Discussioni su virus e antivirus
 

Antivirus Free: da oggi c'è anche Kaspersky

maaatteo 4 Ago 2017 12:01
Kaspersky Free viene rilasciato oggi in versione finale, completamente
gratuita, in tutto il mondo, Italia compresa.
L'unico requisito per utilizzare l'antivirus gratuito di Kaspersky
consiste nella creazione di un account utente personale; per il resto
si potranno usare tutte le funzionalità di un prodotto che - per essere
totalmente a costo zero - integra caratteristiche evolute.

Kaspersky Free *****izza e protegge il ******* system, monitora le pagine
web visitate scongiurando il caricamento di elementi nocivi, scansiona
i messaggi istantanei e le email in ingresso e in uscita alla ricerca
di oggetti dannosi.

Il software di Kaspersky offre gli strumenti indispensabili per
proteggere il sistema da qualunque genere di minaccia. Manca l'*****isi
comportamentale per smascherare in tempo reale applicazioni che
svolgono operazioni pericolose, il firewall avanzato, gli strumenti per
la navigazione privata, il controllo parentale, la ******* delle
transazioni online, la rete VPN e così via.

Kaspersky Free non espone messaggi pubblicitari durante il suo
funzionamento e nel corso dell'installazione è possibile scegliere se
partecipare o meno alla raccolta di dati statistici (anonimi) da parte
della società sviluppatrice.

https://www.kaspersky.com/free-antivirus
K®54........dreaming GTR (netpc) 7 Ago 2017 10:13
K®54 quota maaatteo che sottosterzando di brutto scrisse il
04/08/2017 alle 12:01:32 :

> Kaspersky Free viene rilasciato oggi in versione finale,

> https://www.kaspersky.com/free-antivirus

bene
ordunque sarà piu' leggero o pesante dell'ormai pesante avira
free ?

--
ciao e grazie
by k54
Gabriele - onenet 9 Ago 2017 21:51
maaatteo wrote on 04/08/17 12:01:
> Kaspersky Free viene rilasciato oggi in versione finale, completamente
gratuita,
> in tutto il mondo, Italia compresa.
> L'unico requisito per utilizzare l'antivirus gratuito di Kaspersky consiste
> nella creazione di un account utente personale; per il resto si potranno usare
> tutte le funzionalità di un prodotto che - per essere totalmente a costo zero
[cut]

> https://www.kaspersky.com/free-antivirus

Allora hanno anticipato i tempi, perché qualche giorno fa per l'Italia la
copertura era prevista a ottobre se ricordo bene.
Nel sito italiano propone solo le versioni a pagamento.
Greg 12 Ago 2017 08:27
Il 04/08/2017 12:01:32 maaatteo ha scritto:

> L'unico requisito per utilizzare l'antivirus gratuito di Kaspersky consiste
nella creazione di un account utente
> personale

Da fare durante l'installazione, dopo o prima?

> per il resto si potranno usare tutte le funzionalità di un prodotto che - per
essere totalmente a costo
> zero - integra caratteristiche evolute.

Questo vuol dire che si ripaga con i dati dell'utente, come altri, costo zerno
non esiste

--
Greg
GbC 17 Ago 2017 14:57
Il 09/08/2017 21:51, Gabriele - onenet ha scritto:
> maaatteo wrote on 04/08/17 12:01:
>> Kaspersky Free viene rilasciato oggi in versione finale, completamente
>> gratuita,
>> in tutto il mondo, Italia compresa.
>> L'unico requisito per utilizzare l'antivirus gratuito di Kaspersky
>> consiste
>> nella creazione di un account utente personale; per il resto si
>> potranno usare
>> tutte le funzionalità di un prodotto che - per essere totalmente a
>> costo zero
> [cut]
>
>> https://www.kaspersky.com/free-antivirus
>
> Allora hanno anticipato i tempi, perché qualche giorno fa per l'Italia
> la copertura era prevista a ottobre se ricordo bene.
> Nel sito italiano propone solo le versioni a pagamento.

La versione free del sito Kaspersky è in inglese, ed alcune funzioni
della versione completa non sono attive. Non conoscevo KAV e dopo una
prima disamina mi pare *IMHO* troppo 'comunicativo', cioè che rompa
troppo con notifiche ed autorizzazioni.


--
GbC
www.gbc.uno
Greg 17 Ago 2017 19:30
Il 17/08/2017 14:57:01 GbC ha scritto:

> La versione free del sito Kaspersky è in inglese, ed alcune funzioni della
versione completa non sono attive. Non
> conoscevo KAV e dopo una prima disamina mi pare *IMHO* troppo 'comunicativo',
cioè che rompa troppo con notifiche ed
> autorizzazioni.

Si, ma trova virus dove non ci sono in alcun prog VB, e poi nonto che la licenza
free ha una scadenza di 365 giorni.
Alla fine l'ho tolto e sono tornato al vecchio Clam AV

--
Greg
Greg 17 Ago 2017 19:31
Il 17/08/2017 14:57:01 GbC ha scritto:

> La versione free del sito Kaspersky è in inglese, ed alcune funzioni della
versione completa non sono attive. Non
> conoscevo KAV e dopo una prima disamina mi pare *IMHO* troppo 'comunicativo',
cioè che rompa troppo con notifiche ed
> autorizzazioni.

