Перейти к содержанию
alx19

SAV 9/10 пропускал троян Downloader-AWA Почему? - 2

Recommended Posts

alx19

SAV 9.0.5.1100 и SAV 10.1.4.4010 с самыми новыми базами

пропускают вирусы при запуске следующего файла зараженного

трояном Downloader-AWA

Скачайте файл с файлом в архиве rar.

Распакуйте с паролем ww

Ваш SAV ничего не скажет.

Если Вы запустите этот файл на исполение, после перезагрузки уже не сможете

запустить свою ОС.

Например McAfee VSE8 его детектит с мая 2006 года не раскрывая.

http://vil.nai.com/vil/content/v_139435.htm

http://secunia.com/virus_information/29253/downloader-awa/

Кстати сам файл похоже представляет из себя самораскрывающийся архив, который SAV распаковывать для проверки не умеет. В то же при запуске происходит иницилизация трояна, скачивания с удаленного ресурса зараженных файлов, которые просто еще не научились лечить и т.д.

Почему Symantec допускает это?

Возможные варианты:

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

3. сканирующий движок SAV недостаточно совершенен.

С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

sav10_mail@mail.ru

пароль

sav10

и скачайте файл

с_подругой.rar

далее проведите тесты.

Спасибо.

У нас сегодня из-за этого пришлось переустанавливать 2 ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

alx19

Для получения компетентного ответа на подобные вопросы нужно писать не сюда, а обращаться в службу поддержки Symantec. Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

https://submit.symantec.com/gold/

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

Такого не бывает, интернет сейчас слишком глобален

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

Такого не может быть, иначе Symantec не был бы лидером в своей области с крупнейшими и известнейшими компаниями клиентами

3. сканирующий движок SAV недостаточно совершенен.

А такие бывают :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Кирилл Керценбаум

Мы выбираем антивирус (тестируем на 3 компьютерах).

Спасибо за столь полный ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

alx19, а что вы хотите от Symantec?

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

http://www.anti-malware.ru/index.phtml?par...p;anid=reaction

Они добавят детект этого зверя, но будет это когда-то потом. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Мы выбираем антивирус (тестируем на 3 компьютерах).
Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса?

Может, это ссылка доступна всем, но при использовании ЛЕГАЛЬНЫХ продуктов пользователь также получает доступ к Gold Support, где могут дать квалифицированный "живой" ответ, по описанной ссылке работает автоматическая служба выпуска сигнатур - Symantec Imune System

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

Что вообщем-то характерно для всей большой тройки, кстати система Symantec Rapid Release с обновлениями каждые 30 минут (которую опционально можно использовать) достаточно быстро реагирует на новые угрозы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Сергей Ильин

В приведенной Вами статье время реакции Symantec - 12 часов( и это точно не так уж долго), но ведь McAfee VSE8 удаляет этот файл сразу!

Ссылаясь на

http://vil.nai.com/vil/content/v_139435.htm

Там написано что еще в мае 2006 года

и McAfee и Kaspersky и TrendMicro уже умели работать с таким вирусом.

Почему же Symantec до сих пор о нем не знает ?

Кирилл Керценбаум

Отправил в Symantec зараженный файл через:

https://submit.symantec.com/retail/

Непонятно другое - почему спустя столько месяцев - никто не удосужился отправить зараженный файл таким вирусом в Symantec - неужели он так мало распространен?

Раз многие вендоры уже его знают, а Symantec еще нет - то почему они все время твердят о том что обмениваются друг с другом иноформацией об выпущенных сигнатурах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Пардон, но если архив не запаролен и прошел через мэйл.ру, то...

Касперский? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Мальцев Тимофей

запароленный архив создал я сам

с mail.ru пришел голый exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Почему же Symantec до сих пор о нем не знает ?

12 часов - это все таки по выборке вирусов 1-го приоритета, а по так называемым "мало распространенным" угрозам этот период часто значительно возрастает. Кто-то тут у нас по поводу подобных случаев уже писал, кажется это был broker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Дело в том, что и McAfee и Symantec определяют вирусы и создают сигнатуры по классам, стремясь делать максимальную корреляцию внутри вида (поэтому и обновления столь малы и не так часты); возможно что у McAfee сигнатура этого класса вируса была чуть качественней, или действительно они уже успели ее доработать, а у Symantec сигнатура для данного класса данный конкретный новый образец не определяла

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Неправда Ваша, Rapid Release, выпускаемый раз в от 15 до 60 минут как раз и включает изменение по запросу пользователей, в этом плане у Symantec хорошая и очень быстрая реакция и вполне возможно что этот образец не был до этого известен (говорю по собственному опыту общения с инженерами Symantec). Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные, это справедливо и для SOHO продуктов, а также в настоящее время идет планомерное внедрение автоматической поддержки технологии Rapid Release во всех корпоративных продуктах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

A., Кирилл Керценбаум

БОЛЬШОЕ СПАСИБО за ТАКОЙ ответ.

