SpasitelofMoney

Самый новый McAfee VSE8 - ПРОПУСКАЕТ вирусы Доказательство!

В этой теме 46 сообщений

MCAFEE VIRUSSCAN 8I ENTERPRISE + PATCH 11A+ ANTISPYWARE MODULE + ENGINE 4400(ПОСЛЕДНИЙ ОФИЦИАЛЬНЫЙ) + НОВЕЙШАЯ НА СЕГОДНЯ АНТИВИРУСНАЯ БАЗА - ПРОПУСКАЕТ ВИРУСЫ

+ фаервол Windows XP

Как я проводил тестирование:

На свежеустановленную систему была установлена вышеупомянутая поставка.

Заходим на сайт

www.cracks.am

Нажимаем на любую букву алфавита на экране. Например M.

Выбираем из списка любой понравившийся крек. Например M&I CD-Register v3.3

В открывшемся окне нажимаем Download the file кнопку.

Открывается окно c предложением сохранить или выполнить файл activate_crack.exe.

Выбираем - Выполнить. В появишемся окне - опять соглашаемся.

Далее ждем когда антивирус начинает разбираться с потоком вирусов.

В результате получаем проблему со стартовой страницей Internet Explorer

и невозможностью включения брандмауэра XP.

На другой системе этот тест привел к выходу из строя этого антивируса, проблемам с визуализацией и зараженим системы (по показаниям SAV9 в дальнейшем)

SAV 10.1(самый последний билд) - прошел тест без проблем.

Тест был проведен по наводке администратора банка. Он утверждает что человека который поставил в одном из подразделений этот антивирус и с cracks.am который пропустил вирус nechta.b - понизили в должности. Порекомендовал не связываться с VSE8.

ГОВОРИТ ЛИ ЭТО О ТОМ ЧТО VSE8 - НЕХОРОШИЙ АНТИВИРУС?

ОЧЕНЬ ВАЖНО ЧТО ДЛЯ ТЕСТОВ С CRACKS.AM ИСПОЛЬЗОВАЛСЯ ПОСЛЕДНИЙ ОФИЦИАЛЬНЫЙ

ДВИЖОК 4400, А НЕ BETA 5000!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле по одному случаю может не стоит судить так категорично, другие антивирусы тоже лажаются, пропускают разных зверей.

На таких сайтах вредоносы модифицируются очень быстро, сейчас одна версия, которая детектиться, а через час уже другая, которая не детектируется.

Вот тут как раз эвристику хорошо проверять.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Боюсь, как бы не оказалось так, что несовершенство текущего

движка 4400 и неготовность официального релиза 5000 -

является истинной причиной, почему эти вирусы пропускаются.

То есть возможно что обновлением баз здесь не отделаешься.

(один человек сегодня ночью провел этот тест, но с бетой движка 5000 и пропусков не было)

Если это так - VSE8 для меня - нехороший антивирус.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Числа эдак 5-го, если не ошибаюсь, марта пошла очередная версия Beagle. Так вот VSE8 - увидел его эвристикой, хотя справедливости ради - до конца не убил (но у меня задач была именно проверить и я запускал и открывал всё что там было). На следующий день были обновлены базы и машина была вычищена, до этого- благодаря закрытому VSE8 25-му порту, было видно что зараза недобита но и не вредит дальше. На второй машине у меня стоял SAV10.0.2 - эвристика ничего не увидела, молчал ещё 3 дня!!!!

И что теперь? SAV- фигня. VSE8 - форева?

P.S. А вот человека зашедшего на www.cracks.am и мало того - запустившего что-то оттуда, я бы уволил однозначно :lol: ! Кстати сам я там был неоднократно, стоит у меня VSE8 и проблем нет. :wink:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попробовал полазить по этому сайту.(на системе установлен Каспер и Аутпост), файл activate_crack.exe не появлялся(видимо в Аутпосте дело :) ), а вот Каспер матюгался на эксплоит (и тот старый, действующий на SP1-основан на джава скрипт) и предлогал его кокнуть, что я и делал.

А вот на компе без Каспера и фаера при попытке скачать крек выскакивало окно с предложением скачать ентого траяна.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Народ, кто потестит, пожалуйста, не забудьте, в эту ветку отписать результаты исследования проверки излечения вирусов, инициируемых файлом activate_crack.exe. При тестировании важно, чтобы не произошло так, что VSE8 сразу удалит файл, не дав ему запуститься. Почему-то бывает что дает, а бывает что сразу удаляет.