Si, ma trova virus dove non ci sono, in alcun miei prog VB, e poi noto che la
licenza free ha una scadenza di 365
giorni. Alla fine l'ho tolto e sono tornato al vecchio Clam AV

--
Greg
GbC 18 Ago 2017 11:26
Il 17/08/2017 19:31, Greg ha scritto:
> Il 17/08/2017 14:57:01 GbC ha scritto:
>
>> La versione free del sito Kaspersky è in inglese, ed alcune funzioni
>> della versione completa non sono attive. Non conoscevo KAV e dopo una
>> prima disamina mi pare *IMHO* troppo 'comunicativo', cioè che rompa
>> troppo con notifiche ed autorizzazioni.
>
> Si, ma trova virus dove non ci sono, in alcun miei prog VB, e poi noto
> che la licenza free ha una scadenza di 365 giorni. Alla fine l'ho tolto
> e sono tornato al vecchio Clam AV
>

Beh anche MSE ed altri non si risparmiano in quanto a falsi positivi,
addirittura in applicativi fatti da me (in vari linguaggi) che cambiando
le opzioni di compilazione passavano senza problemi; cioè non erano le
istruzioni contenute o le operazioni compiute dal codice che facevano
scattare l'euristica, ma semplicemente una simile matrice di bit di
riferimento. Scioccante. I falsi positivi ci sotterreranno.

Mai usato Clam. Per come uso il computer potrei anche non avere una AV.
Il firewall basterebbe.

Per la durata della versione free *immagino* che allo scadere dei 365
giorni la licenza venga rinnovata automaticamente.

Per ora smanettando sulle opzioni l'ho ridotto al *quasi* silenzio e lo
tengo. Staremo a vedere...

Certo che gli AV sono prodotti davvero fatti male.

Non servono se non su codice malevolo conosciuto (sfido chiunque a
tenere l'euristica alta con qualsiasi AV, e se la tieni bassa sono
inutili), perché per i virus in-the-wild te li prendi e stai sereno.

I falsi positivi li rendono inaffidabili e alla fine ('al lupo, al lupo'
insegna) si rischia che i veri virus passino, scambiati per falsi positivi.

Rallentano immensamente l'*****ware, al limite dell'usabilità.

Per i motivi espressi in precedenza tutti gli AV sono *genericamente*
inaffidabili, nel senso che non garantiscono in alcun modo la ******* quindi,
a logica, servono a poco.

Così come sono che esistono a fare?

Non c'è niente in giro, se non pochi colpi di genio, che *****izzi le
poche cose che davvero sono indispensabili. Il primo Windows Defender
(oltre 10 anni fa) lo faceva. Autoruns di Russinovich (un genio) lo fa
ma, se non ricordo male, solo su richiesta ed è un semplice tool (anni
fa me ne ero scritto uno simile, che uso ancora, che mi avvisa all'avvio
ed allo spegnimento se qualcosa ha cambiato le cose importanti del
compIUter; ha anche una funzione in realtime ma la trovo fasti*****sa).

Insomma non so che direzione stia prendendo questo mondo di Windows.

--
GbC
www.gbc.uno
Greg 18 Ago 2017 18:24
Il 18/08/2017 11:26:14 GbC ha scritto:

> Beh anche MSE ed altri non si risparmiano in quanto a falsi positivi,
addirittura in applicativi fatti da me (in vari
> linguaggi) che cambiando le opzioni di compilazione passavano senza problemi;
cioè non erano le istruzioni contenute
> o le operazioni compiute dal codice che facevano scattare l'euristica, ma
semplicemente una simile matrice di bit di
> riferimento. Scioccante. I falsi positivi ci sotterreranno.

Se ti ricordi, il mese di maggio postai sul ng di VB un frammento di codice che
una volta compilato, in tutti i modi
posisbili, dava falso positivo, e ci avevo messo un sacco di tempo ad isolarlo
da un programma abbastanza grosso! E la
cosa è cominciata quest'anno, prima lo stesso codice andava bene.

> Non c'è niente in giro, se non pochi colpi di genio, che *****izzi le poche
cose che davvero sono indispensabili. Il
> primo Windows Defender (oltre 10 anni fa) lo faceva. Autoruns di Russinovich
(un genio) lo fa ma, se non ricordo
> male, solo su richiesta ed è un semplice tool

Non ho capito bene, cosa fa precisamente su richiesta? e come si fa ad
impostarlo? intanto l'ho scaricato, assomiglia
ad un altro tool di MS di cui non ricordo il nome adesso...

> (anni fa me ne ero scritto uno simile, che uso ancora, che mi avvisa
> all'avvio ed allo spegnimento se qualcosa ha cambiato le cose importanti del
compIUter; ha anche una funzione in
> realtime ma la trovo fasti*****sa).

E si può avere, scaricare da qualche parte?
Se non sbaglio è tuo anche CryptoStopper, per il quale ti ringrazio ancora:
funzionale e silente :)

> Insomma non so che direzione stia prendendo questo mondo di Windows.

Credo non sappia nessuno, manco loro :(

--
Greg
Greg 18 Ago 2017 19:53
Il 18/08/2017 18:24:49 Greg ha scritto:
> Il 18/08/2017 11:26:14 GbC ha scritto:
>
>> Beh anche MSE ed altri non si risparmiano in quanto a falsi positivi,
addirittura in applicativi fatti da me (in
>> vari linguaggi) che cambiando le opzioni di compilazione passavano senza
problemi; cioè non erano le istruzioni
>> contenute o le operazioni compiute dal codice che facevano scattare
l'euristica, ma semplicemente una simile
>> matrice di bit di riferimento. Scioccante. I falsi positivi ci sotterreranno.
>
> Se ti ricordi, il mese di maggio postai sul ng di VB un frammento di codice
che una volta compilato, in tutti i modi
> posisbili, dava falso positivo, e ci avevo messo un sacco di tempo ad isolarlo
da un programma abbastanza grosso! E
> la cosa è cominciata quest'anno, prima lo stesso codice andava bene.

