Вирус или особенности работы?

  • 17 ответов
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Ты погугли названия и действия этих антивирусов. И обобщи.
      Может, какая логика просмотрится.
    • zOFsky
      zOFsky
      Black Member
      На форуме с: 22.01.2008 Сообщения: 20.381
      С помощью гугла мало что можно понять, я так и не разобрался. Есть ли какой-то специфический форум по вирусам, куда можно обратиться с этим вопросом?
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Ты бы автора программы спросил первым делом.
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      Однозначно, троян! Почему ты не веришь сам себе? virustotal достойный и уважаемый ресурс. Посмотри, сколько антивирусов написали имя собственное для этого трояна в приведенном тобой отчете. Значит они с ним сталкивались раньше. Важно знать, откуда ты его скачал. То, что он раньше не выдавал себя, вполне логично.
      Сперва скачивается маленькая "голова" червя. Она маленькая, чтобы ее не заметили соответствующие защитные средства. Затем она начинает подкачивать свое "тело", то есть собственно вредоносный код с какого-либо сайта. Ну, а потом начинает делать свое черное дело. Поэтому помимо антивируса на компьютере игрока должен быть обязательно установлен брандмауэр, программа контролирующая сетевые соединения.
      Ресурсов таких много, например http://www.cyberforum.ru/viruses/
      Очень компетентные люди есть тут https://xakep.ru/
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Оригинал пользователя zOFsky
      такая реакция на софт из-за особенностей ее функций
      Вот это вот - хоть небольшое, но основание для сомнений, троян ли.
      Что автор проги сказал?
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      А при чем тут автор проги? Он может быть ни при чем. Прогу мог заразить кто-то другой и закинуть ее на файлообменник, например. А так, я с Владимиром соглашусь, конечно. Многие покерные программы написаны не любителями, тут и инжектинг, и подмена таблицы импорта, и перехват сообщений и т.д. Конечно, все это выглядит для антивиря подозрительно. Но, в данном случае имя трояна говорит о многом. То, что разные антивирусные лаборатории дают одному и тому же вредоносу разные имена, это нормально. Они работают независимо. Но, сам факт имени говорит о многом. Пишу, как многолетний читатель журнала "Хакер", самого лучшего журнала для профессиональных программистов (в хорошем смысле слова).
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Ну... если уже на "Хакер" пошли ссылаться... тада я пас :)

      А так - я именно имел в виду инжекты, хуки и прочие полу-хакерские трюки.
      В конце концов, вот предельно простой пример: в прошлом (сейчас нет) ХМ \ ПТ для обслуживания Зумовских столов как раз inject DLL и применяли, другого варианта узнать список игроков в данной конкретной раздаче тогда просто не было. Щас есть.
      Так вот, многие антивирусы этот ХМ-ский инжект ложно идентифицировали тогда как вирус.
      Потому и предлагал спросить автора - а не накодировал ли он в своей проге чего такого, что легко могло показаться подозрительным, но таковым не является.
    • zOFsky
      zOFsky
      Black Member
      На форуме с: 22.01.2008 Сообщения: 20.381
      Этот файл конкретно от автора программы. Автору проги я сообщал о том, что антивирус на нее ругается. Ответ был добавить в исключения, мол для антивируса любой екзешник неизвестный это вирус. В любом случае, какой ответ он мне мог дать? Если прога чиста, то ответ будет примерно таким, если он умышленно впихнул туда троян, то "ой, там троян" мне тоже не напишет.
      Все-таки скрипт для автоситинга мне кажется весьма специфическим софтом и я думаю, там надо сканировать список игроков и т.п. Но я в этой дисциплине не силен, на всякий случай решил перестраховаться, поэтому спрашиваю советов здесь. Просто софт этот по своим функциям мне идеально подходит, он очень качественный и не самый дешевый по месячной лицензии. Интуитивно чувствую, что там трояна быть не должно, но мне надо знать точно, а не полагаться на чуйку ))
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Предлагаю дать автору ссылку на вот это вот обсуждение.
      (конечно, если он по-русски сможет прочесть).
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      Если файл от автора, то это меняет дело. Конечно, не любой exe-файл подозрителен для антивируса. Это ерунда.
      Здесь уже возникает вопрос, насколько ты доверяешь автору. Но программисты редко встраивают в свой софт всякие зловреды. Я даже думаю, что никогда. Потому, что тогда он просто зря тратит силы на создание своей программы. Ведь тот факт, что она "нехорошая" быстро станет известным. Поэтому пользуйся, если ты получил программу непосредственно от автора. Вопрос возникает как именно ты ее получил. Автор может поместить программу на файлообменник. И уже там ее могут заразить. А, если он ее тебе прислал по почте, то это безопасно.