Добавлено спустя 1 минуту 14 секунд:

**************************************************

Перечисляю, что сообщит McAfee но с бета движком 5000:

VSE-8+patch11+antyspyware module, dat-4731 engine-5000

Добавлено:

engine version = 5.0.00

01.04.2006 4:15:09 DAT version = 4731

01.04.2006 4:15:09 Number of virus signatures in EXTRA.DAT = None

01.04.2006 4:15:09 Names of viruses that EXTRA.DAT can detect = None

01.04.2006 4:17:04 Deleted activate_crack. C:kl1.exe Generic Spy.c (Trojan)

01.04.2006 4:19:19 Deleted activate_crack. C:tool2.exe Downloader-AFH (Trojan)

01.04.2006 4:19:52 Deleted activate_crack. C:Documents and Settings...Local SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:19:53 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:20 Deleted activate_crack. C:Documents and Settings..............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:20 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:36 Deleted activate_crack. C:Documents and SettingsGalinaLocal SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:36 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:43 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:43 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:53 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:53 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:01 Deleted activate_crack. C:kl1.exe Generic Spy.c (Trojan)

01.04.2006 4:49:26 Deleted activate_crack. C:tool2.exe Downloader-AFH (Trojan)

01.04.2006 4:49:54 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:55 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:59 Deleted activate_crack. C:Documents and SettingsGalinaLocal SettingsTemporary Internet FilesContent.IE52QQ8I41Kjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:59 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:04 Deleted activate_crack. C:Documents and Settings................Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:04 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:21 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:21 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:34 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:35 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:42 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:50:42 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:06 Deleted activate_crack. C:Documents and Settings..............Local SettingsTemporary Internet FilesContent.IE5M1QA5MFEgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:06 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:11 Deleted activate_crack. C:Documents and Settings...........Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:11 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:16 Deleted activate_crack. C:Documents and Settings................Local SettingsTemporary Internet FilesContent.IE5M1QA5MFEgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:16 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:23 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:23 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:53:27 Deleted activate_crack. C:toolbar.exe DollarRevenue (Trojan)

01.04.2006 4:53:33 Deleted activate_crack. C:tool1.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:53:47 Deleted activate_crack. C:tool3.exe Proxy-Agent.k.gen (Trojan)

01.04.2006 4:53:54 Deleted activate_crack. C:tool4.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:53:59 Deleted activate_crack. C:tool5.exe ProcKill-DJ (Potentially Unwanted Program)

*************************************************

Добавлено спустя 44 минуты 40 секунд:

Пользователь ogamy пишет:

Да действительно пропустил. Модификацией реестра занималась вот эта гнида - paytime.exe(в пропертях-модифицырованный EXPLORER.EXE), ms1.exe Trojan-Downloader.Win32.Small.cpa-этот он увидел только со второго раза когда я его носом ткнул. Было еще несколько. Это только те что я в корне диска нашел. Все отправил на AVERT - опознали толко ms1.exe и paytime.exe которого в сигнатурах еще нет.

=======================================

Analysis ID File Findings Detection Type Date Extra

2282768 ms1.exe new detection generic downloader.ab Trojan 03/31/06 Yes

2282696 paytime.exe heuristic detection new malware.j Trojan 03/31/06 No

2282690 activate_crack.exe inconclusive 03/31/06 No

=========================================

AVERT Labs - Beaverton

Current Scan Engine Version:4.4.00

Current DAT Version:4731

Thank you for your submission.

Analysis ID: 2282696

Name Findings Detection Type Extra

paytime.exe heuristic detection new malware.j Trojan no

heuristic detection [ paytime.exe ]

The file received may contain a potential virus or trojan threat identified heuristically. This potential threat was identified with our most powerful set of heuristic DAT drivers. Heuristic drivers can make false-positive identifications, as such, this issue is being escalated to AVERT for a thorough review. In the meantime, it is recommended that you update your DAT and engine files and scan your computer again. You will be contacted through e-mail with the results of our analysis.

=======================================

странно то что у меня то же Scan Engine Version:4.4.00,DAT Version:4731-но он ни хрена не словил.

Scan Engine Version:5000rc - ваааабще АТЦТОЙ

И еще така проблема, может кто сталкивался - svchost.exe выгружает mcshild.exe и останавливает сервис McAfee, при попытке рестартовать системма зависает навсегда.

....В том то все идело что все ГАВНО заливается в основном в корень или переменные.

C:toolbar.exe C:tool1.exe C:country.exe C:Documents and Settings..............Local SettingsTemporary Internet Files !!!!!!!х D:ACTIVATE_CRACK.EXE х!!!!!!!!

примечательно то что и после перезагрузки он ни ЧО НЕ видел пока НОСОМ не ткнул.

On-Demand Scan тоже ничего не показал.

VSE 8.5 ждем релиза.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Провел эксперимент, зашел на этот варезный сайт, нажал на буковку "A"

модуль Веб-антивируса Касперского 6.0 выдал собщение, что страница заражена Exploit.Win32.MS05-013.gen и заблокировал доступ к ней. На этом все и закончилось :-)

Отключаю веб-антвирус на время, захожу на страницу, включаю веб-антивирус и нажимаю на первую попавшуюся программу.

Опять веб-антвирус начинает ругаться на троянскую программу Trojan-Downloader.Win32.Harnig.bd URL: http://216.65.38.226/activate_crack.exe/FSG

Так что по-любому с 6-й никая зараза от туда не проскочит.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати забавно что люди на разных форумах http://forum.ixbt.com/topic.cgi?id=7:26107

http://forum.sysadmins.ru/15/111611/

отреагировали на этот пост практически одинаково - без паники и шумихи :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Yurk

Теперь я знаю почему...

