Здравствуйте, Qt-Coder, Вы писали: QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Здравствуйте, paradoks, Вы писали:
S>>Покупатель качает сертификат с сервера «Комоды» своим браузером,
P>а НЕ покупатель, качает своим P>что за наивность...
someone submitted one of our executables to virustotal.com [...] 5 of antivirus packages flagged our executable
There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Re[2]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, salnicoff, Вы писали:
S>Избранные цитаты: S>
S>someone submitted one of our executables to virustotal.com [...] 5 of antivirus packages flagged our executable
S>
S>There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Да уж, жесть.
Re: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали:
QC>Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
Здравствуйте, salnicoff, Вы писали:
S>Были и «нормальные». Помню, кто-то из Австралии судился. Они выпускали программу, которую провайдеры раздавали клиентам под своими названиями, и их всех заблокировал «МакАфи» — программа не работает, клиенты не получают доступ к какому-то сервису, провайдеры в убытках. Если ничего не путаю, истцов послали в известном направлении.
отсюда следует вывод, что в антивирусных компаниях вместо программистов сидят юристы
Здравствуйте, salnicoff, Вы писали:
QC>>Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат.
а чем детектился если не секрет?
S>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
можно и нужно, и не выкладывать на паблик пока не будет всё чисто.
Здравствуйте, Черный Властелин, Вы писали:
ЧВ>Тут вот статья на хабре вышла — это вы же, или есть и другие пострадавшие? ЧВ>https://habr.com/ru/post/455236/
Здравствуйте, salnicoff, Вы писали:
S>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
Да, получается замкнутый круг. Может быть, там надо накопить определенную критическую массу. Несколько отчетов, после которых следует отзыв. Не знаю.
Надо искать альтернативу вирустоталу.
Я начал процедуру у DigiCert, забив на комод. Может быть, они этим не занимаются.
У меня появлялись фолсы только после защиты VMP, без защиты файл чист. Но без защиты же не выложишь. Как вариант советуют упаковать защищенный файл еще поверх UPX.
Re[3]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, uuuser, Вы писали:
S>>В свете вышесказанного получается, что подписывать нельзя. Даже если сам залил подписанный файл на virustotal и он там спалился, что репорт попадет в «Комоду» и серт отзовут. Приехали.
U>можно и нужно, и не выкладывать на паблик пока не будет всё чисто.
В том-то и проблема, что «Комоды» смотрят не на абстрактный паблик, на вирустотал. Выложили туда файл — даже потестить — и все, если какой-то АВ придумал вирус в этом файле, то «Комодам» идет отчет от малвари.
Re[3]: Сертификат Comodo, VMProtect и AV false positive
Здравствуйте, Qt-Coder, Вы писали: QC>Уот так уот. Имейте ввиду — если подписанный бинарь детектится на вирустотале, то лучше не подписывайте совсем, отберут сертификат. QC>Теперь вот думаю как быть — менять защиту видимо надо, чтобы не было детектов.
Комодо — самая отстойная и богомерзкая контора, которая только может быть. Еще 10 лет назад они были такими. Мы тогда купили у них сертификат, они списали с нас деньги, а потом они целый месяц (!) мослали нас проверками: сначала пришлите одни документы, потом пришлите еще, а потом когда мы прислали все что только можно, просто сказали, что не выдадут его. Угу, после того как взяли деньги.
В общем, купите сертификат у любой дргой конторы — Симантека или Глобалсигна и забудьте об этих судаках. И не надо наговаривать на ВирусТотал, он тут скорее всего, вообще не при делах.
Re[2]: Сертификат Comodo, VMProtect и AV false positive
S>There is random guy that wrote a tool that creates a monthly report of files flagged at Virustotal. Sectigo found the report, and, according to their statement, revoked all certificates used to sign executables flagged by some antivirus causing major disruption to us and downtime for our customers.
Это же полное дно comodo Сейчас даже значительно число пользователей знают про фолсы и на несколько детектов на вирустотале относятся лояльно. Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
Re[4]: Сертификат Comodo, VMProtect и AV false positive
Самое забавное, стал искать замену VMP, взял Obsidium, закинул их основной исполняемый файл (obsidium.exe) защищенный самим же Obsidium на проверку в вирустотал и он показал 4 детекта.
Дальше даже смотреть не стал, смысла нет. Их файл кстати подписан DigiCert, который выдан в 17 году. Так что похоже DigiCert более адекватен. Решил оставить VMP с DigiCert.
Здравствуйте, salnicoff, Вы писали:
S>Покупатель качает сертификат с сервера «Комоды» своим браузером, причем именно тем, в котором он размещал запрос на покупку. Посредник серта не видит вообще. Они могут продавать серты кому-то по левым данным без проверки, но тогда и отзывать будут те «левые» серты.
Я не в курсе вообще про посрелдников и кто там качает, я говорю как есть, продают сертификаты для подписи файлов на винде. Ты даешь им денежку, тебе дают файл сертификат. И еще раз повторю, это продавали сотрудники СОМОДО.
UPD: Они конечно ничего не проверяли, продавали всем, причем даже догадывались для чего у них эти сертификаты покупают, точнее что же это за софт такой.
Здравствуйте, edton, Вы писали:
E> Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
А кто будет стучать? Если только все клиенты разбегутся. Но им это, я думаю, не поможет, раз они начали верить репортам какого-то чувака, который сканит вирустотал. И это, кстати, при том, что сами «Комоды» производят антивирус...
Сейчас даже значительно число пользователей знают про фолсы и на несколько детектов на вирустотале относятся лояльно. Надеюсь им настучат по голове, а то просто это шокирует и все от них разбегутся.