Ho ripreso in mano quel vecchio codice indigesto a Kaspersky:

CurrH = Screen.Height / Screen.TwipsPerPixelY
CurrW = Screen.Width / Screen.TwipsPerPixelX
SavLog "Display", CurrW & " x " & CurrH
SavLog "Display", " "

e l'ho modificato inq eusto modo:

h1 = Screen.Height
h2 = Screen.TwipsPerPixelY
w1 = Screen.Width
w2 = Screen.TwipsPerPixelX
SavLog "MNT", CStr(h2) & " " & CStr(w2) & " "

--
Greg
Greg 18 Ago 2017 19:57
Il 18/08/2017 18:24:49 Greg ha scritto:
> Il 18/08/2017 11:26:14 GbC ha scritto:
>
>> Beh anche MSE ed altri non si risparmiano in quanto a falsi positivi,
addirittura in applicativi fatti da me (in
>> vari linguaggi) che cambiando le opzioni di compilazione passavano senza
problemi; cioè non erano le istruzioni
>> contenute o le operazioni compiute dal codice che facevano scattare
l'euristica, ma semplicemente una simile
>> matrice di bit di riferimento. Scioccante. I falsi positivi ci sotterreranno.
>
> Se ti ricordi, il mese di maggio postai sul ng di VB un frammento di codice
che una volta compilato, in tutti i modi
> posisbili, dava falso positivo, e ci avevo messo un sacco di tempo ad isolarlo
da un programma abbastanza grosso! E
> la cosa è cominciata quest'anno, prima lo stesso codice andava bene.


Ho ripreso in mano quel vecchio codice indigesto a Kaspersky:

CurrH = Screen.Height / Screen.TwipsPerPixelY
CurrW = Screen.Width / Screen.TwipsPerPixelX
SavLog "Display", CurrW & " x " & CurrH
SavLog "Display", " "

e l'ho modificato in qusto modo che viene dichiarato pulito:

h1 = Screen.Height
h2 = Screen.TwipsPerPixelY
w1 = Screen.Width
w2 = Screen.TwipsPerPixelX
SavLog "MNT", CStr(h2) & " " & CStr(w2) & " "

Sembrerebbe che non digerisca la parola Display (o l'italiana Monitor) subito
aver rilevato lo Screen, e ho pure
convertito in stringa il numero per sovrappiu

Non mi chiedo perchè, cosi gli va bene e non lo tocco più!

--
Greg
GbC 21 Ago 2017 09:32
Il 18/08/2017 18:24, Greg ha scritto:
> Il 18/08/2017 11:26:14 GbC ha scritto:
[snip]
>> Non c'è niente in giro, se non pochi colpi di genio, che *****izzi le
>> poche cose che davvero sono indispensabili. Il primo Windows Defender
>> (oltre 10 anni fa) lo faceva. Autoruns di Russinovich (un genio) lo fa
>> ma, se non ricordo male, solo su richiesta ed è un semplice tool
>
> Non ho capito bene, cosa fa precisamente su richiesta? e come si fa ad
> impostarlo? intanto l'ho scaricato, assomiglia ad un altro tool di MS di
> cui non ricordo il nome adesso...

Autoruns controlla se qualcosa si avvia nelle aree di sistema, indsomma
se qualcosa è cambiato nelle procedure di avvio del computer.

>> (anni fa me ne ero scritto uno simile, che uso ancora, che mi avvisa
>> all'avvio ed allo spegnimento se qualcosa ha cambiato le cose
>> importanti del compIUter; ha anche una funzione in realtime ma la
>> trovo fasti*****sa).
>
> E si può avere, scaricare da qualche parte?

No, è un Work In Progress troppo rozzo.
Autoruns è meglio.

Ciao e buona giornata


--
GbC
www.gbc.uno
Greg 21 Ago 2017 16:19
Il 21/08/17 09:32:18 GbC ha scritto:
> Il 18/08/2017 18:24, Greg ha scritto:
>> Il 18/08/2017 11:26:14 GbC ha scritto:
> [snip]
>>> Non c'è niente in giro, se non pochi colpi di genio, che *****izzi le poche
cose che davvero sono indispensabili.
>>> Il primo Windows Defender (oltre 10 anni fa) lo faceva. Autoruns di
Russinovich (un genio) lo fa ma, se non
>>> ricordo male, solo su richiesta ed è un semplice tool
>>
>> Non ho capito bene, cosa fa precisamente su richiesta? e come si fa ad
impostarlo? intanto l'ho scaricato,
>> assomiglia ad un altro tool di MS di cui non ricordo il nome adesso...
>
> Autoruns controlla se qualcosa si avvia nelle aree di sistema, indsomma se
qualcosa è cambiato nelle procedure di
> avvio del computer.
>
>>> (anni fa me ne ero scritto uno simile, che uso ancora, che mi avvisa
all'avvio ed allo spegnimento se qualcosa ha
>>> cambiato le cose importanti del compIUter; ha anche una funzione in realtime
ma la trovo fasti*****sa).
>>
>> E si può avere, scaricare da qualche parte?
>
> No, è un Work In Progress troppo rozzo.
> Autoruns è meglio.
>
> Ciao e buona giornata

