<none>

Discussion:

<none>

(слишком старое сообщение для ответа)

Roman Filatov

2008-10-05 13:07:53 UTC

Пpивет, All!

Я давно тут не был. Поэтому, возможно, тут вопpос уже задавался. За что заpанее
извиняюсь в этом случае. А вопpос вот в чём. С последними веpсиями апдейтеpа
пpоисходит по нескольку запpосов на каждый файл: сначала на файл с допиской
".patch_...", потом на файл с допиской ".lzma", а потом на оpигинал файла. И
часто получается так, что оказывается доступным только оpигинал. Вот пpимеp:

2008-10-05, 16:38:00 Поиск dwrtoday.vdb.patch_6aaf46d3_851d22ee...
2008-10-05, 16:38:01 Поиск dwrtoday.vdb.lzma...
2008-10-05, 16:38:04 Поиск dwrtoday.vdb...
2008-10-05, 16:38:05 Пpинимаем dwrtoday.vdb...
2008-10-05, 16:38:05 dwrtoday.vdb пpинят

Вопpос - а зачем так делается, зачем столько лишних ненужных запpосов? Это
поpой очень замедляет вpемя pаботы апдейтеpа.

Всего наилучшего, All!

... np: тишина (Winamp неактивен)

Alexey Podtoptalow

2008-10-05 16:09:08 UTC

Permalink

Sun Oct 05 2008 17:07, Roman Filatov wrote to All:

RF> Я давно тут не был. Поэтому, возможно, тут вопpос уже задавался. За что
RF> заpанее извиняюсь в этом случае. А вопpос вот в чём. С последними
RF> веpсиями апдейтеpа пpоисходит по нескольку запpосов на каждый файл:
RF> сначала на файл с допиской ".patch_...", потом на файл с допиской
RF> ".lzma", а потом на оpигинал файла. И часто получается так, что
RF> оказывается доступным только оpигинал. Вот пpимеp:

RF> 2008-10-05, 16:38:00 Поиск dwrtoday.vdb.patch_6aaf46d3_851d22ee...
RF> 2008-10-05, 16:38:01 Поиск dwrtoday.vdb.lzma...
RF> 2008-10-05, 16:38:04 Поиск dwrtoday.vdb...
RF> 2008-10-05, 16:38:05 Пpинимаем dwrtoday.vdb...
RF> 2008-10-05, 16:38:05 dwrtoday.vdb пpинят

RF> Вопpос - а зачем так делается, зачем столько лишних ненужных запpосов?
RF> Это поpой очень замедляет вpемя pаботы апдейтеpа.
Позволяет экономить траффик за счет использования патчей и упакованных по
алгоритму lzma файлов. Особенно актуально при передаче больших файлов, вроде
бинарей программы, dll антиспама.
А время работы апдейтера менее существенно, особенно в скрытом режиме.

Логику ты правильно описал - сначала ищется патч, если он доступен, остальное
уже не запрашивается. Если патча для указанной контрольной суммы имеющегося
файла нету, ищется упакованный lzma, потом непакованный, как было раньше.

Dima Abramow

2008-10-08 08:11:08 UTC

Permalink

Привет, Alexey!

05 Окт 08 20:09, Alexey Podtoptalow -> Roman Filatov:

RF>> Вопpос - а зачем так делается, зачем столько лишних ненужных запpосов?
RF>> Это поpой очень замедляет вpемя pаботы апдейтеpа.
AP> Позволяет экономить траффик за счет использования патчей и упакованных по
AP> алгоритму lzma файлов.

Опять об этих сусликах...
Патчей никто никогда не видел - уже не первый год.
lzma в половине случаев не находятся.
Итого: идет интенсивное обдалбывание серверов обновлений необрабатываемыми
вызовами - что не ускоряет ни работы автоапдейтеров, ни работы этих самых
серверов!
:-)

Dima

Alexey Podtoptalow

2008-10-08 09:21:18 UTC

Permalink

Hello Dima!

08 окт 08 13:11, you wrote to me:

RF>>> Вопpос - а зачем так делается, зачем столько лишних ненужных
RF>>> запpосов? Это поpой очень замедляет вpемя pаботы апдейтеpа.
AP>> Позволяет экономить траффик за счет использования патчей и
AP>> упакованных по алгоритму lzma файлов.
DA>
DA> Опять об этих сусликах...
DA> Патчей никто никогда не видел - уже не первый год.
DA> lzma в половине случаев не находятся.
DA> Итого: идет интенсивное обдалбывание серверов обновлений
DA> необрабатываемыми вызовами - что не ускоряет ни работы автоапдейтеров,
DA> ни работы этих самых серверов!
DA> :-)
Дима, тебе всё вынь да положь, прямо сейчас.
Усё будет, куда оно денется. Вроде даже есть живые люди, которые эти патчи
видели :).