      Есть очень хороший способ автору обезопасить себя от подозрений. Надо поместить свое творение на солидный портал, например Софтпедию. Там ее проверят в лаборатории и уже оттуда можно скачивать безопасно.
    • zOFsky
      zOFsky
      Black Member
      На форуме с: 22.01.2008 Сообщения: 20.381
      Наверное я недостаточно конкретно обьяснил свои опасения. Я не думаю, что файл заразили где-то на обменнике, просто софт этот весьма узкой направленности, и у меня возникли опасения не встроили ли авторы программы какого-то похитителя паролей или прогу, которая позволяет видеть карты или т.п. При этом софт у них очень высокого качества и интуитивно я понимал, что вряд ли, но все-таки я решил перестраховаться и выяснить этот момент.
      Вот ответ от разработчиков:
      http://forumserver.twoplustwo.com/showpost.php?p=49100278&postcount=26
      Если будут по нему комментарии, то очень хотелось бы услышать. Я верю им, но не достаточно компетентен чтобы оценить убедительность аргументов.
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      Как известно, самые правдивые чистые глаза имеют обманщики и авантюристы. Поэтому аргументы можно написать самые убедительные. Ответить компетентно могут только люди профессионально занимающиеся вопросами борьбы с вредоносами, например сотрудники Касперского или другой антивирусной компании. Но, даже они смогут ответить только после анализа кода программы. Анализ кода программы не очень простое дело. Вряд ли на нашем форуме ты найдешь кого-то для этого дела.
      Я понимаю твои опасения. Судя по статусу, ты играешь не микролимиты и сохранность банкролла для тебя важна (а для кого нет?).
      В данном случае речь идет о программе для автопосадки за столы. Если у тебя есть сомнения, то лучше не пользоваться этой программой, тем более PokerStars запрещает отбор столов по каким-либо признакам игроков. Все равно этот софт или уже запрещен, или будет запрещен в недалеком будущем.
      Можно спросить авторов программы на 2+2 о том, разрешена ли их программа на PokerStars. Вот ссылка.
      Надо нажать дополнительно на 4-й пункт сверху "Не могли бы вы предоставить список разрешенных инструментов и служб?"
      Вроде там этой программы нет, хотя сейчас идет обновление списка и, например, нашей программы в списке тоже нет, хотя в начале декабря нам разрешили программу использовать (программа на другую совершенно тему, чем здесь обсуждается). Мы надеемся, что включат ее при следующем обновлении. Сейчас список по состоянию на 11 ноября. Мы в этот список попасть не успели.
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Вот я попробовал все-таки погуглить названия этих антивирусов. Какие-то описания не нашел, а вот что обнаружилось по (перечисленному в списке проверок) имени MSIL/Injector.JIJ
      Once installed on the compromised computer, it also messes up everything in your computer, and ruins your computer terribly by degrading your system performance, corrupting your files and executable programs. Usually, it pops up a lot of advertisements to disturb you while browsing. Once infected with this Trojan virus, your computer will start to work weirdly. Users attacked by this malware start finding them redirected to malicious website randomly.
      У тебя что-нибудь подобное на компе происходит? Куча рекламы вылезала чтобы, или тормоза вдруг появились - и т.д
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      Ого! Пишет, что рушит компьютер, портит файлы и программы. Я бы поостерегся ставить. Тем более, что невелика выгода - автопосадка за стол. Стоит ли овчинка выделки? А вообще, Владимир, здорово ты нарыл информацию.
    • stanisluv
      stanisluv
      Модератор
      Модератор
      На форуме с: 18.06.2008 Сообщения: 46.616
      Я бы ТС-у посоветовал следующее: поставить ХМ 2-х годичной давности и посмотреть как отреагирует антивирус. С 90% вероятностью могу сказать, что он тоже троян в ХМ-е найдёт. ;)
      А с данной прогой я знаком, но сам ею не пользуюсь.
    • Nik1952
      Nik1952
      Модератор
      Модератор
      На форуме с: 15.06.2009 Сообщения: 4.206
      Отличная идея, только не играй со старым ХМ на старзах. Это сейчас запрещено!
    • vpmarat
      vpmarat
      Модератор
      Модератор
      На форуме с: 22.01.2008 Сообщения: 83.741
      Найти ссылку на подходящий "обновлятор" ХМ2 можно здесь