Михаил Орешин

Отправка самплов в вируслаб Trend Micro

В этой теме 24 сообщений

Изменилось ли что-то с процедурой отправки вредоносов в вируслаб Trend Micro?

Если еще какие-то более быстрые/надежные варианты?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

Если же нужна быстрая реакция, тогда экземпляры вирусов можно слать на адрес [email protected] или [email protected]

Файлы следует присылать в архиве с паролем, размер письма не больше 5 мб.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей Володенков, спасибо за информацию!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

1) А вот это неправда, некоторое время назад где-то в феврале 2008г. сервис не работал. как минимум недели 2, отправлялись сообщения в ответ ни привета ни ответа. к дилеру не обращались так как договор по продлению лицензий ими небыл выполнен до конца.

помогло только когда отправили на [email protected]

2) немного смешно читать строки на странице

"Dear Submitter, We are sorry to inform you that our submission wizzard is as for now under maintenance and improvement."

уже так года 1.5 ?

3) На текущий момент ответные письма от trend micro (посланные на [email protected]) часто приходят с опозданием.

т.е. дня через 3-4 после того как добавят в бд сигнатуры.

пример:

послал письмо 23 Окт 2008 17:05:02 с 2 сэмплами

пришло 1ое письмо

Дата: 23 Окт 2008 15:10:05

Тема: [EMEA_TL#2008102302000269] new virus

Dear Sergey Dindikov <[email protected]>,

We have received your case. Please expect an answer from our engineers.

второе:

Dear Sergey Dindikov,

We need to decide if the file you submitted is Grayware or Malware to create

the solution in the proper pattern file.

Our team is currently analyzing your submission. Please expect another email

from us as an update.

через некоторое время заметил что один сэмпл начал детектится второй-нет(возможно посчитали что это не вирусяка)

больше писем от них не приходило, хотя должно по идее прийти штуки 2-3 ещё, о добавление в CPR такой-то, о добавлении в Release base,

и про close case.

сейчас пошлю письмо [email protected] что мне не приходили письма. а так-же на [email protected]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если у вас есть вопросы или замечания по работе сервисов TrendMicro или по конкретным кейсам, то лучше писать на [email protected]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вчера и сегодня отправляю - нет отклика что файл приняли в обработку

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вчера и сегодня отправляю - нет отклика что файл приняли в обработку

мне админ с филиала тоже говорил что непришло письмо о заведении case.. , хотя у меня всегда приходило начальное. А вот о том что они добавили в базу может придти через неделю - две. хотя TM eго уже детектит. незнаю почему такая неоперативность у них...

свежий пример:

отправил сэмплы. 3 dec 2008 11:37 gmt+2

и только сегодня 10 dec пришло письмо о добавлении сигнатур в CPR !!!!!!!!!!!!!!!!!!!!!!!!!!!!!

-----------------------------------------------------------------------------------------------------

Dear Sergey Dindikov,

Sorry for the delay.

After having analyzed the files you submitted, we inform you that they are

malicious and Trend Micro detects them as follows with pattern file 5.690.07

or higher:

pbycpxy.sys (30,848 bytes) as TROJ_RUSTOCK.BH

swapdm.dll (22,149 bytes) as TROJ_GOLDUN.PW

swapm.sys (8,512 bytes) as TROJ_GOLDUN.QA

You can download the latest CPR pattern file from the following link:

http://www.trendmicro.com/download/pattern...-disclaimer.asp

-----------------------------------------------------------------------------------------------------

честно говоря я уже давно разочарован их сервисом :(

например от касперского приходит через час письмо что уже в след апдейт будет детектирование, по сравнению с ЛК - сервис TM - как черепаха.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

Я тут списывался с ними. Все работает штатно.

P. S.

Про кризис сотрудники Trend Labs знают только по наслышке.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

Фигня какая-то. Опишите ситуацию на [email protected] и не забудьте указать номера инцидентов. Если что-то срочное, то пишите на [email protected]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

отправь себе на другое мыло такое письмо как ты обычно посылаешь и проверь дойдет оно или нет. дальше думай сам.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дойдет. более того, как я уже писал выше, от ТМ приходит DSN что письмо дошло, но нет ответа робота что кейс принят в разработку

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кастомер кэр тоже молчит. отправил письмо в суппорт

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

Да уж, не дружелюбная к русским людям система ..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кто знает , теперь как работает их сервис. уже месяц как отсылаю им тело вируса - а в ответ тишина! такое мнение что сервис вообще не работает. Отправил в лабораторию dr. wed - сразу получил ответ, и через час сказали что добавят в след обновление. От правил в лабораторию нод32 - тоже сразу же ответили что рассмотрят и еще через час сказали что будет добавлен в базы. ( здесь уже месяц...тишины!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что нужно сделать что бы вирлаб Trendmicro быстро отреагировал на вашу заявку:

1. Язык общения: Английский

2. Тушка зловреда упакована в zip c паролем: novirus

3. Размер архива: не более 5Мб - в противном случае апладим на рапидшару и высылаем ссылку

4.1 В теме письма пишем: Possible malware

4.2 В теле письма пишем: I found this file on infected computer. possible malware.

и подписываемся под всем этим делом.

из опыта:

письмо с вирусом отправляем в 10:00 (GMT+2)

ответ о получении письма приходит в 10:10 (GMT+2)

ответ о том что образец принят в работу аналитиком получаем в 11:20 (GMT+2)

в 17:00 (GMT+2) - файл детектируется антивирусом (при включенном smartscan)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо. Но хотел бы переспросить еще раз за пароль на архив! вроде бы как у них написано :

"...password protected zip archives (password: virus)"

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да пароль таки должен быть virus

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох. Читать далее
    • PR55.RP55
      В программе:   BCUninstaller http://soft.oszone.net/program/17561/Bulk_Crap_Uninstaller/ Есть такие интересные параметры:   <InstallLocation>C:\Program Files\Realtek\Audio\Drivers</InstallLocation>
        <InstallSource>C:\DOCUME~1\!User!\LOCALS~1\Temp\pft5~tmp</InstallSource> т.е. путь откуда была установлена программа\компонент. Защищена программа: Да\нет. Путь до файлов. Зарегистрирован, или нет. Указан издатель\производитель\ЭЦП Сайт программы. Обновлялся компонент\программа, или нет. Возможность посмотреть доп. ( Инфо. ) по каждой программе. Кроме того можно _переименовать установленную программу. ( что будет важно для администраторов ) --------- Это всё бы очень пригодилось.    
    • AM_Bot
      Исследователи ESET обнаружили ботнет Stantinko, который специализируется на рекламном мошенничестве. В настоящее время заражено около 500 000 компьютеров, в числе жертв преобладают пользователи из России (46%) и Украины (33%). Stantinko – сложная комплексная угроза, активная как минимум с 2012 года. Читать далее
    • AM_Bot
      Отчет Cisco по информационной безопасности за первое полугодие 2017 г. указывает на быструю эволюцию угроз и рост их масштабов, а также на распространение атак типа «прерывание обслуживания» (destruction of service, DeOS), которые способны уничтожать резервные копии и страховочные системы (safety net), необходимые организациям для восстановления систем и данных после атаки. Читать далее
    • AM_Bot
      Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Читать далее