Merci, buona giornata anche a te :)

--
Greg
Hans 9 Set 2017 03:24
Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:

> CryptoStopper

https://www.virustotal.com/en ******* 044392a05615649e21de3b84d31afc402d3cd9c4
69b75d4499f6c05bae569745/*****ysis/1504919800/
Hans 9 Set 2017 03:24
Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:

> CryptoStopper

360 Total Security lo vede come virus e lo elimina
GbC 11 Set 2017 10:28
Il 09/09/2017 03:24, Hans ha scritto:
> Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:
>
>> CryptoStopper
>
> 360 Total Security lo vede come virus e lo elimina
>

Ah, grazie della segnalazione. Non conosco 360 TS, qui usiamo KAV, MSE,
F-Prot, Avira e qualche altra amenità simile.

CryptoStopper (CS) l'ho scritto personalmente, non usa librerie esterne
ed il codice sorgente VB6 sto pensando di mettendo online, così ognuno
se vuole lo compila. Non è così semplice in realtà, perché potrebbero
essere generate versioni fake; quindi devo pensarci su.

Visto che si parla dell'inutilità degli antivirus ho fatto qualche
prova, perché l'*****isi non euristica non segnala nulla, ed oramai CS è
scaricabile da 18 mesi (dal 25/02/2016 l'eseguibile non viene
aggiornato) e se fosse stato un virus lo sapremmo.

Vediamo cosa fa il mio programma.

A) CS legge delle chiavi dal registro ed (solo su richiesta) le modifica.

B) CS attiva/disattiva WSH (windows scripting host), che consente
l'esecuzione arbitraria di codice. Questo problema esiste dal 2004 in
Windows, ed è una eredità di Active Directory, come ben sanno gli
amministratori di server NT.

C) CS è compresso con UPX, per limitare le dimensioni dell'eseguibile.

D) CS è scritto con VB6 (perfetto per questi piccoli tool).

E) CS non usa la rete in alcun modo.

Vediamo i possibili problemi.

(A) Non può essere un problema che una eventuale euristica identifichi,
perché il 99% dei programmi legge e scrive nel registro.

(B) Potrebbe essere identificato dall'euristica come una azione
malevola: se un virus trova MSH disattivato potrebbe riattivarlo, e
questo potrei capirlo.

(C) Molto codice malevolo (ma altrettanti programmi *sani*) sono
compressi con UPX, sia per rendere l'eseguibile più agile e rapido sia
per evitare intromissioni da smanettoni (editor esadecinali, debugger ed
altro)

(D) Visual Basic è un linguaggio molto diffuso e probabilmente è stato
usato per scrivere codice malevolo. Ma almeno il 40% (stima MS) delle
applicazioni legali (specie in ambiente gestionale) per PC sono scritte
con quello strumento.

(E) Irrilevante

Allora... Una euristica *****uta avrebbe dovuto attivarsi per (B), mentre
(A) (C) e (D) sono elementi talmente generici da non poter essere presi
come riferimento. Quindi ho fatto una prova. Ho ricompilato e
ri*****izzato CS, prima e dopo la compressione con upx. Non ho potuto
decomprimere quello online (che comunque resta online) perché la
decompressione UPX non genera codice identico all'originale (rialloca le
risorse).

Questi i risultati

------------------------
NO UPX (2/64)

https://www.virustotal.com/en *******
18d2a979106a3528ce797da75a6ccb3eac1548d93b6c97c28a6f171f1a4a2e4d/*****ysis/1505115407/

http://tinyurl.com/ybgvmd6c

------------------------
UPX (9/64)

https://www.virustotal.com/en *******
6b7b2aa6c69958fc539944ef01ef129648cf74849450edaeeaa1d425db08d433/*****ysis/1505115486/

http://tinyurl.com/y7chd4o2

------------------------

E pensi che qualcuno si sia accorto che CS attiva e disattiva MSH? No,
hanno catturato l'attenzione solo UPX e VB. Questo certifica, se mai ce
ne fosse ancora bisogno, l'erraticità di molti motori AV. È come dire
che tutti quelli che guidano l'automobile sono dei ladri perché i
rapinatori usano le auto per scappare.

Voglio solo dire una cosa: il proliferare di motori AV di dubbia
provenienza, qualità e tecnologia, aumenta il numero di segnalazioni
immotivate, generando nella mente degli utenti inesperti il dubbio che
l'AV sbagli, e questo non è bene.

Come in tutte le cose si deve usare sempre il cervello e mai affidarsi
cecamente agli strumenti, che possono essere imprecisi.

In tutti i casi il programma è lì.
Se vuoi lo scarichi e lo usi, altrimenti no.



--
GbC
www.gbc.uno
Hans 12 Set 2017 02:56
GbC <info@gbcdepot.com> wrote in news:op5hfn$1qto$1@gioia.aioe.org:

> Il 09/09/2017 03:24, Hans ha scritto:
>> Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:
>>
>>> CryptoStopper
>>
>> 360 Total Security lo vede come virus e lo elimina
>>
>
> Ah, grazie della segnalazione. Non conosco 360 TS, qui usiamo KAV,
> MSE, F-Prot, Avira e qualche altra amenità simile.

Come avrai letto 360 utilizza, oltre ai suoi motori AV online, anche altri
motori opzionalmente scaricabili di cui Avira e BItdefender.

