Комментарии 69
Это был наглядный пример об эффективности АВПО.
предположу, что они учились на данных из интернета, где говорилось: "вот эти сайты содержат трояны", но только сайты содержали уже страницы-заглушки, что контент с трояном больше недоступен. А дальше это проросло в какой-нибудь ML дефендера
Может вирус какой удаляет содержимое файлов и сохраняет их с этим.
предположу, что они учились на данных из интернета, где говорилось: "вот эти сайты содержат трояны",
Это обычная "фолса" (false positive) на самом деле.
Просто в Microsoft кто-то сигнатуру на .exe'шник некорректно написал (и оно с 2020 года примерно так и работало) или более вероятно: внёс какие-то неудачные корректировки в этом году.
Хорошая версия.
из-за коллизии SHA-256
Хорошая отмазка.
Насколько это вероятно с математической точки зрения? Как оценить?
Если вероятность не равна 0, значит это может быть, и не важно какая вероятность.
Довольно-таки важно. Нельзя же принимать во внимание все, что только может быть и строить на этом гипотезы
Нет неважно, потому что устройств много, сканируются огромные массивы данных на миллионах компьютеров. Условно, шанс выиграть в рулетку при ставке на конкретное число сам по себе низок, но если поменять условие на то, что мы должны выиграть хотя бы раз за минуту, то наши шансы сильно возрастут если мы сможем провести не одну игру в минуту, а тысячи
А если выбирается случайный элемент из бесконечного множества (допустим, точка на плоскости), вероятность выбора для каждого элемента равна 0 (выбираем один из бесконечного числа вариантов), но, при этом, какой-то из элементов будет выбран? То есть, нулевая вероятность в этом случае не означает, что событие невозможно?
Равен нулю и стремится к нулю - разные вещи
В данном случае именно что "равен". "Стремится" - это если мы берём уменьшающиеся области, а для отдельных точек именно что "равен".
Для отдельных точек вероятность не определена, т.к. не определена операция деления единицы на бесконечность. 0 - там только в смысле предела может быть. Таковы определения ...
Для отдельных точек вероятность вполне себе определена, потому что она не определяется через операцию деления. Вероятность - это мера, и множество из одной точки запросто может быть измеримо.
Не понял, почему мера не может определяться через операцию деления? Тем более что нулевая мера - она у пустого множества. По определению меры.
Давайте, тогда своё определение вероятности на плоскости в студию! Как вы его без пределов определяете?
почему мера не может определяться через операцию деления?
В частных случаях - может, конечно. На конечном множестве, например, это будет вполне естественным вариантом.
нулевая мера - она у пустого множества. По определению меры.
У пустого она по определению ноль, это верно (точнее, может быть не ноль, но тогда это патологический случай - тогда мера любого множества бесконечна). Но может быть нулём и у непустого (классический пример - мера Лебега для любого счётного множества, например, для рациональных чисел).
тогда своё определение вероятности на плоскости
Одно из определений вероятности - это буквально "некоторая мера, такая, что её значение на всём рассматриваемом множестве равно единице". Вот это "равно единице" здесь - единственное содержательное требование (плюс аксиомы меры, само собой).
Есть мнение что сигнатура включает в себя не только хэш, но и размер данных по которым он построен. Это делает практически невозможным случайное совпадение. Более того, наиболее вероятно совпадение по хэшу со случайным набором байт, но не с осмысленным текстом. Так что это не случайность.
deleted
Погодите, это что же, виндоус не даёт удалить файл, если в нём вирус или потенциально нежелательная программа?
А ведь я еще помню, как во времена мсдос антивирусы выполняли код в виртуальной машине, чтобы понять - подозрительный он или нет. А сейчас топ-антивирусы тупо сверяют хеши по базе и на этом всё...
как во времена мсдос антивирусы выполняли код в виртуальной машине
на ЦПУ без поддержки виртуализации и на 640К ОЗУ?
Не всё так плохо было. Например, была XMS - память за пределами первого мегабайта, которую можно было использовать через специальный драйвер, правда там могли только данные храниться, код там выполняться не мог.
Ну там была не настоящая виртуальная машина ) просто в оперативке выполнение кода проверялось по шагам, чтобы посмотреть куда код полезет. Вирусы того времени в конечном итоге или в исполняемые файлы лезли на запись, или в оперативке как резидентные программы работали, цепляясь на конкретный набор прерываний. Ну то есть как ни крутись, но в конце-концов ты вызовешь ограниченный набор команд. Чтобы это отловить - достаточно тупого пошагового эмулятора процессора.
Вирусы того времени в конечном итоге или в исполняемые файлы лезли на запись...
Вы забываете, что во времена ДОС существовало 100500 способов осуществить запись в файл минуя штатные вызовы операционной системы, чем и пользовались вирусы, да и не только вирусы.
осуществить запись в файл
И даже мимо файла.
Ага. Т.е. через прерывания биоса, а не системные. Сколько их там было-то всего?
А сегодня несчастные антивирусописатели не способны даже процесс шифрования всех файлов в системе отдетектить вовремя. Хотя казалось бы, чего сложного-то?
А еще ранее они же не в состоянии были детектить программы, которые блокировали своим окном работу с компьютером и просили деньги. Причем программы, написанные на дельфи школьниками....
