Михаил Орешин

Отправка самплов в вируслаб Trend Micro

В этой теме 24 сообщений

Изменилось ли что-то с процедурой отправки вредоносов в вируслаб Trend Micro?

Если еще какие-то более быстрые/надежные варианты?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

Если же нужна быстрая реакция, тогда экземпляры вирусов можно слать на адрес support@trendmicro-russia.ru или support@apl.ru.

Файлы следует присылать в архиве с паролем, размер письма не больше 5 мб.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков, спасибо за информацию!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

1) А вот это неправда, некоторое время назад где-то в феврале 2008г. сервис не работал. как минимум недели 2, отправлялись сообщения в ответ ни привета ни ответа. к дилеру не обращались так как договор по продлению лицензий ими небыл выполнен до конца.

помогло только когда отправили на support@apl.ru

2) немного смешно читать строки на странице

"Dear Submitter, We are sorry to inform you that our submission wizzard is as for now under maintenance and improvement."

уже так года 1.5 ?

3) На текущий момент ответные письма от trend micro (посланные на trendlabs@av-emea.com) часто приходят с опозданием.

т.е. дня через 3-4 после того как добавят в бд сигнатуры.

пример:

послал письмо 23 Окт 2008 17:05:02 с 2 сэмплами

пришло 1ое письмо

Дата: 23 Окт 2008 15:10:05

Тема: [EMEA_TL#2008102302000269] new virus

Dear Sergey Dindikov <sdindikov@mail.ru>,

We have received your case. Please expect an answer from our engineers.

второе:

Dear Sergey Dindikov,

We need to decide if the file you submitted is Grayware or Malware to create

the solution in the proper pattern file.

Our team is currently analyzing your submission. Please expect another email

from us as an update.

через некоторое время заметил что один сэмпл начал детектится второй-нет(возможно посчитали что это не вирусяка)

больше писем от них не приходило, хотя должно по идее прийти штуки 2-3 ещё, о добавление в CPR такой-то, о добавлении в Release base,

и про close case.

сейчас пошлю письмо trendlabs@av-emea.com что мне не приходили письма. а так-же на david_kopp@trendmicro.fr

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если у вас есть вопросы или замечания по работе сервисов TrendMicro или по конкретным кейсам, то лучше писать на СustomerCare@trendmicro-europe.com

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вчера и сегодня отправляю - нет отклика что файл приняли в обработку

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вчера и сегодня отправляю - нет отклика что файл приняли в обработку

мне админ с филиала тоже говорил что непришло письмо о заведении case.. , хотя у меня всегда приходило начальное. А вот о том что они добавили в базу может придти через неделю - две. хотя TM eго уже детектит. незнаю почему такая неоперативность у них...

свежий пример:

отправил сэмплы. 3 dec 2008 11:37 gmt+2

и только сегодня 10 dec пришло письмо о добавлении сигнатур в CPR !!!!!!!!!!!!!!!!!!!!!!!!!!!!!

-----------------------------------------------------------------------------------------------------

Dear Sergey Dindikov,

Sorry for the delay.

After having analyzed the files you submitted, we inform you that they are

malicious and Trend Micro detects them as follows with pattern file 5.690.07

or higher:

pbycpxy.sys (30,848 bytes) as TROJ_RUSTOCK.BH

swapdm.dll (22,149 bytes) as TROJ_GOLDUN.PW

swapm.sys (8,512 bytes) as TROJ_GOLDUN.QA

You can download the latest CPR pattern file from the following link:

http://www.trendmicro.com/download/pattern...-disclaimer.asp

-----------------------------------------------------------------------------------------------------

честно говоря я уже давно разочарован их сервисом :(

например от касперского приходит через час письмо что уже в след апдейт будет детектирование, по сравнению с ЛК - сервис TM - как черепаха.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

Я тут списывался с ними. Все работает штатно.

