Перейти к содержанию
kvit.v

Кто-то говорил о реакции NOD32

Recommended Posts

kvit.v
Антивирус Версия Обновление Результат

a-squared 4.5.0.50 2010.01.30 -

AhnLab-V3 5.0.0.2 2010.01.30 -

AntiVir 7.9.1.154 2010.01.29 -

Antiy-AVL 2.0.3.7 2010.01.28 -

Authentium 5.2.0.5 2010.01.30 -

Avast 4.8.1351.0 2010.01.30 -

AVG 9.0.0.730 2010.01.30 -

BitDefender 7.2 2010.01.30 -

CAT-QuickHeal 10.00 2010.01.30 -

ClamAV 0.96.0.0-git 2010.01.30 -

Comodo 3761 2010.01.30 -

DrWeb 5.0.1.12222 2010.01.30 -

eSafe 7.0.17.0 2010.01.28 -

eTrust-Vet 35.2.7271 2010.01.29 -

F-Prot 4.5.1.85 2010.01.29 -

F-Secure 9.0.15370.0 2010.01.30 -

Fortinet 4.0.14.0 2010.01.30 -

GData 19 2010.01.30 -

Ikarus T3.1.1.80.0 2010.01.30 -

Jiangmin 13.0.900 2010.01.28 -

K7AntiVirus 7.10.960 2010.01.29 -

Kaspersky 7.0.0.125 2010.01.30 -

McAfee 5876 2010.01.29 -

McAfee+Artemis 5876 2010.01.29 Suspect-D!7D6B495E59A9

McAfee-GW-Edition 6.8.5 2010.01.30 -

Microsoft 1.5406 2010.01.30 -

NOD32 4821 2010.01.30 a variant of Win32/Kryptik.CCH

Norman 6.04.03 2010.01.30 -

nProtect 2009.1.8.0 2010.01.30 -

Panda 10.0.2.2 2010.01.30 -

PCTools 7.0.3.5 2010.01.30 -

Prevx 3.0 2010.01.30 -

Rising 22.32.05.04 2010.01.30 -

Sophos 4.50.0 2010.01.30 -

Sunbelt 3.2.1858.2 2010.01.30 -

Symantec 20091.2.0.41 2010.01.30 Suspicious.Insight

TheHacker 6.5.1.0.172 2010.01.30 -

TrendMicro 9.120.0.1004 2010.01.30 -

VBA32 3.12.12.1 2010.01.29 -

ViRobot 2010.1.30.2164 2010.01.30 -

VirusBuster 5.0.21.0 2010.01.30 -

два часа до этой проверки НОД не знал этого вируса, а где же наш любимый "первый эшелон"?

а это наш любимы и очень обсуждаемый на этом ресурсе распростронтель WinLock...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v

пока писал проявились небольшие изменения:

DrWeb 5.0.1.12222 2010.01.30 Trojan.Winlock.1012

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v

и вот еще один подтянулся

Kaspersky 7.0.0.125 2010.01.30 Trojan-Ransom.Win32.PogBlock.xo

к сожаленю и авторы данного произведения поменяли "кодек" (и так постоянно, антивирусы проигрывают, вирусописатели активно стригут капусту):