Dima Abramow

2008-10-09 07:57:07 UTC

Permalink

Привет, Alexey!

08 Окт 08 14:21, Alexey Podtoptalow -> Dima Abramow:

DA>> Патчей никто никогда не видел - уже не первый год.
...
AP> Дима, тебе всё вынь да положь, прямо сейчас.
AP> Усё будет, куда оно денется.

Мне смутно помнится, что это обещание вот-вот светлого будущего длится уже не
первую версию, версии сейчас весьма долгоиграющие - несколько лет пустых
ожиданий чуда, imho, мало похожи на "прямо сейчас"... :(
Кроме всего, мне как-то смутно понятен сам механизм этих пресловутых патчей:
в моем обывательском представлении, "патч" есть некая разность между
состояниями Y и X - но не может быть гарантий, что обратившийся за обновлением
комплект будет именно в состоянии X, в таком случае патч должен быть заведомо
избыточным, преедставляющим разность между разпоследней ипостасью и некоторой
самой-самой исходной, что при рекомендуемой частоте обращений раз в 15-20 минут
не сулит, на мой взгляд, никакого уменьшения трафика, скорее - наоборот, и
весьма ощутимо...

AP> Вроде даже есть живые люди, которые эти патчи видели :).

Во "Внутренней Партии", что ли..? - дык, во всяких внутренних партиях жизнь
всегда была малопохожа на жизнь такого же быдла, как я...

Вообще-то, у меня и еще вопросы кой-какие мелочные есть, а форум меня, в его
новой ипостаси, стал, почему-то, мало вдохновлять... - сюда?

Dima

Alexey Podtoptalow

2008-10-10 16:11:02 UTC

Permalink

Thu Oct 09 2008 12:57, Dima Abramow wrote to Alexey Podtoptalow:

DA>>> Патчей никто никогда не видел - уже не первый год.
DA> ...

AP>> Дима, тебе всё вынь да положь, прямо сейчас.
AP>> Усё будет, куда оно денется.

DA> Мне смутно помнится, что это обещание вот-вот светлого будущего длится
DA> уже не первую версию, версии сейчас весьма долгоиграющие - несколько лет
DA> пустых ожиданий чуда, imho, мало похожи на "прямо сейчас"... :(
Hе, патчи вроде ещё и не обещали особо. Hо сделают.
А светлое будущее - оно и должно быть впереди, как же иначе-то :)

DA> Кроме
DA> всего, мне как-то смутно понятен сам механизм этих пресловутых патчей:
DA> в моем обывательском представлении, "патч" есть некая разность между
DA> состояниями Y и X - но не может быть гарантий, что обратившийся за
DA> обновлением комплект будет именно в состоянии X, в таком случае патч
DA> должен быть заведомо избыточным, преедставляющим разность между
DA> разпоследней ипостасью и некоторой самой-самой исходной, что при
DA> рекомендуемой частоте обращений раз в 15-20 минут не сулит, на мой
DA> взгляд, никакого уменьшения трафика, скорее - наоборот, и весьма
DA> ощутимо...
Я это представляю так: патчей на сервере будет много. Заготовлены будут патчи
для наиболее вероятных состояний баз и бинарей. Апдейтер шлет md5 твоего
бинаря, и если для этой md5 есть патч, ты его получишь.
К примеру, при 15-20 минутном обновлении ты получишь патч к тудейке,
дополняющий её до текущей от предшествующей (либо от той, что перед ней).
Вероятность наличия таких двух патчей - практически 100%. Т.е. сокращение
траффика точно будет, особенно к концу недели, когда тудейка уже достаточно
ощутима.

AP>> Вроде даже есть живые люди, которые эти патчи видели :).
DA> Во "Внутренней Партии", что ли..? - дык, во всяких внутренних партиях
DA> жизнь всегда была малопохожа на жизнь такого же быдла, как я...
Чего-то ты совсем грустно. Мож, надо чуток по-шерше ля фам ?

DA> Вообще-то, у меня и еще вопросы кой-какие мелочные есть, а форум меня, в
DA> его новой ипостаси, стал, почему-то, мало вдохновлять... - сюда?
Да на здоровье.

Dima Abramow

2008-10-26 11:56:36 UTC

Permalink

Привет, Alexey!

10 Окт 08 20:11, Alexey Podtoptalow -> Dima Abramow:

DA>> Вообще-то, у меня и еще вопросы кой-какие мелочные есть, а форум меня, в
DA>> его новой ипостаси, стал, почему-то, мало вдохновлять... - сюда?
AP> Да на здоровье.

