Перейти к содержанию
Михаил Орешин

Отправка самплов в вируслаб Trend Micro

Recommended Posts

Сергей Ильин

Спасибо за ссылку. А то иной раз не просто найти как можно файл отправить вендору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Изменилось ли что-то с процедурой отправки вредоносов в вируслаб Trend Micro?

Если еще какие-то более быстрые/надежные варианты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

Если же нужна быстрая реакция, тогда экземпляры вирусов можно слать на адрес [email protected] или [email protected]

Файлы следует присылать в архиве с паролем, размер письма не больше 5 мб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Андрей Володенков, спасибо за информацию!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
Способ описанный здесь http://www.trendmicro-europe.com/avservice работает без перебоев.

1) А вот это неправда, некоторое время назад где-то в феврале 2008г. сервис не работал. как минимум недели 2, отправлялись сообщения в ответ ни привета ни ответа. к дилеру не обращались так как договор по продлению лицензий ими небыл выполнен до конца.

помогло только когда отправили на [email protected]

2) немного смешно читать строки на странице

"Dear Submitter, We are sorry to inform you that our submission wizzard is as for now under maintenance and improvement."

уже так года 1.5 ?

3) На текущий момент ответные письма от trend micro (посланные на [email protected]) часто приходят с опозданием.

т.е. дня через 3-4 после того как добавят в бд сигнатуры.

пример:

послал письмо 23 Окт 2008 17:05:02 с 2 сэмплами

пришло 1ое письмо

Дата: 23 Окт 2008 15:10:05

Тема: [EMEA_TL#2008102302000269] new virus

Dear Sergey Dindikov <[email protected]>,

We have received your case. Please expect an answer from our engineers.

второе:

Dear Sergey Dindikov,

We need to decide if the file you submitted is Grayware or Malware to create

the solution in the proper pattern file.

Our team is currently analyzing your submission. Please expect another email

from us as an update.

через некоторое время заметил что один сэмпл начал детектится второй-нет(возможно посчитали что это не вирусяка)

больше писем от них не приходило, хотя должно по идее прийти штуки 2-3 ещё, о добавление в CPR такой-то, о добавлении в Release base,

и про close case.

сейчас пошлю письмо [email protected] что мне не приходили письма. а так-же на [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Если у вас есть вопросы или замечания по работе сервисов TrendMicro или по конкретным кейсам, то лучше писать на С[email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

вчера и сегодня отправляю - нет отклика что файл приняли в обработку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
вчера и сегодня отправляю - нет отклика что файл приняли в обработку

мне админ с филиала тоже говорил что непришло письмо о заведении case.. , хотя у меня всегда приходило начальное. А вот о том что они добавили в базу может придти через неделю - две. хотя TM eго уже детектит. незнаю почему такая неоперативность у них...

свежий пример:

отправил сэмплы. 3 dec 2008 11:37 gmt+2

и только сегодня 10 dec пришло письмо о добавлении сигнатур в CPR !!!!!!!!!!!!!!!!!!!!!!!!!!!!!

-----------------------------------------------------------------------------------------------------

Dear Sergey Dindikov,

Sorry for the delay.

After having analyzed the files you submitted, we inform you that they are

malicious and Trend Micro detects them as follows with pattern file 5.690.07

or higher:

pbycpxy.sys (30,848 bytes) as TROJ_RUSTOCK.BH

swapdm.dll (22,149 bytes) as TROJ_GOLDUN.PW

swapm.sys (8,512 bytes) as TROJ_GOLDUN.QA

You can download the latest CPR pattern file from the following link:

http://www.trendmicro.com/download/pattern...-disclaimer.asp

-----------------------------------------------------------------------------------------------------

честно говоря я уже давно разочарован их сервисом :(

например от касперского приходит через час письмо что уже в след апдейт будет детектирование, по сравнению с ЛК - сервис TM - как черепаха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
заработал сервис? не в курсе? до сих пор нет ответа от них по отправляемым письмам. кризис

Я тут списывался с ними. Все работает штатно.

P. S.

Про кризис сотрудники Trend Labs знают только по наслышке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
емое! как так? отправляю сэмплы почти каждую неделю. все время молчат :angry:

ставлю репорт о получении/прочтении - репорт приходит. а заявки не обрабатываются. клиенты злятся

Фигня какая-то. Опишите ситуацию на [email protected] и не забудьте указать номера инцидентов. Если что-то срочное, то пишите на [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
хорошо, отпишу, только номеров кейсов нет, так как от них не приходит ответ о том что файлы приняли в обработку/назначили кейс

отправь себе на другое мыло такое письмо как ты обычно посылаешь и проверь дойдет оно или нет. дальше думай сам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

дойдет. более того, как я уже писал выше, от ТМ приходит DSN что письмо дошло, но нет ответа робота что кейс принят в разработку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

кастомер кэр тоже молчит. отправил письмо в суппорт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
LiK

разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
разобрались в чем дело. их система не может обрабатывать письма с кириллицей. обещали исправить

Да уж, не дружелюбная к русским людям система ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
aka kum

кто знает , теперь как работает их сервис. уже месяц как отсылаю им тело вируса - а в ответ тишина! такое мнение что сервис вообще не работает. Отправил в лабораторию dr. wed - сразу получил ответ, и через час сказали что добавят в след обновление. От правил в лабораторию нод32 - тоже сразу же ответили что рассмотрят и еще через час сказали что будет добавлен в базы. ( здесь уже месяц...тишины!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

Что нужно сделать что бы вирлаб Trendmicro быстро отреагировал на вашу заявку:

1. Язык общения: Английский

2. Тушка зловреда упакована в zip c паролем: novirus

3. Размер архива: не более 5Мб - в противном случае апладим на рапидшару и высылаем ссылку

4.1 В теме письма пишем: Possible malware

4.2 В теле письма пишем: I found this file on infected computer. possible malware.

и подписываемся под всем этим делом.

из опыта:

письмо с вирусом отправляем в 10:00 (GMT+2)

ответ о получении письма приходит в 10:10 (GMT+2)

ответ о том что образец принят в работу аналитиком получаем в 11:20 (GMT+2)

в 17:00 (GMT+2) - файл детектируется антивирусом (при включенном smartscan)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
aka kum

спасибо. Но хотел бы переспросить еще раз за пароль на архив! вроде бы как у них написано :

"...password protected zip archives (password: virus)"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

да пароль таки должен быть virus

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×