A mio parere il fattore critico di 360 e' infine Avira, sempre piu'
inaffidabile, meglio dire eccessivo ma troppo generalista vs la sicurezza,
visti i falsi positivi che segnala.

Qui chiaramente utilizziamo, testiamo, oltre le miradi di altri sw hw ecc,
anche altri AV e vari antimalware e affini.

A proposito di altri AV ebbene, giusto per segnalazione, il tuo programma
sotto altri AV (F-Prot con *****isi euristica / HitmanPro e altri) e'
risultato regolare.

Considerato il settore critico in cui operiamo non manchiamo di fare
continui, talvolta estenuanti, check.

Comunque la mia era solo una segnalazione puramente informativa, giusto per
informarti.

La tua articolata risposta, di cui ringrazio, riprova che la mia
convinzione di segnalazione e' stata compresa per il corretto fine:
individuare il perche'.

Seppure immagino e vedo dai tuoi link che infine - poi appena ho uno spazio
libero di tempo farò altri approfondimenti, se permetti (?) OllyDbg e altri
- trattasi di Avira con le sue eccessive generalistiche segnalazioni, non
e' la prima volta seppure comprendendo quale sia il loro target.

> CryptoStopper (CS) l'ho scritto personalmente, non usa librerie
> esterne ed il codice sorgente VB6 sto pensando di mettendo online,
> così ognuno se vuole lo compila. Non è così semplice in realtà, perché
> potrebbero essere generate versioni fake; quindi devo pensarci su.

Comprendo le tue perplessita' e fai bene a pensarci su. Cio' dipende dal
tuo fine.

A mio parere, per ora, piu' che porre il sorgente online, lavorerei vs
migliorie, anche attrattive e accattivanti, nel frattempo facendolo
'certificare' e muovendo review ecc., e' il 'mercato' di oggi che lo
richiede, penso che oggi potresti ottenere buoni risultati, in tutti i
sensi.

> Visto che si parla dell'inutilità degli antivirus ho fatto qualche
> prova, perché l'*****isi non euristica non segnala nulla, ed oramai CS
> è scaricabile da 18 mesi (dal 25/02/2016 l'eseguibile non viene
> aggiornato) e se fosse stato un virus lo sapremmo.

Euristica o meno molti AV ugualmente, in generale, segnalano continuamente
falsi positivi anche se, dall'altra, bisogna dire che molti AV utilizzano
firme e motori tratti dai soliti AV.

Gli Av sono inutili? Mha, di fatto per l'utente finale, ma anche per altri,
e' sempre bene averlo attivo tanto come prima trincea, dall'altra sappiamo
bene che il miglior AV e' fare attenzione e sapere cosa si fa oltre
applicare quel minimo di sicurezze prima di buttarsi sul click. Vuoi
'giocare' a fare test, sandboxie o altri oppure meglio farlo su una
macchina virtuale oltre altro ancora.

> Vediamo cosa fa il mio programma.
>
> A) CS legge delle chiavi dal registro ed (solo su richiesta) le
> modifica.
>
> B) CS attiva/disattiva WSH (windows scripting host), che consente
> l'esecuzione arbitraria di codice. Questo problema esiste dal 2004 in
> Windows, ed è una eredità di Active Directory, come ben sanno gli
> amministratori di server NT.
>
> C) CS è compresso con UPX, per limitare le dimensioni dell'eseguibile.

Non trovi che sia un po' debole UPX?

> D) CS è scritto con VB6 (perfetto per questi piccoli tool).

sto pensando che diminuiresti il tempo di allert se sviluppato in assembly

> E) CS non usa la rete in alcun modo.
>
> Vediamo i possibili problemi.
>
> (A) Non può essere un problema che una eventuale euristica
> identifichi, perché il 99% dei programmi legge e scrive nel registro.

Non e' detto, dipende dal motore, Avira e' un esempio di applicazione con
sistema euristico eppure ...

> (B) Potrebbe essere identificato dall'euristica come una azione
> malevola: se un virus trova MSH disattivato potrebbe riattivarlo, e
> questo potrei capirlo.

Si, e' una probabilita'

> (C) Molto codice malevolo (ma altrettanti programmi *sani*) sono
> compressi con UPX, sia per rendere l'eseguibile più agile e rapido sia
> per evitare intromissioni da smanettoni (editor esadecinali, debugger
> ed altro)

Non esistono compilati compressi ecc che con corretto RE (Reverse
Engineering) infine non sorridono con il suo 'hello world'

Aggiungo pero' che alcuni AV vedendo la compressione, quindi nell'atto
pratico *****izzando alcunche, infine preferiscono per logiche di politiche
commerciali immediatamente lanciare un msg di avvertimento con immediata
quarantena del *******

> (D) Visual Basic è un linguaggio molto diffuso e probabilmente è stato
> usato per scrivere codice malevolo. Ma almeno il 40% (stima MS) delle
> applicazioni legali (specie in ambiente gestionale) per PC sono
> scritte con quello strumento.

no, non e' quello il prob, anche se ho visto segnalazioni come virus su
moduli di sw di contabilita' che e' da decadi che e' sul mercato sviluppato
con VB.

Come ho visto segnalazioni di virus solo perche' all'interno c'erano
parole, testo, word, non in sintonia con l'AV di turno.

Quindi ...

