» QIP - Quiet Internet Pager (часть 3)

Denversan, одного письма видимо недостаточно, а пользователи McAfee не сразу найдут куда обратиться за решением. Авторы на официальном форуме лучше бы выложили инструкцию, а не прикрывали темы :-(

Цитата:

А зачем фиксить "ложное" срабатывание

У некоторых компаний на рабочих местах стоит сей антивирус, и сотрудники лишились аси из-за его поведения.
Тут нафлеймили несколько страниц про троянские функции квипа, отталкиваясь от заключения параноидального антивируса 8\ Мне например, интересен результат ручной трепенации программы специалистами, а не тупого эвристика. Или всё же все пришли к выводу, что QIP 8080 - троян? вроде

Цитата:

МЫ НЕ МОЖЕМ ЭТОГО ЗНАТЬ НАВЕРНЯКА

Chauvinist, вот только поэтому. А минимальный комментарий к письму - требуют правила сервиса.

Tappxxor Да насамом деле на данном этапе всем наплевать , есть ли бэкдор в QIP или нет. Не наплевать станет когда если он есть его начнут использовать, и вот тут уже будет наплевать детектируют его антивиры или нет, и в каких пропорциях... Как это может так туго доходить до некоторых!
Вопрос заключается в том что на данный момент McAfee детектирует в 8080 билде вирус, и не важно есть он там или нет на данном этапе, а важен сам факт невозможности нормальной работы QIP на компах, где стоит McAfee ( всем с мудрыми советами снести McAfee и поставить ваш любимый антивирь прошу идти сами знаете куда).
На самом деле даже если в QIP и используются какието скрытые дыры для доступа к вашему ПК, то скрыть это от антивируса для програмиста раз плюнуть, переписать алгоритм исходника, даже тупо добавив пару строчек ненужного кода в определенном месте, и все, анивирус уже ничего не увидит. Бесит упортсво и непробиваемость супорта QIP, возомнивших себя пупом софтверной индустрии, на продукцию которых должны все равняться...

ну раз у квипа открытые исходники есть, уж наверно ктонить мог разобратся как он работает

601ng
Исходники есть только у автора, ну и возможно у бета-тестеров но ни в какой McAfee они их слать не будут.

Цитата:

MCAfee? - возможно ибо он один задетектил.

не один McAfee определяет backdoor в QiP, уже давно разные антивирусы в разных версиях QiP'а видят троян - вот здесь пишут http://koche.livejournal.com/

ребят, помогите с простым вопросом: чем посмотреть свои "звезды" в 9020
кучу прог ака PassViewPro и похожие показывают практически одно и тоже, что-то вроде:
|_||_|_|||_|_|_|||_||__|

QIP Infium 9021, Nightly build 1
Скачать

Цитата:

Исправлено:
- недочет при включенной опции текст справа налево;
- убрана галка по умолчанию, в опции хранения паролей учётных записей;
- убран поток спеллера для выявления причины зависаний;
- подправлена загрузка и сохранение метаконтактов;
- Jabber: в настройках инфиума аватары отключены, но при просмотре инфы о контакте, они все равно отображаются;
- MRA: проблемы с удалением контактов;
- MRA: проблема с отправкой файлов;
- MRA: опция "Запретить прямые соединения" сохранялась правильно, но при открытии настроек показывалась инвертированной;
- MRA: не убирается "печатает";
- Звонилка: поддержка SPEEX-ов;
- Звонилка: более мягкий звук "Отбой";
- Jabber: не все пункты меню корректно разрешались/запрещались;
- Jabber: для серверов, не поддерживающих _xmpp-client._tcp.%domain%, приходится (приходилось) указывать сервер подключения вручную;
- Jabber: уведомления о QIP-о почте не отключались;
- Jabber: настройка "Вкл. аватары" жаббера упразднена в пользу глобальной;

Найденные/неисправленные ошибки:
Ядро и протокол icq:
-
Jabber, Звонилка, mra:
- Jabber: После долгого простоя джаббер переходит в оффлайн, но иконка не меняется
- MRA: если контакт добавляем в игнор, он убирается из КЛ - поведение родного клиента
- MRA: зависает надпись "Печатает..."
? Jabber/LJ: во время добавления аккаунта жж через настройки - управления аккаунтами наблюдался одноразовый глюк того что при рестарте квипа для применения изменений настройка записи не сохранилась.
? зависания во время набора и отправки сообщений
- jabber, если в джаббере в ручном управлении списками видимости удалить из списка или добавить какой-то оффлайновый контакт, изменения на субконтакте опять не отображаются
- это

Отложенные недоработки по какой-либо причине или на будущее:- в некоторых случаях разъединяются метаконтакты (нет стабильной последовательности воспроизведения ошибки);
- баг при просмотре деталей (не воспроизводится);
- jabber, зависает при отправке сообщения самому себе, но с другого ресурса (не воспроизводится в новом билде);
- jabber, проблема с поиском на Openfire (отложено на будущее);
- livejournal, информация о контактах и имя написанные кириллицей (контакты livejournal) показываются символами псевдографики (ошибки на серверах lj);

ВНИМАНИЕ! Этот билд предназначен для пользователей, желающих тестировать будущие версии QIP Infium. Это НЕстабильные версии. О всех ошибках постить в эту тему. Ошибку излагать ПОШАГОВО и ПОДРОБНО (также будет очень полезно если вы почитаете "как сообщать об ошибках").

