alx19

SAV 9/10 пропускал троян Downloader-AWA Почему? - 2

В этой теме 42 сообщений

SAV 9.0.5.1100 и SAV 10.1.4.4010 с самыми новыми базами

пропускают вирусы при запуске следующего файла зараженного

трояном Downloader-AWA

Скачайте файл с файлом в архиве rar.

Распакуйте с паролем ww

Ваш SAV ничего не скажет.

Если Вы запустите этот файл на исполение, после перезагрузки уже не сможете

запустить свою ОС.

Например McAfee VSE8 его детектит с мая 2006 года не раскрывая.

http://vil.nai.com/vil/content/v_139435.htm

http://secunia.com/virus_information/29253/downloader-awa/

Кстати сам файл похоже представляет из себя самораскрывающийся архив, который SAV распаковывать для проверки не умеет. В то же при запуске происходит иницилизация трояна, скачивания с удаленного ресурса зараженных файлов, которые просто еще не научились лечить и т.д.

Почему Symantec допускает это?

Возможные варианты:

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

3. сканирующий движок SAV недостаточно совершенен.

С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

[email protected]

пароль

sav10

и скачайте файл

с_подругой.rar

далее проведите тесты.

Спасибо.

У нас сегодня из-за этого пришлось переустанавливать 2 ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alx19

Для получения компетентного ответа на подобные вопросы нужно писать не сюда, а обращаться в службу поддержки Symantec. Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

https://submit.symantec.com/gold/

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

Такого не бывает, интернет сейчас слишком глобален

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

Такого не может быть, иначе Symantec не был бы лидером в своей области с крупнейшими и известнейшими компаниями клиентами

3. сканирующий движок SAV недостаточно совершенен.

А такие бывают :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум

Мы выбираем антивирус (тестируем на 3 компьютерах).

Спасибо за столь полный ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alx19, а что вы хотите от Symantec?

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

http://www.anti-malware.ru/index.phtml?par...p;anid=reaction

Они добавят детект этого зверя, но будет это когда-то потом. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мы выбираем антивирус (тестируем на 3 компьютерах).
Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса?

Может, это ссылка доступна всем, но при использовании ЛЕГАЛЬНЫХ продуктов пользователь также получает доступ к Gold Support, где могут дать квалифицированный "живой" ответ, по описанной ссылке работает автоматическая служба выпуска сигнатур - Symantec Imune System

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

Что вообщем-то характерно для всей большой тройки, кстати система Symantec Rapid Release с обновлениями каждые 30 минут (которую опционально можно использовать) достаточно быстро реагирует на новые угрозы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

В приведенной Вами статье время реакции Symantec - 12 часов( и это точно не так уж долго), но ведь McAfee VSE8 удаляет этот файл сразу!

Ссылаясь на

http://vil.nai.com/vil/content/v_139435.htm

Там написано что еще в мае 2006 года

и McAfee и Kaspersky и TrendMicro уже умели работать с таким вирусом.

Почему же Symantec до сих пор о нем не знает ?

Кирилл Керценбаум

Отправил в Symantec зараженный файл через:

https://submit.symantec.com/retail/

Непонятно другое - почему спустя столько месяцев - никто не удосужился отправить зараженный файл таким вирусом в Symantec - неужели он так мало распространен?

Раз многие вендоры уже его знают, а Symantec еще нет - то почему они все время твердят о том что обмениваются друг с другом иноформацией об выпущенных сигнатурах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пардон, но если архив не запаролен и прошел через мэйл.ру, то...

Касперский? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мальцев Тимофей

запароленный архив создал я сам

с mail.ru пришел голый exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему же Symantec до сих пор о нем не знает ?

12 часов - это все таки по выборке вирусов 1-го приоритета, а по так называемым "мало распространенным" угрозам этот период часто значительно возрастает. Кто-то тут у нас по поводу подобных случаев уже писал, кажется это был broker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Дело в том, что и McAfee и Symantec определяют вирусы и создают сигнатуры по классам, стремясь делать максимальную корреляцию внутри вида (поэтому и обновления столь малы и не так часты); возможно что у McAfee сигнатура этого класса вируса была чуть качественней, или действительно они уже успели ее доработать, а у Symantec сигнатура для данного класса данный конкретный новый образец не определяла

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Неправда Ваша, Rapid Release, выпускаемый раз в от 15 до 60 минут как раз и включает изменение по запросу пользователей, в этом плане у Symantec хорошая и очень быстрая реакция и вполне возможно что этот образец не был до этого известен (говорю по собственному опыту общения с инженерами Symantec). Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные, это справедливо и для SOHO продуктов, а также в настоящее время идет планомерное внедрение автоматической поддержки технологии Rapid Release во всех корпоративных продуктах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

A., Кирилл Керценбаум

БОЛЬШОЕ СПАСИБО за ТАКОЙ ответ.

Многое стало понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати. Trend Micro тоже не детектит данный троян :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

[email protected]

пароль

sav10

и скачайте файл

с_подругой.rar

Я отправил данный файл в zip-архиве с паролем infected на адрес: vendors[at]spywarefix.org Его обработали большинство антивирусных вендоров. Некоторые его знали, например CA и Avira. Другие его добавили в базы после анализа.

