VMProtect + антивирусы...

Issues related to VMProtect
Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

VMProtect + антивирусы...

Postby Admin » Wed Feb 25, 2009 7:44 am

Боремся с false-alarm-ами своими силами:

AVG
Меняем стандартное название ВМ секций с ".vmp" на ".UPX"
Подпись файла сертификатом решает проблему

NOD32
Иногда ругается на файл при отсуствии VersionInfo в ресурсах.
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Win32/Packed.VMProtect.AAA, Win32/Packed.VMProtect.AAB, Win32/Packed.VMProtect.AAС

Sophos
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Mal/Behav-363

AntiVir
Проблема с фолсами решена с версии 2.04.3

Symantec
При использовании варезных версий VMProtect может обнаруживать Packed.Vmpbad!gen1

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Thu Apr 09, 2009 6:16 pm

По поводу проблем с антивирусами пишем в эту тему. Ссылка на отчет с virustotal обязательна.
Запросы будут приниматься только от зарегистрированных пользователей.

Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Postby Erazor » Thu Apr 16, 2009 10:10 am

Хорошо, буду первым :)

Последняя версия 1.8 Lite.
Программа накрытая VMProtect с максимальной защитой.
Ссылка на программу http://www.fox-manager.com.ua/beta/fm_beta_docflow.zip
Результат VirusTotal http://www.virustotal.com/ru/analisis/e ... ecfc14a0b4

Я понимаю, что вопрос можно решить, написав в суппорт каждому антивирусу, но к сожалению, с выходом новой версии моей программы, каждый раз нужно писать заново.

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Fri Apr 17, 2009 5:27 am

AVG 8.5.0.287 2009.04.16 Win32/NSAnti

Будем решать.
Sophos 4.40.0 2009.04.16 Sus/UnkPacker

Орет на все что упаковано и что не может распаковать. "Лечится" отключением упаковки.
McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)

По этому поводу вообще не понятно кому писать. Они начинают переводить стрелки ну другую контору, чей "GW-Edition" на самом деле.
Будем решать.
TrendMicro 8.700.0.1004 2009.04.16 Cryp_Opet-3

Будем решать.

Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Postby Erazor » Fri Apr 17, 2009 3:48 pm

McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)

Где-то находил информацию что это бывший SecureWeb-Gateway (бывший Webwasher-Gateway) построен на движке Avira + собственные разработки Securecomputing. Это продукт для серверов, распространенность на территории СНГ практически нулевая.

А вот если решить вопросы на глобальном уровне со всеми остальными, антивирусами, то думаю это бы прибавило популярности VMProtect.

Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество :)

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Fri Apr 17, 2009 5:17 pm

Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество Smile

В настоящее время у нас уже налажено техническое сотрудничество подобного плана с несколькими наиболее распространенными антивирусами. К сожалению скооперироваться сразу со всеми невозможно. Поэтому какое-то время все равно будут возникать фалсы у менее распространенных антивирусов.

aklabs
Posts: 1
Joined: Fri Apr 24, 2009 12:24 pm

Postby aklabs » Fri Apr 24, 2009 12:29 pm

У меня совершенно аналогичные вирусы обнаруживает.

http://www.virustotal.com/ru/analisis/b ... 8ae24d41dc

Юзеры с TrendMicro частенько жалуются, так что это первоочередное.
Еще жаловались пару раз с PC-Cillin. Не знаю что это.

Прогу можно тут скачать http://aklabs.com/downloads/notesholder.zip

Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Postby Erazor » Sat Apr 25, 2009 2:46 pm

У меня совершенно аналогичные вирусы обнаруживает

А как удалось решить проблему с AVG?

Кстати появился новый антивирус Prevx1, который находит High Risk Worm

http://www.virustotal.com/ru/analisis/d ... e608b74827

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Sat Apr 25, 2009 5:19 pm

Erazor
А как удалось решить проблему с AVG?

Самый первый пост из топика прочтите.

Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Postby Erazor » Sat Apr 25, 2009 5:32 pm

Самый первый пост из топика прочтите.

Спасибо, не заметил.
Но на самом деле это мне не поможет, потому что я в Lite-версии такой возможности не обнаружил :cry:

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Sat Apr 25, 2009 6:30 pm

Erazor
В файл проекта (*.vmp) достаточно добавить одну строчку:

Code: Select all

[ProjectInfo]
...
VMCodeSectionName=.UPX

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Thu Apr 30, 2009 3:13 pm

Результаты переписки с

1. McAfee - полный игнор
http://community.mcafee.com/showthread.php?p=560012
2. Trend Micro - от сотрудничества фактически отказались. Предлагают высылать проблемные файлы через специальную форму:
http://subwiz.trendmicro.com/SubWiz/Wiz ... pgWizard=7

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Postby Admin » Fri Dec 25, 2009 4:34 am

Всем у кого есть фолсы от McAfee - постите ссылки на файлы с фолсами прямо сюда, сотрудники McAfee постараются помочь в решении данной проблемы.

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Wed Mar 17, 2010 2:56 pm

Начиная с версии 2.04 полностью решена проблема с фолсами у Sophos.

Admin
Site Admin
Posts: 1305
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Postby Admin » Mon Mar 29, 2010 12:46 pm

Начиная с версии 2.04 полностью решена проблема с фолсами у AntiVir.


Return to “Technical questions”

Who is online

Users browsing this forum: Bing [Bot] and 1 guest