Win32: Evo-Gen

Non-English Boards Русский
1

Работаю в госучреждении, закупили антивирус аваст. Если бы знал что в авасте разрабатывают свой эвристик, обходил бы эту контору за километр.
Несколько месяцев назад начали появляться подозрительные файлы (конечно по мнению аваста). Другие антивирусы показывали что всё ок, virustotal тоже молчал. За эти несколько месяцев аваст поудалял драйвера от принтеров, поломал бухгалтерские программы и много еще гадостей понаделал. Все файлы, надо заметить, определялись авастом как win32: evo-gen. Возникло у меня желание разобраться, что-же этот самый пресловутый evo-gen из себя представляет. Результаты исследований повергли просто в шок. Написал программу на masm’е - 100 арифметических инструкций, проверяю - evo-gen, переделал, заменил другими инструкциями - evo-gen, удалил все инструкции, оставил одну - retn, и что бы вы думали? Опять evo-gen. Теперь вопрос к разработчикам этого прекрасного творения - вы за кого народ держите? За лохов? Типа набили себе высокий процент обнаружений, а на ложные срабатывания можно и забить? Это по-вашему нормально - определять файл на заражение по PE-заголовку? Можно конечно возразить - файл только подозрительный, сам решай что с ним делать. Но зачем мне тогда вообще антивирус? И с ним, и без него буду сам решать. Собрал большую коллекцию evo-gen’ов, все они подозрительные из-за заголовков (при том что в этих файлах нет ни импорта, ни ресурсов, ни кода).
Еще один вопрос к сотрудникам, занимающимся продажей лицензий - у нас лицензия еще год будет действовать, чрезвычайно хотелось бы отказаться от услуг такого антивируса и перейти на что-нибудь более вменяемое, имеющее антиэмулятор, нормальную консоль управления (ваша, например, установилась, а вот удалиться не смогла) и нормальный url-монитор (сайты наши блокируются каждую неделю).

2

Stdlib

Очень жаль, что работая в госучреждении, вы так и не научились культуре речи. Ещё мне жаль, что производя закупку для госучреждения вы купили “кота в мешке”, не рассмотрев вопрос покупки как положено и не задав необходимые вопросы до покупки. Так же мне жаль, что вы так и не видите разницу между производителем продукции и форумом её пользователей. Здесь, на форуме, Аваст не разрабатывают и не продают - здесь его обсуждают и оказывают взаимопомощь, поэтому мы попытаемся её вам оказать.

  1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.

  2. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.

  3. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.

  4. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php

3

Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast). Далее по пунктам:
Когда покупали Avast, на эвристик и намека не было, появился он несколько месяцев назад (а мы его используем около года). Что я должен был у вас спросить? Не планируете ли вы написать безумный эвристик?

  1. Эвристический анализ присутствует в любом современном антивирусе и без такого анализа антивирус бесполезен, ибо всегда будет отставать от самых последних творений вирусописателей. Результаты ссканирования по такому анализу должны рассматриваться пользователем наиболее тщательно - компьютерная программа не имеет интеллекта и не может уловить всех нюансов. Пользователь же может сам устанавливать уровень такого анализа в настройках защитных экранов.
    Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор (причем надо заметить очень неплохой). Посмотрите на эвристики Касперского - эвристик основывается на коде, импорте, данных. Посмотрите на эвристик NOD32 - та же ситуация. Смотрим на эвристик Avast - PE-заголовок. А если, например, вирусописатель сделает PE-заголовок как, например у putty? Avast будет определять putty как evo-gen? Или вредоносную программу будет пропускать? Для примера: определяет как evo-gen файл с секцией .text 0x200 размер секции, 0x200 смещение, аттрибуты секции 0x60000020. Это нормально по-вашему? Ничего что большинство hello-world’ов такие параметры имеют?
    Вот конкретно это вы считаете нормальным:
    http://forum.avast.com/index.php?topic=125057.0
    http://forum.avast.com/index.php?topic=135455.0
    Не костыли писать надо, а работающие вещи.
  1. Определение файлов как Evo-Gen свидетельствует о том, что у вас включён поиск потенциально нежелательных программ (ПНП), т.е. программ, которые сами вирусами не являются, но могут предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя. Пользователь может сам отключить поиск таких программ и опять это в настройках экранов.
    “Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя” поясните что здесь имеется ввиду.
    Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
  1. Вопрос о блокировке сайтов требует конкретного разбирательства, а не переливания воды. Нужны факты.
    Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
    По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
  1. Вопрос о лицензиях надо рассматривать с продавцом, а не на общественном форуме. Если вы желаете отказаться от предоставляемых услуг, то обращайтесь в ту компанию, где вы приобретали лицензию. Если вы осуществляли покупку на сайте компании Avast Software, то и обращаться вам надо туда же: http://www.avast.ru/contact-form.php
    Очень, очень желаю, вы даже не поверите как.

