oleghigh
А я уже и не знаю как с этими срабатываниями бороться. Здесь http://forum.ru-board.com/topic.cgi?forum=5&topic=31603&start=2140#8 я уже писал о ложных срабатываниях.
Отправил им на анализ файлик 8a49990a-90f1-4510-ad89-438326325660.js со следующим содержимым (без слова УДАЛИТЬ):
;doУДАЛИТЬcument.write("<iframe frame src="http://local.ptron/45h/grey.png" width='600' height='90' scrolling='no'></iframe>");
Через неделю пришел ответ:
ID файла Имя файла Объем (байты) Результат
26121857 8a49990a-90f1-4510...1].js 126 Byte FALSE POSITIVE
Все круто, но только для этого файла, т.е. последовательности с "вирусом". Если же к этим 126 байтам просто добавить пустую строку в начале - снова срабатывает. Хотя, на сайте, где этот код и встречался, теперь тишина.
Отправил файл _CACHE_001_ (кеш FireFox-а), со следующим содержимым (без слова УДАЛИТЬ):
<html>
<body>
<ifУДАЛЯЕМrame frame src="http://local.ptron/45h/grey.png" width="1" height="1"></iframe>
</body>
</html>
Через пару дней ответ:
File ID Filename Size (Byte) Result
26127982 _CACHE_001_ 118 Byte FALSE POSITIVE
И снова, добавляем лишний символ - получаем срабатывание.
Получается, что они не модифицируют критерий определения вируса, а просто добавляют файл определенного размера с определенным хешем в исключения. А если этот код засел у меня в почтовой базе? Не отправлять же ее им целиком на анализ. Да и все равно, прийдет новое письмо - файлик изменится и снова станет "вирусом".
А я уже и не знаю как с этими срабатываниями бороться. Здесь http://forum.ru-board.com/topic.cgi?forum=5&topic=31603&start=2140#8 я уже писал о ложных срабатываниях.
Отправил им на анализ файлик 8a49990a-90f1-4510-ad89-438326325660.js со следующим содержимым (без слова УДАЛИТЬ):
;doУДАЛИТЬcument.write("<iframe frame src="http://local.ptron/45h/grey.png" width='600' height='90' scrolling='no'></iframe>");
Через неделю пришел ответ:
ID файла Имя файла Объем (байты) Результат
26121857 8a49990a-90f1-4510...1].js 126 Byte FALSE POSITIVE
Все круто, но только для этого файла, т.е. последовательности с "вирусом". Если же к этим 126 байтам просто добавить пустую строку в начале - снова срабатывает. Хотя, на сайте, где этот код и встречался, теперь тишина.
Отправил файл _CACHE_001_ (кеш FireFox-а), со следующим содержимым (без слова УДАЛИТЬ):
<html>
<body>
<ifУДАЛЯЕМrame frame src="http://local.ptron/45h/grey.png" width="1" height="1"></iframe>
</body>
</html>
Через пару дней ответ:
File ID Filename Size (Byte) Result
26127982 _CACHE_001_ 118 Byte FALSE POSITIVE
И снова, добавляем лишний символ - получаем срабатывание.
Получается, что они не модифицируют критерий определения вируса, а просто добавляют файл определенного размера с определенным хешем в исключения. А если этот код засел у меня в почтовой базе? Не отправлять же ее им целиком на анализ. Да и все равно, прийдет новое письмо - файлик изменится и снова станет "вирусом".
- нет, точно Vdf). Что и забавляет : при среднесуточном обновлении в 100 Кб (плюс-минус столько же, если брать в расчёт "воскресный" мизер) - регулярно превышение в разы. Копнул базы, правда, "поверху" - не апдейтятся настолько. Трафик есть, а во что он "материализуется" - непонятно. Оттого и помыслилось о примитивной "перезаписи". Тем более - механика известная, на тех же LiveCD-образных отработана - велосипед изобретать не надо.(Спасибо, хоть - не весь продукт, подобно тому ж CureIt). Но - нет уверенности, оттого и полюбопытствовал, не рыл ли кто уже в этом направлении - самому совсем недосуг. 
). Теперь к гадалке не ходи - грядёт действительное обновление модулей, которое всё покроет.