugeniusz napisał(a):Ale to jest chmura, więc ona musi wykrywać po nazwach plików. Zresztą pewnie identyfikuje pliki po własnym algorytmie (tak jak Prevx to robi).
po nazwach to napewno nie ;-)
hashe (i to raczej nie md5 a raczej sha lub inny algorytm)
Przecież to jedna z wielu technik które stosuje MBAM do wykrywania syfu. Nie rozumiem zamieszana:crazy:
No dobra, ale w tym wypadku zrobił bardzo ładnego FP.
hm...to w takim razie jak wykrył mi na xp w system volume 35 trojanów i innych wormów to wykrył malwere czy nie? bo już sam nie wiem co teraz o tym myćśle w tej chwilić...hmmm musze to ogarnąc bo szok mam ;f
tak czy siak, najważniejsza jest wykrywalność a ta jest na bdb poziomie.
To fakt, co nie zmienia postaci rzeczy, że to raczej wpadka ze strony Malwarebytes.
Nie wiadomo czy wpadka...może ułatwienie sobie roboty.
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak dla mnie sprawy nie ma.
czasami coś takiego może źle się skończyć
[Aby zobaczyć linki, zarejestruj się tutaj]
Ryzyko jest ogromne, ale żeby pusty plik powodował alarm?
marsellus napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Jak dla mnie sprawy nie ma.
A nie sądzisz, że ten przykład pokazuje, jak łatwo oszukać MBAM?
Załóżmy, że twórca malware tworzy plik svchost.exe, nadaje mu atrybut ukryty i umieszcza go pulpicie (w przypadku skanu naszego fejkowego pliku, kiedy znajdował się on na pulpicie MBAM siedział cicho) i z tej lokalizacji go wywołuje - ciekawe co się stanie?
Więc katalog główny C, czy też %WINDIR% są podejrzanymi lokalizacjami dla pliku svchost.exe, ale pulpit już nie? Trochę dziwne jednak moim zdaniem.
No ale to nie jest jedyna metoda jaką MBAM wykrywa syf, czyż nie??
Czyż tak
, jednak co by nie było, to jeden wielki FP.
I jeszcze jako ciekawostka, wynik skanu reputacji KSN "dummy file" svchost.exe:
[Aby zobaczyć linki, zarejestruj się tutaj]
Norton Community też może oszaleć, ale w mniejszym stopniu.
Plik nie jest podpisany, mogą być problemy.