Сергей Ильин

На самом деле по одному случаю может не стоит судить так категорично, другие антивирусы тоже лажаются, пропускают разных зверей.

На таких сайтах вредоносы модифицируются очень быстро, сейчас одна версия, которая детектиться, а через час уже другая, которая не детектируется.

Вот тут как раз эвристику хорошо проверять.

*************

Но цель моя была - Проверить, может быть с McAfee даже пытаться связываться не стоит.

*************

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

уникальный тест, не чего не скажешь, не смеши народ,кстати скоа там не лазил не чего путного кроме вируосв не находил, смыс заходить тогда на эот сайт?, я лишь скажу маккафе можнодоверять, из моего опэта не чего лучше пока нет, любые плпытки сравнить его с нод каспером итд, безсмыслены,а такие посты как этот это даже не укус комара по мненнию о маккафе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SAV 10.0.x пропустил, заражение произошло. На этапе закачки новых вирей стал детектить известные.

В вире который был закачен, есть своя особенность запускается он посредством наличия записи в ветке:

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell

Добавлено спустя 4 минуты 15 секунд:

уникальный тест

Да, уникального в этом тесте мало и смысла нет, но есть один факт версии вирей на исследуемом ресурсе меняются постоянно :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAV 10.0.x пропустил

Предлагаю поменять тему... Нет управы у буржуев на cracks.am

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Lex

Был забавный случай.. Пользователь звонит по телефону и дрожащим голосом с надрывом сообщает, что антивирусная система никуда не годится и пропускает вирусы.

На поверку оказалось, что все пропущенные вирусы были закачаны с xxx ресурсов.

Возникает вопрос Антивирусная система плохая или политика работы интернетом????

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При грамотном антивирусном шлюзе или правильной политике работы с интернетом с таких ресурсов вообще ничего не закачаешь :D :shock:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А почему считается, что если вирусы с ресурсов xxx, то пользователь сам виноват?...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А почему считается, что если вирусы с ресурсов xxx, то пользователь сам виноват?.

Точно, может так получиться, что ты кликнул на ссылку в гугле, а тебе открылась совсем другая страница (это назвается клоакинг) - xxx сайт с эксплойтом.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:) Достаточно часто пользуюсь этим сайтом для поиска кряков. На одной машине NOD32, на второй вообще нет антивируса. Ничего кроме нужных кряков с этого сайта ниразу не закачивал :)

Удачки

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не разу не чего там не качнул, вс етол бары, обрывает на закачке,

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Достаточно часто пользуюсь этим сайтом для поиска кряков. На одной машине NOD32, на второй вообще нет антивируса. Ничего кроме нужных кряков с этого сайта ниразу не закачивал

Искренне рад! :D

А теперь открываем http://www.crack.am/cracks/m.html

И видим:

"The anti-virus scanner was triggered by this file. The file was not cleaned and has been removed.

Context: 'm.html'

Detection(s): 'Exploit-IEPageSpoof (trojan)' " :?: :lol:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

08.02.07

McAfee VirusScan Enterprise Version 8.5i

За две недели пропустил в real-time 340 зараженных писем с вирусами 23 модификаций.

09.02.07

сегодня ночью пропустил еще двух гадов:

желатин.y и немецкий донлодер preis.rar

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Mike

Если не секрет:

- А под какой ОС ?

- А это в каком-то тесте или в рабочем цикле твоей организации

(больше похоже, что в рабочем цикле - тогда непонятно почему у тебя было время запостить сюда свое сообщение)?

Просто я не верю в то что при выполнении работы по сопровождению системы, в параллель администратор может физически успеть посчитать сколько конкретно вирусов пропустил антивирус.

Следует ли по твоему мнению, что финальный McAfee VSE 8.5 в его текущем виде использовать вообще нельзя на данный момент ?

Интересно, а VSE 8.0 Patch 14 как бы ловил ?

Я тебе не верю. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я тебе не верю.

А я верю Mike. Всех зловредов, что выкладывает Mike в теме "Анализ вредоносных программ (malware)" McAfee не детектировал (если судить по www.virustotal.com). Так что я бы посоветовал немецким друзьям переходить на другие западные антивирусы (Eset, Symantec, Sophos и др.).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не знаю стоит ли переходить. вы Eset пробовали администрить в масштабах большой конторы?

Symantec же тоже ловит не ахти.

Я бы не спешил с переходом.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не знаю стоит ли переходить. вы Eset пробовали администрить в масштабах большой конторы?

Иван, но делать что-то надо. Если McAfee не может пройти не самый серьезный тест, не добавляет вовремя широкораспространенные зловреды. Eset в масштабах предприятия не имел чести ставить. В моей конторе был сначала SAV CE, теперь KAV5.

Symantec в данном случае показал себя неплохо. Зловреды присланные Mike детектируются семейством, что дает возможность находить новые модификации "зверья".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.