> (E) Irrilevante
>
> Allora... Una euristica *****uta avrebbe dovuto attivarsi per (B),

potrebbe, come detto e' l'eccessiva sicurezza ma troppo generalista,
questione di motore ... e di mercato ... che infine produce avvisi a gogo

> mentre (A) (C) e (D) sono elementi talmente generici da non poter
> essere presi come riferimento.

Io propenderei per il C per quanto riguarda Avira ma non solo per Avira

> Quindi ho fatto una prova. Ho
> ricompilato e ri*****izzato CS, prima e dopo la compressione con upx.
> Non ho potuto decomprimere quello online (che comunque resta online)
> perché la decompressione UPX non genera codice identico all'originale
> (rialloca le risorse).
>
> Questi i risultati
>
> ------------------------
> NO UPX (2/64)
>
> https://www.virustotal.com/en ******* 18d2a979106a3528ce797da75a6ccb3eac15
> 48d93b6c97c28a6f171f1a4a2e4d/*****ysis/1505115407/
>
> http://tinyurl.com/ybgvmd6c
>
> ------------------------
> UPX (9/64)
>
> https://www.virustotal.com/en ******* 6b7b2aa6c69958fc539944ef01ef129648cf
> 74849450edaeeaa1d425db08d433/*****ysis/1505115486/
>
> http://tinyurl.com/y7chd4o2
>
> ------------------------
>
> E pensi che qualcuno si sia accorto che CS attiva e disattiva MSH? No,
> hanno catturato l'attenzione solo UPX e VB. Questo certifica, se mai
> ce ne fosse ancora bisogno, l'erraticità di molti motori AV. È come
> dire che tutti quelli che guidano l'automobile sono dei ladri perché i
> rapinatori usano le auto per scappare.

Concordo! Come detto sopra il problema per molti AV e' la compressione, il
******* e' compresso? Immediata quarantena e segnalazione di virus! Wow, che
motore, che *****isi, fumo poco arrosto.

Altro esempio, ma non l'unico, di utility che sono soggette a falsi
positivi: nirsoft

Certo, questo non significa che altri possono essere malevoli, questione di
'testa'.

> Voglio solo dire una cosa: il proliferare di motori AV di dubbia
> provenienza, qualità e tecnologia, aumenta il numero di segnalazioni
> immotivate, generando nella mente degli utenti inesperti il dubbio che
> l'AV sbagli, e questo non è bene.

Concordo in pieno, dall'altra invece ci altri altri che credono che il
loro, nota 'il loro', AV sia la bibbia.

Comunque oggi ci son ben altri problemi piu' subdoli sempre stando in tema
di sicurezza.

> Come in tutte le cose si deve usare sempre il cervello e mai affidarsi
> cecamente agli strumenti, che possono essere imprecisi.

In sintesi hai scritto cio' che ho pensato fin dall'inizio e che anche io
ti ho scritto sopra, quindi concordo con la tua *****isi.

Dall'altra pero' proviamo a metterci nei panni dell'utenza finale,
stressata gia dalle mille e mille attenzioni (lavoro, fisco, scadenze
perentorio ed eccessive, probs burocratiche, famiglia, figli ecc) e tutto
cio' solo per sopravvivere e che a queste ultime si aggiungono anche le
ennesime mille attenzioni per ogni 'cavillo' anche informatico / ICT, certo
la soluzione e' che se vuoi 'giocare' fallo in virtualbox o altra maniera,
ma non sempre si e' lucidi e talvolta anche i 'migliori' cascano in qualche
'trappola' per semplice distrazione, daltronde basta un click.

La mia logica invece mi impone, mi impongo, che se non e' giornata
piuttosto dormo, mi rilasso, facio altro, ma non tutti possono
permetterselo.

Quindi a maggior ragione che gli AV, come altro, dovrebbero essere piu'
attenti, ma dall'altra esiste il mercato e qui si apre una voragine.

Nel tuo caso, giusto un pensiero, a maggior ragione di propendere vs
migliorie, vedila come una sfida, al fine che, per ora (!), non ci sia piu'
alcun avviso e segnalazione da virustotal :).

> In tutti i casi il programma è lì.
> Se vuoi lo scarichi e lo usi, altrimenti no.

Figurati se mi faccio remore, penso che siamo sulla stessa 'onda', basta un
paio di click in 'trustlist' fine del problema, sempre se lo fosse :).

Let's stay in touch!
Hans 12 Set 2017 03:26
GbC <info@gbcdepot.com> wrote in news:op5hfn$1qto$1@gioia.aioe.org:

> Il 09/09/2017 03:24, Hans ha scritto:
>> Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:
>>
>>> CryptoStopper
>>
>> 360 Total Security lo vede come virus e lo elimina
>>
>
> Ah, grazie della segnalazione. Non conosco 360 TS, qui usiamo KAV, MSE,
> F-Prot, Avira e qualche altra amenità simile.
>

Il log con Avira su 360:

Type:
Win32/Trojan.Dropper.b73

Scan Engine:
360 Cloud Scan Engine
******* path:
...\CryptoStopper.exe
******* size:
81.5K (83,456 Bytes)
******* version:
1.00.0023
******* description:
a tool to stop CriptoLocker exe *******
MD5:
8f0818c6976877a7d648d5fb624063ef

Suggestion:
Quarantined files
Hans 12 Set 2017 03:26
GbC <info@gbcdepot.com> wrote in news:op5hfn$1qto$1@gioia.aioe.org:

> Il 09/09/2017 03:24, Hans ha scritto:
>> Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:
>>
>>> CryptoStopper
>>
>> 360 Total Security lo vede come virus e lo elimina
>>
>
> Ah, grazie della segnalazione. Non conosco 360 TS, qui usiamo KAV, MSE,
> F-Prot, Avira e qualche altra amenità simile.
>

Su 360 ho disabilitato Avira, solo Avira, quindi rimanevano attivi gli
altri.

