Nod32 и Agava заблокировали сайт сотрудника Лаборатории Касперского за вирусный тест

По утверждению Олега Зайцева, автора проекта AVZ и одного из сотрудников Лаборатории Касперского, ему пришло два письма - от саппорта agava.ru (с данными о том, что домен заблокирован за распространение вирусов) и от Publicdomainregistry.com Abuse Desk :

Олег : "Я страшно удивился, проверил - а вдруг и вправду сайт хакнули и там уже вирусяка какая лежит - оказалось, что нет - там лежит там самая древняя заглушка, которую мы применяли в тестах эмуляторов и эвристиков на АМ - http://www.anti-malware.ru/forum/index.php?showtopic=3192 (там самая, которая выводит на экран сообщение о том, что это "Virus demo stub for AV test" и завершает работу. Я про него уже и думать забыл - тестирование то 4 года назад было ...

...Я естественно написал по указанным адресам, что данный файл совершенно безвреден, применялся в публичном тестировании на ресурсе Anti-Malware и т.п., но в ответ тишина."

Олег проверил файл на VirusTotal и был поражен, 30 детектов из 42 возможных. Большинство правда детектят это как *AVtest*.

Домен всетаки вырубили, вот пришел официальный ответ AGAVA:

"Здравствуйте.

Так как доменное имя заблокировано точная ссылка до файла в настоящее время http://www.z-olegcom.57.com1.ru/leaktest.exe

Приводим Вам лог антивируса при попытке обратится к файлу.

06.08.2011 0:17:07 Фильтр HTTP файл
http://www.z-olegcom.57.com1.ru/leaktest.exe вероятно
модифицированный Win32/Agent.BCUVJHQ троянская программа соединение
прервано - изолирован Обнаружена угроза при попытке доступа в Интернет
следующим приложением: C:Program FilesMozilla Firefoxfirefox.exe.

С уважением, Тератьев Илья
Менеджер по работе с клиентами
E-mail: support@agava.com"

Т.е. они проверяют файлы NOD32
http://www.anti-malware.ru/forum/index.php?showtopic=19043

----
Комментарий Roem.ru: ужасно, как жить дальше?

Лучшие комментарии

  • Контекст комментария

    Dieann Агава

    5 августа компания Агава получила уведомление от регистратора Directi о блокировке доменного имени z-oleg.com, после чего мы незамедлительно связались с владельцем домена. Ссылку z-oleg.com/leaktest.exe посчитали вредоносной эксперты регистратора, так как подразделение виртуального хостинга Агавы не занимается анализом и выявлением вредоносного ПО самолично. В подобных случаях мы всегда делаем все возможное, чтобы помочь клиенту удалить вирус с сайта. Мы предоставили владельцу z-oleg.com все данные, чтобы стало ясно почему регистратор посчитал этот файл вредоносным. Блокировка ресурсов — это не личные «капризы» нашей компании. Вечером 7 августа мы получили подробные объяснения по данной программе от владельца z-oleg.com — машинный код, описание действий — которые сразу же передали регистратору. На следующий день домен разблокировали.

Добавить 15 комментариев

  • Ответить

    Может быть Аваст взял на вооружение технологию Касперского и смотрит на «подозрительные» имена переменных? Как-то раз Касперский «нашел» троян в моей безобидной программе. В описании трояна было что-то про загадочное «Forma». А в программе был класс TForma (да, это нехорошо, но иногда бывает). Переименовал TForma — троян больше не детектится. Вот такой анализ.

  • Ответить
    Альтер Эго

    самое смешное что настоящие вирусы они не блокируют, а как доходит до тестовых — так пиару ради.

  • Ответить

    Кому же вы предлагаете доверять? Как по мне, так именно NOD32 себя хорошо ведёт на слабых ПК, и KIS 2011 на мощных. Правильно настроенный KIS перестаёт быть таким уж параноиком, а NOD32 на клиентских ПК пока не пропустил ни одного Trojan.Winlock баннера, в отличие от прочих лёгких антивирусов.

  • Ответить

    Aphrodite, последние два года, которые я жил на Винде я не использовал антивирусы вовсе. Последний Файрфокс, с плагином NoScript и хорошим файрволом от Outpost не пропустили за все время ни одного зловреда. Конечно же, временами случалась паника и я ставил авер, но он ничего не находил. Сейчас не знаю, но тогда закриптовать троян от первой десятки аверов стоило 5 баксов, «полиморфные» крипторы с обновлениями стоили где-то $500. Перед атакими нулевого дня и перед APT любой антивирус просто бесполезная хрюкалка.

  • Ответить
    Dieann Агава

    5 августа компания Агава получила уведомление от регистратора Directi о блокировке доменного имени z-oleg.com, после чего мы незамедлительно связались с владельцем домена. Ссылку z-oleg.com/leaktest.exe посчитали вредоносной эксперты регистратора, так как подразделение виртуального хостинга Агавы не занимается анализом и выявлением вредоносного ПО самолично. В подобных случаях мы всегда делаем все возможное, чтобы помочь клиенту удалить вирус с сайта. Мы предоставили владельцу z-oleg.com все данные, чтобы стало ясно почему регистратор посчитал этот файл вредоносным. Блокировка ресурсов — это не личные «капризы» нашей компании. Вечером 7 августа мы получили подробные объяснения по данной программе от владельца z-oleg.com — машинный код, описание действий — которые сразу же передали регистратору. На следующий день домен разблокировали.

  • Ответить

    >> Пока я так и не понял, почему никто не вспомнил про Мак) Потому что вирусов сейчас практически нету, только трояны, кейлоггеры и лоадеры для них. Для такого класса софта не принципиально уже, что за система используется (ну разве что это какая-то OpenVMS или XTS-400). Различие между текущими версиями OS X и Windows в плане безопасности уже не существенны (ну разве что какой-то одаренный отключил UAC). Лично я Мак выбрал из-за удобства, если бы стоял вопрос безопасности остро, то сидел бы, наверное, на OpenBSD.

  • Ответить
    KcepoKc VK

    >>Пока я так и не понял, почему никто не вспомнил про Мак И на твою старуху найдется проруха. Задай этот вопрос, для начала, Гуглу.