Все-таки, полюбопытствую... :-)

Когда поведение ДрВеба похоже на ложное срабатывание - ну, более-менее понятно,
куда и как об этом возможно пожаловаться.
А, вот, когда ложное срабатывание выглядит не совсем нечаянным...

Есть некий кейген, который есть чисто кейген - то есть, вроде бы, под
юрисдикцию антивирусов подпадать не должен, поскольку сам собой ничего не
делает, и изменений в кейгениумый продукт самостоятельно не вносит.
С некоторых пор сей кейген старательно детектится - и не только ДрВебом - как
"Trojan.Packed.650" (никаких троянов в нем нет - я об этом, почему-то,
достаточно уверенно знаю).
Итого: подозрительно похоже на заказное убийство - что приличной репутации, в
частности, ДрВебу в глазах общественности не добавляет.
Однако, и этого мало: детектится-то не собственно кейген, а некий
пакер/криптор, которым он обернут - что еще хуже, на мой взгляд, для репутации
продукта с чисто технической точки зрения.
Пакер - если не перевираю название - TheMida, вполне коммерческая софтина,
ценой порядка 200 юс.баксов.

Глупенький вопрос: как к этому правильно относиться..? - что, дела кампании
столь неважны, что она не брезгует и подобными заработками, что ли..? :(

Dima

Alexey Podtoptalow

2008-10-26 14:13:47 UTC

Permalink

Sun Oct 26 2008 13:56, Dima Abramow wrote to Alexey Podtoptalow:

DA> С некоторых пор сей кейген старательно детектится - и не только ДрВебом -
DA> как "Trojan.Packed.650" (никаких троянов в нем нет - я об этом,
DA> почему-то, достаточно уверенно знаю).
DA> Итого: подозрительно похоже на заказное убийство - что приличной
DA> репутации, в частности, ДрВебу в глазах общественности не добавляет.
DA> Однако, и этого мало: детектится-то не собственно кейген, а некий
DA> пакер/криптор, которым он обернут - что еще хуже, на мой взгляд, для
DA> репутации продукта с чисто технической точки зрения.
DA> Пакер - если не перевираю название - TheMida, вполне коммерческая
DA> софтина, ценой порядка 200 юс.баксов.
Если бы эту TheMida вообще всю задетектили (что не так и сложно, имхо) - было
бы правильнее. Бо пакуют ею столько червей, что уже добрая половина virustotal
на неё гавкает просто по факту использования этой TheMida.
Доктор реагирует на довольно малую её часть. Видимо, она стоит того.

DA> Глупенький вопрос: как к этому правильно относиться..? - что, дела
DA> кампании столь неважны, что она не брезгует и подобными заработками, что
DA> ли..? :(
Hе, таких заказов не ожидается, насколько я понимаю. Если кейген стоит того,
чтобы о нем беспокоиться - зашли, конкретно его уберут из детекта.

Dima Abramow

2008-10-26 22:45:42 UTC

Permalink

Привет, Alexey!

26 Окт 08 17:13, Alexey Podtoptalow -> Dima Abramow:

AP> Если бы эту TheMida вообще всю задетектили (что не так и сложно, имхо) -
AP> было бы правильнее. Бо пакуют ею столько червей, что уже добрая половина
AP> virustotal на неё гавкает просто по факту использования этой TheMida.

Хмм... по опыту моего общения с тем кейгеном, TheMida раздувает исходник почти
на порядок в объеме - не совсем похоже на удачное решение для всякой заразы,
стремящейся к малозаметности... :-)

AP> Если кейген стоит того, чтобы о нем беспокоиться - зашли, конкретно
AP> его уберут из детекта.

Дык, собственно-то кейген - в его чистом исходном виде - и не детектится... :-)

... а "зашли" - это на е-мейл?

Dima

Alexey Podtoptalow

2008-10-27 08:26:42 UTC

Permalink

Mon Oct 27 2008 00:45, Dima Abramow wrote to Alexey Podtoptalow:

AP>> Если бы эту TheMida вообще всю задетектили (что не так и сложно, имхо)
AP>> - было бы правильнее. Бо пакуют ею столько червей, что уже добрая
AP>> половина virustotal на неё гавкает просто по факту использования этой
AP>> TheMida.
DA> Хмм... по опыту моего общения с тем кейгеном, TheMida раздувает исходник
DA> почти на порядок в объеме - не совсем похоже на удачное решение для
DA> всякой заразы, стремящейся к малозаметности... :-)
Угу, раздувает. Hо это мало кого нынче смущает, пакуют, и очень активно.
Очень давно использует Win32.HLLM.Beagle, а также всякие Win32.HLLW.MyBot и
т.п.. Вот не очень старый Beagle, от 12 октября. И как раз упомянутой тобой
записью он и детектится, Trojan.Packed.650.
Возможно, твои кейгеновцы использовали тот же экземпляр Themida, что уже
становится весьма любопытно.