Quindi ho riesumato dalla quarantena la tua utility sw, l'ho esaminata con
360 e altri e non ho ottenuto problemi.

Quindi di primo achitto ti confermo che e' Avira che lo vede come virus o
meglio vede la compressione e immediatamente lo pone in quarantena con
avviso di virus.
Hans 12 Set 2017 04:56
GbC <info@gbcdepot.com> wrote in news:op5hfn$1qto$1@gioia.aioe.org:

> Il 09/09/2017 03:24, Hans ha scritto:
>> Greg <greg@alicie.com> wrote in news:on74cm$tv4$1@solani.org:
>>
>>> CryptoStopper
>>
>> 360 Total Security lo vede come virus e lo elimina
>>
>
> Ah, grazie della segnalazione. Non conosco 360 TS, qui usiamo KAV,
> MSE, F-Prot, Avira e qualche altra amenità simile.
>

[...]

> C) CS è compresso con UPX, per limitare le dimensioni dell'eseguibile.

[...]

> (C) Molto codice malevolo (ma altrettanti programmi *sani*) sono
> compressi con UPX, sia per rendere l'eseguibile più agile e rapido sia
> per evitare intromissioni da smanettoni (editor esadecinali, debugger
> ed altro)

Ok, *****izzato, il problema e' la compressione o meglio, per Avira e altri,
la firma 'software taggant' di cui Avira e altri fanno parte.

Non ti rimane:

a) la firma c/o http://www.ieee.org/index.html (vuol dire burocrazia,
tant'e' che F-Prot ha rifiutato questo metodo)

b) contattare Avira, e gli altri AV, pendo che avranno aree apposite sul
loro sito, alcuni le hanno ma Avira non so. Quindi tentare di farti
includere nelle loro whitelisting (sempre che non trovi l'indiano scimmia e
allora otterresti solo problemi)

c) potresti tentare la via della firma digitale al tuo .exe, piuttosto che
affrontare la burocrazia 'taggant'

d) non usare compressione

Giusto un link per riassumere tutti i problemi, anche con google, della
compressione senza taggant, firma ecc:

https://forum.tuts4you.com/topic/37417-mitigating-false-positives/
GbC 12 Set 2017 10:39
Grazie per i consigli (del tutto inutili) e per il discredito che hai
buttato su di me, sul mio lavoro e su CS.

Hai detto "Hai l'AIDS" e poi detto "ah ma il metodo di *****isi che ho
usato è impreciso": purtroppo quello che hai scritto resta.

Forse sei in buonafede (voglio sperarlo); se è così cogli l'occasione
per capire che accusare qualcuno è sempre una brutta cosa, specie se non
si è certi di ciò che si fa. E che quello che si scrive resta.

Se sei in malafede (inizio a pensarlo) hai ottenuto il tuo obiettivo.

In tutti i casi toglierò CS da internet, ma l'accusa di avere scritto
codice malevolo rimarrà connessa al mio nome ad imperituro ricordo.

Grazie.


--
GbC
www.gbc.uno
Hans 12 Set 2017 11:56
GbC <info@gbcdepot.com> wrote in news:op86gd$sk6$1@gioia.aioe.org:

> Grazie per i consigli (del tutto inutili)

Ok no probs

> e per il discredito che hai
> buttato su di me, sul mio lavoro e su CS.
>
> Hai detto "Hai l'AIDS"

Cosa!? Mai scritto nulla del genere, leggi di nuono i miei post!


> e poi detto "ah ma il metodo di *****isi che ho
> usato è impreciso": purtroppo quello che hai scritto resta.
>
> Forse sei in buonafede (voglio sperarlo); se è così cogli l'occasione
> per capire che accusare qualcuno è sempre una brutta cosa, specie se non
> si è certi di ciò che si fa. E che quello che si scrive resta.
>
> Se sei in malafede (inizio a pensarlo) hai ottenuto il tuo obiettivo.
>
> In tutti i casi toglierò CS da internet, ma l'accusa di avere scritto
> codice malevolo rimarrà connessa al mio nome ad imperituro ricordo.
>
> Grazie.

Scusa, ma hai problemi di astinenza di qualche roba strana?

Non ho mai scritto quello che tu blateri e tanto meno ho buttato discredito
sul tuo sw, anzi al contrario!

E' evidente che devi avere qualche problema.

