антивирусы палят 'hello, world'

заметил странное поведение kis. он вдруг начал ругаться на хелооу ворлд

Код (Text):

1. .386
2. .model flat, stdcall
3. option casemap :none
4. include windows.inc
5. include user32.inc
6. include kernel32.inc
7. includelib user32.lib
8. includelib kernel32.lib
9.  
10. .data
11.     string db 'Hello, cruel world (((',0
12. .code
13. start:
14.     invoke MessageBox, NULL, addr string, NULL, MB_OK
15.     invoke ExitProcess, NULL
16. end start

отчет вирустотала тоже удивил: http://www.virustotal.com/ru/analisis/4dfb5d6976fe1a8ca2ebed25a1b09b19

хелловорлды нынче приравниваются к малваре ?...
или может это запоздалая 1апрельская шутка от аверов ?

p.s. почему аттач не работает ?

 

Я это заметил еще пол года назад.

Запостил на вмрус тотал Нелловорд асмовский и ....

А если его запаковываеш чем либо то еще больше подозрений.

 

да-да-да )))

 

Свои бинарники покидал на тотал, палятся простые програмки =\
И ботами они оказались и троянами...

 

чтож это твориться!?
Этож апакалипсис в кодинге!

 

мдя
халтурят аверы не подетски
тип новое поколение антивирусов

 

А если на пи-ов, которые лепят такие анивирусы, подать коллективный иск ??? - за ущемление прав и достоинства, блин... заодно - можно обвинить их в мошенничестве - они же палят проги тех, кто им не заплатил - так получится мафия "Антивирусников" - не заплатишь - соси лапу...

 

Да скоро аверы будут считать все проги вирусами, за которые не плочено.
А если серьёзно, то пользуюсь nod32 (сорри за рекламу), и ещё почём зря не орал.
У KAV вроде такое иногда бывает, но писали что очень редко -)

 

скорее всего нужно будет получать бесплатный *сертификат безвредности*, но вот за анализ, проги на безвредность прийдется платить. И как бы эта мысль еще не пришла к законодателям.
А коллективный иск, мне кажеться бессмыслено делать, лучше флешмоб, под лозунгом - удали свой антивирус.
И вообще не вижу надобности использования всяких антивирусов на обычном домашнем компе, да притом еще и заплатив за это. Гораздо дешевле, и разумней будет создание системы бэкапа + ежемесячное ТО спецом по подписке. Любая поломка - вставил диск и через 4 минуты все ОК. А так с этими антивирусами, только стрессы и тормоза. Скоро они и компьютер не дадут включать, ибо обнаружены негативные биоволны пользователя. А новички будут с испугом выполнять их указания.
Вводить закон надо, который бы обязывал всяких антивирусников платить штрафы за ложное срабатывание, как за клевету.

 

Я периодически отправляю подобные файлы с пометкой false positive, чтоб не расслаблялись =)
Пока все удаляли их из баз в течении 1-2 дней.

 

Тут ещё один интересный аспект. По идее чем больше антивирусная база, тем больше ложных срабатываний. Ведь сигнатуры конечны, и фиг знает как они используются, скорее всего тупой проверкой фрагментов памяти на эти сигнатуры. И теоретически коллизии очень даже вероятны.

 

Думаю мы врядли что-то сделаем, а вот если искать программы вполне серьёзных компаний, которые будут определяться как вирусы и писать об этом непосредственно в компании, мол "Я скачал демо-версию а антивирус сказал что это вирус и если вы такая компания, то иди вы со свей лицензией, я её не куплю", вот тогда компании начнёт судиться и у них, возможно, что-то и выйдет.

Интересная новость http://uinc.ru/news/sn9822.html

 

integer
Для твоего случая больше годится следующая проверялка:
http://analysis.seclab.tuwien.ac.at/
Она тебе покажет, что твоя прога делает. Просто как раз на днях анализировали безобидную
прогу Касперским. Он ничего не показал, а на этом сайте четко показали, куда в реестр
она пишет, что грузит и т.п. Через день и Касперский показал, что это троян.
Я это к чему. Может и у тебя какая зараза сидит и экзешки заражает, а ты
на Каспера катишь бочку. Каспер мной замечен вот в чем : результат заражения он
почти всегда ловит, а вот "головку" часто не знает. Я у себя специально генератор
заражения гонял по почте. Сами зараженные файлы не шли, а вот то, что их генерит
на компе никто не ловил, в т.ч. и Каспер. "Головку" неспец обнаружить точно не сможет,
вот и не присылают их на анализ, а значит нет и сигнатур.

 

valterg, коней у меня нет, это 99%.
1. смотрел файл под отладчиком, все чисто.
2. если изменить строку
invoke MessageBox, NULL, addr string, NULL, MB_OK
на
invoke MessageBox, NULL, addr string, addr string, MB_OK
то не палит.
вывод: палится месаджбокс со стандартным заголовком ("ошибка").

 

integer

Я думаю вывод неверный. Палится сообщение "Hello cruel world" , заезженное вирусами
всех мастей. Поставь нечто нейтральное и палить не будут. Тебя подвел в том числе
один внимательный программист из Кубани, нашедший баг в функции MessageBox - правда к твоему
случаю никакого отношения не имеет.
Видимо от греха, все стали палить проги, которые содержат только эту "вредную" функцию.
Добавь что-то полезное...

 

integer
попробуй

Код (Text):

1. xor eax,eax
2. invoke MessageBox, eax, addr string, eax, eax

 

+1 ав в топку.
СТавьте фаер, настраивайте и трой не пролезет. (не даст отстук в админку/гейт)
А ав защитит вас только от вирусов месячной давности.
Вообще говоря ав от вирусов не спалет тк бот нет держатели следят за "палимостью" и обновляют своих ботов чаще чем вы свой ав

 

valterg

Можно подробнее про ошибку?

 

dermatolog
MessageBox с текстом аля "\\??\..." лики в ntdll.dll кажется вызывал. Поиск