ребят, помогите с простым вопросом: чем посмотреть свои "звезды" в 9020
кучу прог ака PassViewPro и похожие показывают практически одно и тоже, что-то вроде:

Цитата:

|_||_|_|||_|_|_|||_||__|

Почитал форум кипа.
Они кроме 'false positive' больше слов не знают

Цитата:

Могу сказать авторитетно, что Kaspersky,Avast,Norton,Dr.Web по поводу того, что QIP троян ничего не орут. 100 пудоф не в QIP дело.

http://forum.qip.ru/showthread.php?t=8827

Не, реально - бекдор делают и первая стадия усыпить все антивири.
Жду развития событий, но infium в топку для меня однозначно.

Цитата:

Столько шума из-за пары лам с претензией на компьютерную грамотность
Комментарий от разработчика: http://forum.qip.ru/showpost.php?p=266068&postcount=33
Чтобы пофиксили ложное срабатывание, нужна ваша помощь.
Запаковываем qip.exe в .zip архив с паролем infected и шлем его на virus_research@avertlabs.com
с комментарием в стиле "this is not Malware".
Аналитики вручную исследуют код и добавят исключение.

О, Великий, конечно именно вы изобрели велосипед, никто и не сомневался. Мы же холопы безграмотные, в басурманских механизмах несмыслящие. Мне начинает казаться, что кроме TRAViS'а мои посты больше вообще никто не читал.
А тыкать нас носом в дурнопахнущий пост этого самого разработчика на офф форуме квипа не надо. Он может и много всего хорошего в других местах понаписал, но вот так отписаться от реальной проблемы для человека, который фактически ответственен за все это безобразие, признак дурного тона.
Представьте, что я делаю какую-то определенную деталь для машины, потом кто то другой делает саму машину, а потом вы ее покупаете. У вас машина не ездит, и вы точно знаете что это как то связано с моей деталью, у вас два варианта - либо заменить деталь на другую(вообще другой марки или такую же, но более старую(которая точно совместима)), либо написать письмо в автоконцерн, чтобы они передали машину под мою деталь. Теперь понятно, я надеюсь ? На моей памяти, все европейские концерны меняли конфликтную деталь, но никогда не переделывали все остальное.
И если вы считаете себя таким умным, что вы и только вы обнаружили этот посыл -слать письма (причем опять же почему то заведомо с пометкой "this is not a malware"), чтобы аналитики добавили исключения, вперед ! ...Что то до сих пор ничего не изменилось.

Была такая бодяга с Авирой, помню. Тогда немцы базы довольно оперативно поправили.
А на оффоруме повеселило:
Цитата:

ViolentOr
3. Авира - антивирус весьма низкого класса. Рекоммендую установить какое-нибудь более надежное антивирусное ПО. Нпример антивирус Касперского, или Симантек.

P.S. Так может кто-нибудь из юзающих лицензионный Макафи таки сподобится отослать exe-шник кипа на доп. проверку, чем воду в ступе толочь?

XenoZ

Отсылали, и уже не раз. Сколько еще народу, интересно, посоветует отослать екзешник аналитикам, а ?

Haexsoos
Цитата:

Отсылали, и уже не раз.

И? Где ответ(ы) Макафи? Пока в топике кроме флуда ничего не видно...

XenoZ

Цитата:

Нпример антивирус Касперского, или Симантек.

Ага - чтобы АВ не ругался на их троян

XenoZ

Ну по крайней мере ответа, что это не троян не было, это точно. А вот ответов аля "Извините, но наш антивирус находит куски потенциального вредоносного кода в этой программе" было уже куча. Я так понимаю, вы хотите не истину понять, а услышать только тот ответ, который вас устроит, затравив аналитиков из МакАфи, пока они попросту не согласятся с вами.

Haexsoos
Цитата:

А вот ответов аля "Извините, но наш антивирус находит куски потенциального вредоносного кода в этой программе" было уже куча.

Ну и где эта "куча"? Очень сложно выложить в топик офф. ответ Макафи?

Цитата:

Я так понимаю, вы хотите не истину понять, а услышать только тот ответ, который вас устроит, затравив аналитиков из МакАфи, пока они попросту не согласятся с вами.

Понимаете в корне неправильно. Я не фанат кипа, но пока, кроме досужих домыслов, ничего не увидел...