A*****s!
GbC 12 Set 2017 12:49
Il 12/09/2017 11:56, Hans ha scritto:
> GbC <info@gbcdepot.com> wrote in news:op86gd$sk6$1@gioia.aioe.org:
>
>> Grazie per i consigli (del tutto inutili)
>
> Ok no probs
>
>> e per il discredito che hai
>> buttato su di me, sul mio lavoro e su CS.
>>
>> Hai detto "Hai l'AIDS"
>
> Cosa!? Mai scritto nulla del genere, leggi di nuono i miei post!
>
>
>> e poi detto "ah ma il metodo di *****isi che ho
>> usato è impreciso": purtroppo quello che hai scritto resta.
>>
>> Forse sei in buonafede (voglio sperarlo); se è così cogli l'occasione
>> per capire che accusare qualcuno è sempre una brutta cosa, specie se non
>> si è certi di ciò che si fa. E che quello che si scrive resta.
>>
>> Se sei in malafede (inizio a pensarlo) hai ottenuto il tuo obiettivo.
>>
>> In tutti i casi toglierò CS da internet, ma l'accusa di avere scritto
>> codice malevolo rimarrà connessa al mio nome ad imperituro ricordo.
>>
>> Grazie.
>
> Scusa, ma hai problemi di astinenza di qualche roba strana?
>
> Non ho mai scritto quello che tu blateri e tanto meno ho buttato discredito
> sul tuo sw, anzi al contrario!
>
> E' evidente che devi avere qualche problema.
>
> A*****s!
>

A parte che non sai quotare, hai scritto:

[paste]
> CryptoStopper
360 Total Security lo vede come virus e lo elimina
[/paste]

ed anche

[paste]
> CryptoStopper
https://www.virustotal.com/en ******* [snip]/
[/paste]

C'è scritto 'CryptoStopper - 360 Total Security lo vede come virus e lo
elimina', ma non è vero che è un virus: questo si chiama diffamazione.
Prima di postare link e log avresti dovuto accertarti del motivo e della
consistenza del rilevamento, ma non lo hai fatto.

Quello che resta (basta fare una ricerca) è il mio nome (non il tuo
perché non ti firmi e la tua mail non esiste) affiancato a
'CryptoStopper - 360 Total Security lo vede come virus e lo elimina'.
Non hai informato solo me, lo hai detto a tutta usenet e da lì a tutta
internet, lo capisci? E lì resterà per sempre, con mia grande gioia.


--
GbC
www.gbc.uno
Hans 13 Set 2017 03:56
GbC <info@gbcdepot.com> wrote in news:op8e44$1bep$1@gioia.aioe.org:

> Il 12/09/2017 11:56, Hans ha scritto:
>> GbC <info@gbcdepot.com> wrote in news:op86gd$sk6$1@gioia.aioe.org:
>>
>>> Grazie per i consigli (del tutto inutili)
>>
>> Ok no probs
>>
>>> e per il discredito che hai
>>> buttato su di me, sul mio lavoro e su CS.
>>>
>>> Hai detto "Hai l'AIDS"
>>
>> Cosa!? Mai scritto nulla del genere, leggi di nuono i miei post!
>>
>>
>>> e poi detto "ah ma il metodo di *****isi che ho
>>> usato è impreciso": purtroppo quello che hai scritto resta.
>>>
>>> Forse sei in buonafede (voglio sperarlo); se è così cogli
>>> l'occasione per capire che accusare qualcuno è sempre una brutta
>>> cosa, specie se non si è certi di ciò che si fa. E che quello che si
>>> scrive resta.
>>>
>>> Se sei in malafede (inizio a pensarlo) hai ottenuto il tuo
>>> obiettivo.
>>>
>>> In tutti i casi toglierò CS da internet, ma l'accusa di avere
>>> scritto codice malevolo rimarrà connessa al mio nome ad imperituro
>>> ricordo.
>>>
>>> Grazie.
>>
>> Scusa, ma hai problemi di astinenza di qualche roba strana?
>>
>> Non ho mai scritto quello che tu blateri e tanto meno ho buttato
>> discredito sul tuo sw, anzi al contrario!
>>
>> E' evidente che devi avere qualche problema.
>>
>> A*****s!
>>

ULTIMO POST!

> A parte che non sai quotare, hai scritto:

Tu neppure sai cos'e' il quote, quindi lascia perdere, piu' scrivi piu'
confermi d'essere in astinenza di cose strane.

> [paste]
>> CryptoStopper
> 360 Total Security lo vede come virus e lo elimina
> [/paste]

E da bravo programmatore provvedevi, invece di blaterare!

> ed anche
>
> [paste]
>> CryptoStopper
> https://www.virustotal.com/en ******* [snip]/
> [/paste]
>
> C'è scritto 'CryptoStopper - 360 Total Security lo vede come virus e
> lo elimina', ma non è vero che è un virus: questo si chiama
> diffamazione. Prima di postare link e log avresti dovuto accertarti
> del motivo e della consistenza del rilevamento, ma non lo hai fatto.

lol! E tu saresti un programmatore? Nella sicurezza!? Contro i virus
cryptolocker! Programmando in VB6+UPX, senza curarsi che il proprio sw sia
visto dagli AV come falso positivo!? Senza alcunche di firma!? Con il
rischio che anche Google ti blocchi! Anzi, addirittura blaterando e
inventando cio' che non esiste! E addirittura vorresti che gli utenti
tacessero!

Ma cosa ti sei fumato!?

> Quello che resta (basta fare una ricerca) è il mio nome (non il tuo
> perché non ti firmi e la tua mail non esiste) affiancato a
> 'CryptoStopper - 360 Total Security lo vede come virus e lo elimina'.
> Non hai informato solo me, lo hai detto a tutta usenet e da lì a tutta
> internet, lo capisci? E lì resterà per sempre, con mia grande gioia.

Povero ******* di un nerd alle prime armi, neppure sai leggere gli headers,
sai nulla di: X-No-Archive: yes

Infine hai fatto tutto tu la figura da *******

Fine del film con l'improvvisato sedicente, quindi sempre se non ti spacci,
programmatore troll!

Goodbye forever!

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.