a-squared 4.5.0.50 2010.01.30 Trojan.Win32.FakeAV!IK

AhnLab-V3 5.0.0.2 2010.01.30 -

AntiVir 7.9.1.154 2010.01.29 -

Antiy-AVL 2.0.3.7 2010.01.28 -

Authentium 5.2.0.5 2010.01.30 -

Avast 4.8.1351.0 2010.01.30 -

AVG 9.0.0.730 2010.01.30 -

BitDefender 7.2 2010.01.30 -

CAT-QuickHeal 10.00 2010.01.30 -

ClamAV 0.96.0.0-git 2010.01.30 -

Comodo 3763 2010.01.30 -

DrWeb 5.0.1.12222 2010.01.30 -

eSafe 7.0.17.0 2010.01.28 -

eTrust-Vet 35.2.7271 2010.01.29 -

F-Prot 4.5.1.85 2010.01.30 -

F-Secure 9.0.15370.0 2010.01.30 -

Fortinet 4.0.14.0 2010.01.30 -

GData 19 2010.01.30 -

Ikarus T3.1.1.80.0 2010.01.30 Trojan.Win32.FakeAV

Jiangmin 13.0.900 2010.01.28 -

K7AntiVirus 7.10.960 2010.01.29 -

Kaspersky 7.0.0.125 2010.01.30 -

McAfee 5877 2010.01.30 -

McAfee+Artemis 5877 2010.01.30 -

McAfee-GW-Edition 6.8.5 2010.01.30 -

Microsoft 1.5406 2010.01.30 -

NOD32 4821 2010.01.30 -

Norman 6.04.03 2010.01.30 -

nProtect 2009.1.8.0 2010.01.30 -

Panda 10.0.2.2 2010.01.30 -

PCTools 7.0.3.5 2010.01.30 -

Prevx 3.0 2010.01.30 -

Rising 22.32.05.04 2010.01.30 -

Sophos 4.50.0 2010.01.30 Mal/EncPk-NI

Sunbelt 3.2.1858.2 2010.01.30 -

Symantec 20091.2.0.41 2010.01.30 Suspicious.Insight

TheHacker 6.5.1.0.172 2010.01.30 -

TrendMicro 9.120.0.1004 2010.01.30 -

VBA32 3.12.12.1 2010.01.29 -

ViRobot 2010.1.30.2164 2010.01.30 -

VirusBuster 5.0.21.0 2010.01.30 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ну, это обычное явление в нашей жизни. Кто-то всегда бывает первым. Вспомните, изобретения/открытия тоже или совершаются независимо друг от друга, или идею могут позаимствовать. Так и с вирусным детектом. Главное, что антивирусные технологии не стоят на месте.

Да, вымогатели меняют способы заражения м.б. даже ежедневно, а баннеры по б.ч. остаются. Я за два дня столкнулся с тремя разными способами блокировки с баннером "Get Access". Первый экз. оперативно разослал, а потом описал в закрытом разделе (ситуация схожая с вашей). Через день столкнулся с другим, который ничем не убирался и не детектился даже при глубоком сканировании всеми антивирусами со своего переносного компа. Убрался только посредством кода. После тоже ничего не нашлось. Абсолютно ничем. Третий удалось "вылечить" сменой даты и с последующем сканированием новой VRT от ЛК. И так каждый день, то один способ помогает, то другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Ну, это обычное явление в нашей жизни. Кто-то всегда бывает первым. Вспомните, изобретения/открытия тоже или совершаются независимо друг от друга, или идею могут позаимствовать. Так и с вирусным детектом. Главное, что антивирусные технологии не стоят на месте.

судя по тенднции, которую наблюдаю последние несколько недель, winlock всегда первый :) в данной же теме удивился реакции нода, раньше такого не замечал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Symantec 20091.2.0.41 2010.01.30 Suspicious.Insight

не пойму, что это за детект. Сколько вирусов не кидал, которые NIS 2010 не видел, да и куча других антивирусов тоже, даже не раз бывало что один symantec обнаруживал вирус, постоянно эта строка Suspicious.Insight, бывает и другое слово перед Insight :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen

http://community.norton.com/t5/Norton-Inte...B035E52A4C1B18D

Nis 2010 don't detect these files, but when I upload to virustotal the result is: "suspicious insight." I know Nis 2010 is newer so.....
это оно?...
  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

mennen, да, оно самое.. Там пишут что похоже на VT symantec теперь проверяет и облачной технологией Quorum, по этому такой результат. Просто удивило, что часто бывает когда вообще никто или пару антивирусов ловят вирус, и symantec везде с этим вердиктом..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

ИМХО. Дело в том, что все эти экранные локи - это почти российское доморощенное "творчество", паразитирующее на запугивании использованием нелицензионного ПО, посещением p-сайтов и закачкой вареза. Для американской AV-компании это "творчество" до недавнего времени было малознакомо. Потому для русских локов - вердикт просто "trojan horse" или "suspicious insight". Во всяком случае - пока.

Насчёт других названий не знаю, но в Emsisoft (a-squared) я лично послал несколько разновидностей локеров, и как следствие один из них соответственно и зовётся - Trojan.Win32.Russkill. :)

Для нас не так важно, кто из немцев у кого перенял название, но в нём сразу угадывается его "русское" происхождение.

Другие: Trojan.Crypt, Win32.Trojan, Trojan-Dropper - простые названия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Так и на сайте NOD32 уже есть утилитка для удаления Винлока, и генерации для него номерка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DarkTwin

Евгений Вы должны знать что далеко не всегда эта утилита помогает и далеко не всегда с генерированный код подходит. В принципе как и другие "Сервисы деактивации троянов-вымогателей. "

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений Павлович

Ну, мне пока не приходилось им пользоваться..А вообще,ИМХО, все эти винлоки из-за посещения дааалеко не нормативных страничек и сайтов..)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А вообще,ИМХО, все эти винлоки из-за посещения дааалеко не нормативных страничек и сайтов..)

Дочь моей хорошей подруги подхватила заразу на ресурсе, где обычно качала клипы. Банально взломали сайт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

Kaspersky 7.0.0.125 2010.01.30
а что - 8я и 9я версии не в счет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×