Многое стало понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Кстати. Trend Micro тоже не детектит данный троян :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

sav10_mail@mail.ru

пароль

sav10

и скачайте файл

с_подругой.rar

Я отправил данный файл в zip-архиве с паролем infected на адрес: vendors[at]spywarefix.org Его обработали большинство антивирусных вендоров. Некоторые его знали, например CA и Avira. Другие его добавили в базы после анализа.

Кстати. Trend Micro тоже не детектит данный троян

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web: http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Кстати. Trend Micro тоже не детектит данный троян

И такое возможно, что тут поделаешь

Добавлено спустя 56 секунд:

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web:

Для Европы и России это работает по другому адресу:

http://ru.trendmicro-europe.com/enterprise.../av_service.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Кирилл Керценбаум, спасибо. Лишняя ссылка не помешает. Но по первой ссылке меньше полей заполнять. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

SuperBrat

Но только работают они по американскому времени, а нам то нужно по европейскому, к тому же реакция быстрее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Хороший сервис vendors[at]spywarefix.org. Вот только что получил письмо от ЛК. Только почему так долго? :shock:

Hello.

New malicious software was found in the attached file.

Trojan-Downloader.Win32.Delf.awg

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Roman Gavrilchenko

Virus Analyst, Kaspersky Lab.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Ну, добавлю от себя чуть-чуть :)

1)

Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные,

Неправда ваша дяденька, SMC for Exchange до сих пор или еженедельно или Rapid

2) В течении этого года прошло штук 5-6 вирусов которые McAfee детектил эвристикой, а Symantec молчал как партизан.И добавлял отосланный мной (Gold support) образец через пару дней (не всегда, но пару раз точно). Справедливости ради добавлю - то что McAfee детектил, не всегда спасало ибо лечить до конца он так и не умел пока в базы не добавляли. Но! Не заметить эпидемию в этом случае гораздо труднее это раз, знаешь что отправлять в Support и давить на машинах - это два, ну и три - почтовик с McAfee эту дрянь в сетку просто не пустит (ибо "полюбому" вирусы в сетку непускать! если лечить не умеем -удалить).

3) Опять таки для объективности за этот-же период был один вирус который McAfee увидел эвристикой, что-то убил, а потом эта машина пошла по всем шарам вирусняк писать. Вот тут Symantec отличился - увидел эту дрянь и сразу стал пришибать. Это был троян, который при старте с сайта вытягивал ещё одного и именно вытянутого писал по шарам. Вот этого второго McAfee видел только после запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

SMC for Exchange это Symantec Mail Security for Microsoft Exchange?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Продолжение истории…

Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Britney Spears.jpg.pif

Keygen 4 all new.scr

Eminem Poster.jpg.exe

Learn Programming 2004.doc.exe

Harry Potter game.scr

Vista review.doc.scr

Файл с_подругой(только этот файл) был отправлен в Symantec и после выпуска им новых баз, начали удаляться SAV следующие файлы:

- с_подругой.exe указывал что заражен Downloader

- Eminem Poster.jpg.exe указывал что заражен W32.Areses.Q@mm

- Learn Programming 2004.doc.exe указывал что заражен W32.Areses.Q@mm

- Harry Potter game.scr указывал что заражен W32.Areses.Q@mm

- Vista review.doc.scr указывал что заражен W32.Areses.Q@mm

В то же время файлы

- Britney Spears.jpg.pif

- Keygen 4 all new.scr

SAV также не видел !!!

(проверка на то что файлы заражены каждый раз проводилась с помощью McAfee VSE8)

Оба эти файла были отправлены в Symantec и после выпуска им новых баз, начали удаляться SAV эти файлы:

- Britney Spears.jpg.pif указывал что заражен W32.Areses.Q@mm

- Keygen 4 all new.scr указывал что заражен W32.Areses.Q@mm

То есть получается что в этих 2-х файлах другой штамм вируса W32.Areses.Q@mm.

http://www.symantec.com/security_response/...-090611-4944-99

Но описание его на сайте Symantec такое же.

При всем при этом McAfee VSE8 + patch 13 + AntiSpyware + Engine 5100 + самые новые базы, удалял и файл “с_подругой” при запуске и эти 6 файлов еще при проверке в день когда под SAV произошло заражение этими вирусами.

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Короче: Возможно ли появление аналогичной ситуации (с такой возней с отправкой зараженных файлов своему антивирусному вендору), но на месте Symantec -> McAfee, а на месте McAfee -> Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.
Дак а я уже.. сразу же.. как тока обсуждение пошло :-) Они уже благодарности прислали))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Т.е. у вас нет эшелонированной защиты? Достаточно заразиться одному компьютеру, пусть и по вине конкретного антивируса, как ляжет вся ваша сетка? :shock:

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Когда я отправлял вашего "зловреда" в сервис vendors[at]spywarefix.org, почтовый робот McAfee не детектировал этого зверя. Так кому верить, вам или своим глазам?

P.S. Делать вывод о работе антивируса на основании диагностики только одного зловреда - неправильно! У меня был случай, когда четыре зловреда детектировались эвристикой SAV 10.1, но не признавались вредными российскими антивирусами (AVZ, DrWeb, KAV).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×