В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.

4

автор вполне корректно описал проблему и свою точку зрения, а тем более когда у него аваст “грохнул” запчасти легальных программ - про культуру речи б помолчали…
к сожалению, да, этот форум разработчики вряд ли просматривают.

по поводу evo gen: полностью согласен с автором, при написании программ, будь то Си проекты, делфи, ассемблер… не важно - этот детект возниакет в 80 процентов случаев.
при более детальном рассмотрении причины я тоже был мягко говоря в ауте - они признают угрозу по параметрам (размер\оффсеты) секций файла! большего идиотизма придумать невозможно. ни код, ни импорт, ни ресурсы его вообще не волнуют! ;D

вместо того, чтобы разрабатывать новые технологии эмуляции с соответствующим анализом кода (нод, касперский, vba32 к примеру, считаю эти продукты имеют довольно мощные эмуляторы), в авасте решили действительно пойти простым путем: что им еще не известно, то подозрительно. ну а взять за основую параметры секций (кои могут быть у злостной малвари и у ангельского приложения от винды) абсолютно одинаковы - это, повторюсь, полный профанизм.
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду “мегатехнологии” :smiley:

не пытайтесь спорить, что аваст не лажает. ой как лажает )))

5

И кстати, Аваст стал совсем нелёгким. После обновления до 9 версии пришлось удалить, т.к. появились заметные тормаза. Может из-за того, у меня также установлен online armor.

6

Pidarast,это ты о себе? Из меньшинств,значит? Предлагаю модератору забанить данного пользователя без всяких рассуждений.

7

Вроде такой вумный,а такой ник себе придумал…,что вумным не назовёшь 8)

8

Не корми тролля. Для таких вещей есть кнопка “сообщить модератору”.

9

А что он не так сказал?

10

А вот мне, показалось наоборот. Предыдущий часто притормаживал, особенно при первом доступе к файлу. А из меню пуск запустить, вообще на 2-5сек, система висла.(и мышь)
Сейчас все в порядке.
Хр.

11

Сообщил. А толку?

12

amid,ты ник прочёл его? После такого ника читать его бред нэма охоты.

13

Ну этим ником, он сам себя обозвал. Его право, я не реагирую. :slight_smile: Видно больно воспринял некоторые возникшие трудности с Авастом…
А по теме, вроде грамотно написал. По крайней мере, пока ни кто не возразил…

14

по теме есть чо?

15

Andrey,pro, вы как специалист, можете прокомментировать выше изложенные замечания? И как контактирующий с разработчиками, донести до их… ? :wink:

16

Stdlib

Культуру речи я как раз потерял при общении с вашим антивирусом (один мой коллега зовет его FakeAVast).
http://forum.avast.com/index.php?topic=102771.msg900279#msg900279
[b]3. Не выплёскивайте эмоции[/b] - Указывайте факты и только факты. Всё остальное только затуманивает проблему. Мы понимаем, что вы расстроены, но чем быстрее проблема будет решена, тем быстрее ваше настроение улучшится. И тогда в социальных сетях вы сможете поделиться своей радостью с друзьями.
Нет такого эвристика, например, в Microsoft Security Essentials - там есть эмулятор ..........
Позвольте ещё раз повторить - здесь не официальная служба техподдержки, а форум сообщества. Если у Вас есть конкретные предложения и замечания, то их надо сообщать разработчикам программы: http://www.avast.ru/contact-form.php
"Предоставить вирусам и другим вредоносным программам удобный доступ на компьютер пользователя" поясните что здесь имеется ввиду. Отмечу, что эта опция включена по умолчанию. Сейчас делаем АИС, половина которого уже определяется как evo-gen. Что я должен покупателям этой АИС говорить? Удаляйте Avast? Выключайте ПНП? Вы в курсе современных реалий? Представьте себе, что мне пользователи должны ответить.
Простейший пример - перенаправление и хайджекинг браузера. Касательно Вашей программы, то опять-таки Вам можно порекомендовать конкретное обращение в службу техподдержки и к разработчикам. Пользователи Аваста, участники форума, не могут Вам в этом помочь. Вы метаете громы и молнии не там где следует и не в тех в кого следует.
Расскажу что произошло конкретнее. Заблокировали наши сайты (причем попали только в блэклист Avast). После обращения в саппорт пришло письмо о том, что сайты эти не блокируются, пришлите скриншот. И чудо - сайты действительно не блокировались, но только до следующего обновления. Потом, после скриншота нам принесли извинения, сайты разблокировали. Могу привести номера тикетов.
Вы опять путаете общественный форум с официальной техподдержкой. Участники форума не заводят тикетов и не решают их.
По поводу блокирования сайтов объясните мне еще одну вещь. Я заметил что Avast блокирует приватные AV-чекеры. Боитесь вирусописателей?
Что Вы называете AV-чекерами? Антивирусные сканеры типа DrWeb-CureIt!? Расскажите подробнее, пожалуйста. Лично мне не встречалась такая проблема.
В заключение: я бы это на форуме не писал, но вот саппорт меня что-то игнорирует. И заметьте, пишу я не в стиле Антона Уральского, никого не оскорбляю. Пишу только то, что сам видел.
Не читал Уральского, но это и не важно. А вот первая фраза из процитированного меня удивляет. Неужели Вы думаете, что разгромная рецензия и резкие обвинения на общественном форуме могут компенсировать Вашу неудачу контакта с техподдержкой? Да и не игнорируют они Вас: здесь уже давно ни для кого не секрет, что техподдержка Аваста прежде всего англо- и германо-язычна, поэтому у них там и экстренный телефон и несколько офисов. В русском секторе у них очень слабые позиции, поэтому ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно "капать" им на мозги напоминаниями.
17

Avast Pidarast
Пожалуйста, прислушайтесь к правилам форума:
http://forum.avast.com/index.php?topic=102771.msg822989#msg822989

Не используйте пошлые и вульгарные выражения в своих никах.
http://forum.avast.com/index.php?topic=102771.msg849186#msg849186
Выбирайте себе псевдоним или ник (от англ. nickname - прозвище, кличка), не оскорбляющий других участников форума.
Как только Вы наберёте более 20 сообщений на форуме, я Вам рекомендую сменить ник. Слишком он у Вас эпатажный.
очень бы хотелось услышать сотрудника, непосредственно причастного к данному виду "мегатехнологии"
Его адрес Вам известен: http://www.avast.ru/contact-form.php
18

Не слишком ли Вы толерантны к одним и нетерпимы к другим? Закрадываются нехорошие подозрения… Избирательное правосудие,как у Я----ча? :smiley:

19

Читать это следует так: купили геморрой за свои-же деньги. Вроде контора чешская, а на самом-то делe типичный бизнес по-русски.

20

Кстати, буду еще раз писать в техподдержку объемное письмо. Кого-нибудь из пользователей форума результаты этих всех дел будут интересовать? Может какие вопросы задать?
Раз уж тут форум взаимопомощи, то окажу помощь части пользователей Avast.
Многие спрашивают что-же такое Win32:Evo-Gen (хотел тут ссылки привести, но не буду - заходим в гугл и пишем Win32:Evo-Gen, действительно многие спрашивают, даже у техподдержки, но мы же помним: “ответной реакции приходится дожидаться не один и не два дня, и при этом чуть ли не ежедневно “капать” им на мозги напоминаниями”).
Отвечаю - совершенно рандомный детект - пустышка. Может вирус, может легитимный файл, может вообще невалидный PE-файл.