P. S.

Про кризис сотрудники Trend Labs знают только по наслышке.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

Фигня какая-то. Опишите ситуацию на customercare@trendmicro.de и не забудьте указать номера инцидентов. Если что-то срочное, то пишите на support@trendmicro-russia.ru

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

отправь себе на другое мыло такое письмо как ты обычно посылаешь и проверь дойдет оно или нет. дальше думай сам.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дойдет. более того, как я уже писал выше, от ТМ приходит DSN что письмо дошло, но нет ответа робота что кейс принят в разработку

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кастомер кэр тоже молчит. отправил письмо в суппорт

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

Да уж, не дружелюбная к русским людям система ..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кто знает , теперь как работает их сервис. уже месяц как отсылаю им тело вируса - а в ответ тишина! такое мнение что сервис вообще не работает. Отправил в лабораторию dr. wed - сразу получил ответ, и через час сказали что добавят в след обновление. От правил в лабораторию нод32 - тоже сразу же ответили что рассмотрят и еще через час сказали что будет добавлен в базы. ( здесь уже месяц...тишины!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что нужно сделать что бы вирлаб Trendmicro быстро отреагировал на вашу заявку:

1. Язык общения: Английский

2. Тушка зловреда упакована в zip c паролем: novirus

3. Размер архива: не более 5Мб - в противном случае апладим на рапидшару и высылаем ссылку

4.1 В теме письма пишем: Possible malware

4.2 В теле письма пишем: I found this file on infected computer. possible malware.

и подписываемся под всем этим делом.

из опыта:

письмо с вирусом отправляем в 10:00 (GMT+2)

ответ о получении письма приходит в 10:10 (GMT+2)

ответ о том что образец принят в работу аналитиком получаем в 11:20 (GMT+2)

в 17:00 (GMT+2) - файл детектируется антивирусом (при включенном smartscan)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо. Но хотел бы переспросить еще раз за пароль на архив! вроде бы как у них написано :

"...password protected zip archives (password: virus)"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да пароль таки должен быть virus

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy
      собственно здесь все работает единообразно. при работе с образом источником сигнатур является скрипт, из скрипта при его выполнении в реальной системе сигнатуры добавляются в базу юзера sgns, и затем уже по ней выполняется проверка chklst всего списка автозапуска. поэтому, имхо, при включенном флаге проверяться по базе сигнатур должен весь список в процедуре chklst, которая уже есть, а в автоскрипт добавить обработку_проверку (с добавлением сигнатур в скрипт) лишь категории "подозрительные и вирусы". в итоге получаем:   ---------------автоскрипт-------------------------------- addsgn 1 zoo 1 ............. chklst delvir здесь обработка объектов со статусом ?ВИРУС? ....------------------------------------------------------------ restart
    • PR55.RP55
      Думаю можно работать с уже имеющимся меню программы. Есть меню: Тесты Добавить пункт: Тесты > Проверить список по пользовательской базе сигнатур: sgnz Ведь это именно тестирование.  
    • Kap1tan
      Полный обзор Avast Free Antivirus 2017 Avast Free Antivirus – бесплатный многопрофильный антивирус для операционок Linux, Windows, Mac OS и также для КПК на платформе Android, Windows CE, Palm. Поклонниками программы стали более 230 млн. пользователей. Чтобы обезопасить домашний Wi-Fi и подключаемые к нему устройства, разработчики оснастили антивирусную программу Home Network Security- мощной технологической защитой. Владельцев iPhone и iPade ждет защищенная работа соединения Wi-Fi, сохранение паролей и конфиденциальность во время нахождения в сети интернет благодаря приложению Secure Line. Мобильные устройства с андроид версией тоже не остались в стороне – их также ждет отличная защита от разного вредного «мусора».
    • Kap1tan
      Привет, не знаю кто как я пользуюсь 360 total security
    • santy
      лишнее движение (и новая процедура) здесь будет в любом случае. Если сигнатуры не попадают в скрипт при проверке списка, то придется (в любом случае) делать затем еще одну проверку всего списка (или только категории "подозрительные и вирусы") при которой сигнатуры должны попасть в скрипт. Иначе каким образом мы будет удалять файлы из системы юзера? если будет добавлен флаг управления, в этом случае процедура проверки списка должна работать в зависимости от этого флага: либо без автоматического добавления сигнатуры в скрипт, либо с автоматическим добавлением сигнатур в скрипт. в этом случае (если флаг=1), процедуру добавления сигнатур в скрипт при проверке категории "подозрительные и вирусы" лучше перенести в функцию авто_скрипта. ---------------- отсюда сразу уже видим, что в случае ошибки придется откатывать весь скрипт назад.     + интересно взглянуть (или рассмотреть) как это будет работать на реальной системе (не в режиме симулятора), когда мы добавляем сигнатуры и убираем ложные срабатывания.