http://www.virustotal.com/analisis/c8474d49488d5c82ee799d2dfec9fef1
----------------------------------------------------------------------
File b64_1.jpg received on 10.27.2008 00:06:37 (CET)
Current status: finished
Result: 21/36 (58.34%)

Antivirus Version Last Update Result
AhnLab-V3 2008.10.24.3 2008.10.27 Win-Trojan/Bagle.858628
AntiVir 7.9.0.9 2008.10.25 WORM/Bagle.Gen
Authentium 5.1.0.4 2008.10.26 -
Avast 4.8.1248.0 2008.10.27 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.27 Win32/Themida
BitDefender 7.2 2008.10.27 Trojan.PWS.LdPinch.TSE
CAT-QuickHeal 9.50 2008.10.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.26 -
DrWeb 4.44.0.09170 2008.10.26 Trojan.Packed.650
eSafe 7.0.17.0 2008.10.26 -
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.26 -
F-Prot 4.4.4.56 2008.10.26 -
F-Secure 8.0.14332.0 2008.10.27 -
Fortinet 3.113.0.0 2008.10.26 PossibleThreat
GData 19 2008.10.27 Trojan.PWS.LdPinch.TSE
Ikarus T3.1.1.44.0 2008.10.26 Worm.Bagle
K7AntiVirus 7.10.508 2008.10.26 -
Kaspersky 7.0.0.125 2008.10.27
Trojan-Downloader.Win32.Bagle.aep
McAfee 5415 2008.10.25 Generic.dx
Microsoft 1.4005 2008.10.27 -
NOD32 3557 2008.10.26 Win32/Bagle.PX
Norman 5.80.02 2008.10.24 -
Panda 9.0.0.4 2008.10.26 Trj/Ldpinch.ATK
PCTools 4.4.2.0 2008.10.26 -
Prevx1 V2 2008.10.27 Worm
Rising 21.00.62.00 2008.10.26 -
SecureWeb-Gateway 6.7.6 2008.10.25 Worm.Bagle.Gen
Sophos 4.35.0 2008.10.26 Sus/ComPack
Sunbelt 3.1.1753.1 2008.10.25 -
Symantec 10 2008.10.27 Infostealer.Ldpinch.C
TheHacker 6.3.1.1.129 2008.10.25 W32/Behav-Heuristic-064
TrendMicro 8.700.0.1004 2008.10.24 TROJ_PAKES.BAB
VBA32 3.12.8.8 2008.10.25 Win32.Bagle.PX
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.26 -
Additional information
File size: 858628 bytes
MD5...: 73040a35273fb1681118affb4038b464
SHA1..: c3b93d4b12ced15e87ccaac50766e7defd311fbd
SHA256: 95f8d389aef9768e35ca797c05b7b647dcd3da72488d9c8d66ce8bdb7077cdc2
SHA512: 7a3a327a1c4a71bbdc671bd8cdd61300770ebbb3a2d2e89b4588b948311cfff9
c2abf1557aef6d8c69599239132366b9f3e61f5e1bf7353e2291c0ec6e7584e2
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x49c014
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x94000 0x3f800 7.98 e2a7c3a74c989a618c92f8f07ee091fe
.rsrc 0x95000 0x5800 0x2200 6.94 cca828d82c2dcb0e8371a333b2eaa46a
.idata 0x9b000 0x1000 0x200 1.44 0255fb69821afa094f3c0a7ab2d107b2
Themida 0x9c000 0x14c000 0x8ee00 7.91 a1012fe448437c5f2a64365e5425fc4e

( 2 imports )

KERNEL32.dll: CreateFileA, ExitProcess
COMCTL32.dll: InitCommonControls

( 0 exports )
Prevx info:
http://info.prevx.com/aboutprogramtext.asp?PX5=9F1E1FA2044417C11A840DDE41DEB000
724BA95A
packers (F-Prot): Themida
----------------------------------------------------------------------

AP>> Если кейген стоит того, чтобы о нем беспокоиться - зашли, конкретно
AP>> его уберут из детекта.
DA> Дык, собственно-то кейген - в его чистом исходном виде - и не
DA> детектится... :-)

DA> ... а "зашли" - это на е-мейл?
Думаю, лучше через веб-форму. Там категории указаны, стоит ознакомиться.
См. на http://vms.drweb.com/sendvirus/