Ага. Т.е. через прерывания биоса, а не системные. Сколько их там было-то всего?
Да хоть напрямую программируя контроллер диска через порты, времена были дикие, с железом можно было работать напрямую, а не через 100500 слоев абстракций. :)
Скорее, пошагового отладчика. Использовался INT 1, который вызывался процессором перед выполнением каждой команды CPU (Single-step trap).
А зачем виртуализация? Суровые бородатые мужики просто взяли и написали пошаговый энтерпретатор-эмулятор 286-го, если правильно помню, который да, работал на 286-м. В чём проблема?
(только это не про конкретный антивирус - просто знаю таких мужиков ...)
Ну так и сейчас так. Если антивирус хочет, то он код выполняет в песочнице. Если не хочет -- по базам пробивает. А вот принятие решения что запускать, а что нет -- это проблема. Выполнять же вообще все проверяемые файлы дорого.
Если Defender - это топ-антивирус, то Блокнот - это передовой издательский пакет.
Проверил, файл нормально сохраняется на диске, но дефендер сразу ругается и предлагает его удалить, если согласиться, то файл будет удален.
В своё время (сейчас не знаю) в поставку ДрВеба входил текстовый файл, который надо было переименовать в com, и ДрВеб реагировал на него как на вирус. Какой там был текст- сейчас уже не помню.
Эх, я помню когда в какой-то старой версии Каспера, когда на Delphi компилил любое приложение - тот сразу визжал на то что вон червь у тебя, вон, смотри, экзешник, левый!!!11
Посоны понтовались, мол "смотри, я вирус написал!11" )))
Defender удалил мне батники для сборки моих учебных программ. Такое поведение больше похоже на поведение вируса, чем на поведение антивируса...
А у меня создался (скриншоты последнего обновления Defendera и самого файла):
Что я делаю не так?
Krasnoarmeec с виндой на немецком? Иронично
Партизаним, знаете ли, потихоньку 😎 (был 2012 год, тогда ник казался прикольным)
Ваш ник тоже прочитал как "Сепаратист"
Раз пошла такая пьянка про ники. Был год 2006, появился интернет модемный. Появился инет и что делать с ним хз, так как заказывал журнал игромания, зашел туда и там был чат. В чате попросили зарегистрироваться и я на бум придумал jura_prog, а чего, программировал и имя я считал так правильно пишется. Но чат мне не зашел, там были приколы и хрень какую-то несли, так мне казалось. А потом стал открывать сайты и там нужна была регистрация. И сидя в туалете я подумал надо себе придумать крутой ник, универсальный и вот придумал, но как оказалось, другие Юрки уже придумали его, на mail.ru уже был забит, да и много где уже забит. Но ник оставил, думал может буду как Нортон)) эх мечты))
Он просто в Баварии, 1919 год был топ.
То же самое
У меня дефендер недавно начал ругаться на инсталлятор mIRC какой-то лохматой версии, скачанный много лет назад с абсолютно официального сайта.
В году 2009 на YouTube выложили видео, как QIP клиент дизассемблировать и вставить свой код. И потом кто-то взломал официальный сайт и подменил клиент для загрузки, что бы уволочь пароли. Ссылочка тут вот на хабр статью осталась: https://habr.com/ru/articles/59142/
Инструкция была тут: https://xakep.ru/2009/04/27/48013/
Было бы смешнее, если бы он так реагировал на фразу "All your base are belong to us" .
This [ДАННЫЕ УДАЛЕНЫ]
Обнаружен меметический агент. Инициирован протокол изоляции.
Проблема не в том что они определяют вирусы по сигнатуре, проблема что сигнатура может быть взята непонятно с чего.
У меня антивирусы очень не любят коллекцию трекерной и миди музыки 😁
Я понимаю почему - многие мелодии встречались в кейгенах, когда их ещё делали красиво и весело. Но вот музыкальные демки от zx spectrum чем им не угодили? 😂
Мгого вредоносов пытаются загружать файлы с серверов дискорда, но не могут, потому что срок действия ссылки уже истёк.
При анализе раз за разом всплывает эта строка.
https://www.virustotal.com/gui/file/c3fa59901d56ce8a95a303b22fd119cb94abf4f43c4f6d60a81fd78b7d00fa65/relations
Нормальная ситуация. Уверен, что основания для детекта в данном случае были (мне известны сотни таких вирусов-файлов-строчек). Смешнее другое: файл со строчкой « AmeRiCa ...Few Days WiLL Show You What We Can Do !!! It's Our Turn >>> ZaCkEr is So Sorry For You . » целых 24 вендора сейчас определяют как Win32.Vote. Икстримизм, однако!.. И только в детекте от MS — Virus:VBS/Wote. Виндусы, однако...
Никак дефендер не реагирует на такой файл
Видимо от версии зависит, Win10Pro никак не реагирует на такое содержимое
Судя по оригинальной новости
срабатывание происходило только из-за того, что эта фраза встречалась ранее в других вирусах.
Уверен, если этот файл сунуть в песочницу/анализатор, там вообще ужас начнётся...)
Не удивительно! Вся линейка их ОС -- это страшный позор.
Со времён Windows 95 они недалеко ушли.
Microsoft Defender считает трояном текстовый файл с одной строкой «This content is no longer available.»