VMProtect + антивирусы...

Issues related to VMProtect
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

VMProtect + антивирусы...

Post by Admin »

Боремся с false-alarm-ами своими силами:

AVG
Меняем стандартное название ВМ секций с ".vmp" на ".UPX"
Подпись файла сертификатом решает проблему

NOD32
Иногда ругается на файл при отсуствии VersionInfo в ресурсах.
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Win32/Packed.VMProtect.AAA, Win32/Packed.VMProtect.AAB, Win32/Packed.VMProtect.AAС

Sophos
Проблема с фолсами решена с версии 2.04.3
При использовании варезных версий VMProtect может обнаруживать Mal/Behav-363

AntiVir
Проблема с фолсами решена с версии 2.04.3

Symantec
При использовании варезных версий VMProtect может обнаруживать Packed.Vmpbad!gen1
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

По поводу проблем с антивирусами пишем в эту тему. Ссылка на отчет с virustotal обязательна.
Запросы будут приниматься только от зарегистрированных пользователей.
Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Post by Erazor »

Хорошо, буду первым :)

Последняя версия 1.8 Lite.
Программа накрытая VMProtect с максимальной защитой.
Ссылка на программу http://www.fox-manager.com.ua/beta/fm_beta_docflow.zip
Результат VirusTotal http://www.virustotal.com/ru/analisis/e ... ecfc14a0b4

Я понимаю, что вопрос можно решить, написав в суппорт каждому антивирусу, но к сожалению, с выходом новой версии моей программы, каждый раз нужно писать заново.
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

AVG 8.5.0.287 2009.04.16 Win32/NSAnti
Будем решать.
Sophos 4.40.0 2009.04.16 Sus/UnkPacker
Орет на все что упаковано и что не может распаковать. "Лечится" отключением упаковки.
McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)
По этому поводу вообще не понятно кому писать. Они начинают переводить стрелки ну другую контору, чей "GW-Edition" на самом деле.
Будем решать.
TrendMicro 8.700.0.1004 2009.04.16 Cryp_Opet-3
Будем решать.
Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Post by Erazor »

McAfee-GW-Edition 6.7.6 2009.04.16 Virus.Win32.FileInfector.gen!84 (suspicious)
Где-то находил информацию что это бывший SecureWeb-Gateway (бывший Webwasher-Gateway) построен на движке Avira + собственные разработки Securecomputing. Это продукт для серверов, распространенность на территории СНГ практически нулевая.

А вот если решить вопросы на глобальном уровне со всеми остальными, антивирусами, то думаю это бы прибавило популярности VMProtect.

Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество :)
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

Насколько знаю, существует такая практика сотрудничества с антивирусами, что им даётся часть исходного кода и алгоритмов, а взамен они не детектят упакованные программы как вирусы. Кроме того, можно договорится так, чтобы взломанные версии VMProtect (именно их обычно используют для шифрования вирусов и троянов) детектились как вирусы по умолчанию (это выгодно разработчику VMProtect). Например, если накрыть какую-либо программу взломанной Themida, то антивирусы будут ругаться, а если лицензионной - то нет. Вот такое взаимовыгодное сотрудничество Smile
В настоящее время у нас уже налажено техническое сотрудничество подобного плана с несколькими наиболее распространенными антивирусами. К сожалению скооперироваться сразу со всеми невозможно. Поэтому какое-то время все равно будут возникать фалсы у менее распространенных антивирусов.
aklabs
Posts: 1
Joined: Fri Apr 24, 2009 12:24 pm

Post by aklabs »

У меня совершенно аналогичные вирусы обнаруживает.

http://www.virustotal.com/ru/analisis/b ... 8ae24d41dc

Юзеры с TrendMicro частенько жалуются, так что это первоочередное.
Еще жаловались пару раз с PC-Cillin. Не знаю что это.

Прогу можно тут скачать http://aklabs.com/downloads/notesholder.zip
Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Post by Erazor »

У меня совершенно аналогичные вирусы обнаруживает
А как удалось решить проблему с AVG?

Кстати появился новый антивирус Prevx1, который находит High Risk Worm

http://www.virustotal.com/ru/analisis/d ... e608b74827
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

Erazor
А как удалось решить проблему с AVG?
Самый первый пост из топика прочтите.
Erazor
Posts: 4
Joined: Wed Apr 15, 2009 7:55 pm

Post by Erazor »

Самый первый пост из топика прочтите.
Спасибо, не заметил.
Но на самом деле это мне не поможет, потому что я в Lite-версии такой возможности не обнаружил :cry:
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

Erazor
В файл проекта (*.vmp) достаточно добавить одну строчку:

Code: Select all

[ProjectInfo]
...
VMCodeSectionName=.UPX
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

Результаты переписки с

1. McAfee - полный игнор
http://community.mcafee.com/showthread.php?p=560012
2. Trend Micro - от сотрудничества фактически отказались. Предлагают высылать проблемные файлы через специальную форму:
http://subwiz.trendmicro.com/SubWiz/Wiz ... pgWizard=7
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Post by Admin »

Всем у кого есть фолсы от McAfee - постите ссылки на файлы с фолсами прямо сюда, сотрудники McAfee постараются помочь в решении данной проблемы.
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Начиная с версии 2.04 полностью решена проблема с фолсами у Sophos.
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Начиная с версии 2.04 полностью решена проблема с фолсами у AntiVir.
Post Reply