Кстати. Trend Micro тоже не детектит данный троян

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web: http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати. Trend Micro тоже не детектит данный троян

И такое возможно, что тут поделаешь

Добавлено спустя 56 секунд:

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web:

Для Европы и России это работает по другому адресу:

http://ru.trendmicro-europe.com/enterprise.../av_service.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум, спасибо. Лишняя ссылка не помешает. Но по первой ссылке меньше полей заполнять. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

SuperBrat

Но только работают они по американскому времени, а нам то нужно по европейскому, к тому же реакция быстрее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хороший сервис vendors[at]spywarefix.org. Вот только что получил письмо от ЛК. Только почему так долго? :shock:

Hello.

New malicious software was found in the attached file.

Trojan-Downloader.Win32.Delf.awg

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Roman Gavrilchenko

Virus Analyst, Kaspersky Lab.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, добавлю от себя чуть-чуть :)

1)

Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные,

Неправда ваша дяденька, SMC for Exchange до сих пор или еженедельно или Rapid

2) В течении этого года прошло штук 5-6 вирусов которые McAfee детектил эвристикой, а Symantec молчал как партизан.И добавлял отосланный мной (Gold support) образец через пару дней (не всегда, но пару раз точно). Справедливости ради добавлю - то что McAfee детектил, не всегда спасало ибо лечить до конца он так и не умел пока в базы не добавляли. Но! Не заметить эпидемию в этом случае гораздо труднее это раз, знаешь что отправлять в Support и давить на машинах - это два, ну и три - почтовик с McAfee эту дрянь в сетку просто не пустит (ибо "полюбому" вирусы в сетку непускать! если лечить не умеем -удалить).

3) Опять таки для объективности за этот-же период был один вирус который McAfee увидел эвристикой, что-то убил, а потом эта машина пошла по всем шарам вирусняк писать. Вот тут Symantec отличился - увидел эту дрянь и сразу стал пришибать. Это был троян, который при старте с сайта вытягивал ещё одного и именно вытянутого писал по шарам. Вот этого второго McAfee видел только после запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Продолжение истории…

Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Britney Spears.jpg.pif

Keygen 4 all new.scr

Eminem Poster.jpg.exe

Learn Programming 2004.doc.exe

Harry Potter game.scr

Vista review.doc.scr

Файл с_подругой(только этот файл) был отправлен в Symantec и после выпуска им новых баз, начали удаляться SAV следующие файлы:

- с_подругой.exe указывал что заражен Downloader

- Eminem Poster.jpg.exe указывал что заражен [email protected]

- Learn Programming 2004.doc.exe указывал что заражен [email protected]

- Harry Potter game.scr указывал что заражен [email protected]

- Vista review.doc.scr указывал что заражен [email protected]

В то же время файлы

- Britney Spears.jpg.pif

- Keygen 4 all new.scr

SAV также не видел !!!

(проверка на то что файлы заражены каждый раз проводилась с помощью McAfee VSE8)

Оба эти файла были отправлены в Symantec и после выпуска им новых баз, начали удаляться SAV эти файлы:

- Britney Spears.jpg.pif указывал что заражен [email protected]

- Keygen 4 all new.scr указывал что заражен [email protected]

То есть получается что в этих 2-х файлах другой штамм вируса [email protected]

http://www.symantec.com/security_response/...-090611-4944-99

Но описание его на сайте Symantec такое же.

При всем при этом McAfee VSE8 + patch 13 + AntiSpyware + Engine 5100 + самые новые базы, удалял и файл “с_подругой” при запуске и эти 6 файлов еще при проверке в день когда под SAV произошло заражение этими вирусами.

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Короче: Возможно ли появление аналогичной ситуации (с такой возней с отправкой зараженных файлов своему антивирусному вендору), но на месте Symantec -> McAfee, а на месте McAfee -> Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.
Дак а я уже.. сразу же.. как тока обсуждение пошло :-) Они уже благодарности прислали))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Т.е. у вас нет эшелонированной защиты? Достаточно заразиться одному компьютеру, пусть и по вине конкретного антивируса, как ляжет вся ваша сетка? :shock:

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Когда я отправлял вашего "зловреда" в сервис vendors[at]spywarefix.org, почтовый робот McAfee не детектировал этого зверя. Так кому верить, вам или своим глазам?

P.S. Делать вывод о работе антивируса на основании диагностики только одного зловреда - неправильно! У меня был случай, когда четыре зловреда детектировались эвристикой SAV 10.1, но не признавались вредными российскими антивирусами (AVZ, DrWeb, KAV).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • fafa
      А что это совсем за аппарат массунг? Как мне кажется, то любые аппараты совсем являются ремонтируемыми. А все зависит только от того в какую фирму понесете. Так, что все реально сделать в наше время, были бы деньги только.
    • fafa
      Если есть совсем мало места, то почему же не ставить. Если посмотреть, то ни какой вариант с ванной ни как не спасает нас, так как места займет она точно больше, в наше время это решает. Для моей квартиры в 60 квадратов так тем более.
    • Wenderoy
      Скачать Kuranin Anti-Ransomware можно здесь: http://kuranin.ml/ Уникальный файлообменный сервис от Куранина Ильи для безопасного хранения файлов с возможностью шифрования методом AES-256 - https://kur.guru/ Все загружаемые данные хранятся на надежно защищенных нидерландских серверах и хранятся вечно!
    • P1rat
    • klubochek
      Подскажите подлежат ли ремонту смартфоны масунг? В пятницу забрала дочку со школы всю в слезах. В школе не стала уточнять что к чему, на простой вопрос что случилось – только слезы. Дома показывает мне свой телефон – экран разбит. Телефон не включается. Что произошло толком не рассказывает. Но это уже буду говорить с учителем. Самое обидное что это был ее долгожданный подарок. Подарили только на 8 марта. Если ремонт возможен , какая может быть его стоимость?