Думаю это параноя Макаффи,

Были сомнения, решил не дожидаться вразумительного ответа от разарабов QIP.
По просьбе проверить файл qip.exe от билда 8080 получен ответ от Лаборатории Касперского и вот XenoZ ответ: :

Цитата:

qip.exe
Вредоносный код в файле не обнаружен.

С уважением, Владислав Пинтийский
Вирусный аналитик

Отправляйте в supрort вашего антивиря, если есть сомнения. Остались сомнения? - сносите к чертям.
И пора прекращать обсуждать есть или нет вредоносного кода, конечно имхо

Btk1106
ИсЧо один ньюбик квипо-клон нарисовался, в группу татаро-поддержки

Haexsoos

Цитата:

вчера отправил файл qip.exe Mcafee, и чуть позже получил ответ:

Avert™ Sample Analysis
Issue Number:5011782
Virus Research Analyst: Patty Ammirabile
Filename: qip.exe
Detected as Generic BackDoor.d in DAT 5465
Identified: No Virus/Trojan
McAfee Avert™ Labs, Beaverton, USA

Thank you for submitting your suspicious file.
Synopsis -

Our Senior Virus Research Engineers have examined the file in question and no virus was found.

Solution -

Attached is an extra.dat with correct detection. This correction will be included in the next DAT update.

так что ждите обновлений)))

здесь

Dim529

Цитата:

Detected as Generic BackDoor.d in DAT 5465
no virus was found.

То есть - не вирус а троян?

Нет, не правильно. Ни вирус, ни троян.
Счас уже DAT 5466.0000 - попробую поставить снова 8080, проверю реакцию McAfee.

Добавлено:
Неа, не поставился, снова та же ошибка
http://forum.ru-board.com/topic.cgi?forum=5&topic=26981&start=1520#20

sympathy

Цитата:

ИсЧо один ньюбик квипо-клон нарисовался, в группу татаро-поддержки

Если нет ничего сказать по делу - промолчите, группа флудоподдержки

alexey65536
Слепенький что-ли? Не читал наверно последние ДЕСЯТОК страниц - голый и голимый флуд. А главный флудер - ты, обиженный "хакер-человек".
Не могу скачать с Рапиды:
Только ехе-файл: http://rapidshare.com/files/171779544/qip.exe
Выложите на iFolder или ещё куда, please

Sympathy
http://www.filehoster.ru/files/bw8725

Ага:)

В QIP PDA WM можно как нибудь дополнительные сервера для подключения вписать? (версия 2041). Там просто не поле ввода а выпадающий список

Dmitriy05
Спасибо
Теперь докладываю.
Администрация Mcfee не ответила за свои слова, в смысле базар которым сказала: "This correction will be included in the next DAT update."
Был DAT 5465, стал DAT 5466 - изменений нет. Ошибка при попытке инсталла 8080, и убиение qip.ехе в момент окончания скачки "чистого" ехе-шника.
Ждём DAT 5467
Или пусть кто-то выложит присланый tragloditik-у (с QIP Forum) "extra.dat with correct detection"

Эх, блин, на пару часиков опоздал... Жаль...
Если б не срочный отчёт на работе, ещё вчера бы доделал и выложил...
"Лучший" народный антивирус Макафи! Типа невозможно обмануть... Хех!
Меняем всего 5 байтов в файле qip.exe, и Макафи замолк Вот, ловите поправленный екзешник:
http://nukeuploads.com/download/1229534769/VQ5KQUWI82V5PHM/qip.rar.html

Описание, для тех, кто любит в хекс редакторе повозицца:
В файле qip.exe по адресу
002C61E7: меняем байтик 00 на FF (в этом месте как раз находится вирусная сигнатура, которую MCAfee проверяет)

В конце файла правим контрольную сумму CRC32, меняем в конце файла последние 4 байта
00 00 00 00 на 6E D3 34 69

И всё! Всего 5 байт

Объяснение фокуса:
Байт по адресу 002C61E7, где мы меняем 00 на FF, находится не в секции кода, он находится в последней секции ресурсов exe файла. В секции с именем .rsrc . Секция ресурсов - это место в exe файле, где храняцца всякие иконки, рюшечки, строковые сообшения, надписи менюшек и тому подобная лабудень. Как общеизвестно в узких кругах, Макафи там же ищет свои вирусные сигнатуры. Так вот, эти самые ресурсики в этой секции отделяются друг от друга "пустотами" из шестнадцатеричных нулей "00". Вот один из таких нулей я и заменил на "FF". Программе QIP это абсолютно пофиг, а вот Макафи уже сигнатуру не узнает В конце файла, где меняются 4 байта, тоже пустота из нулей. Так что я менял только незначащие для квипа байтики И всё прекрасно сработало!

Что это ещё за кружок "умелые ручки"?