Перейти к содержанию
alx19

SAV 9/10 пропускал троян Downloader-AWA Почему? - 2

Recommended Posts

alx19

SAV 9.0.5.1100 и SAV 10.1.4.4010 с самыми новыми базами

пропускают вирусы при запуске следующего файла зараженного

трояном Downloader-AWA

Скачайте файл с файлом в архиве rar.

Распакуйте с паролем ww

Ваш SAV ничего не скажет.

Если Вы запустите этот файл на исполение, после перезагрузки уже не сможете

запустить свою ОС.

Например McAfee VSE8 его детектит с мая 2006 года не раскрывая.

http://vil.nai.com/vil/content/v_139435.htm

http://secunia.com/virus_information/29253/downloader-awa/

Кстати сам файл похоже представляет из себя самораскрывающийся архив, который SAV распаковывать для проверки не умеет. В то же при запуске происходит иницилизация трояна, скачивания с удаленного ресурса зараженных файлов, которые просто еще не научились лечить и т.д.

Почему Symantec допускает это?

Возможные варианты:

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

3. сканирующий движок SAV недостаточно совершенен.

С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

sav10_mail@mail.ru

пароль

sav10

и скачайте файл

с_подругой.rar

далее проведите тесты.

Спасибо.

У нас сегодня из-за этого пришлось переустанавливать 2 ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

alx19

Для получения компетентного ответа на подобные вопросы нужно писать не сюда, а обращаться в службу поддержки Symantec. Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

https://submit.symantec.com/gold/

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

Такого не бывает, интернет сейчас слишком глобален

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

Такого не может быть, иначе Symantec не был бы лидером в своей области с крупнейшими и известнейшими компаниями клиентами

3. сканирующий движок SAV недостаточно совершенен.

А такие бывают :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Кирилл Керценбаум

Мы выбираем антивирус (тестируем на 3 компьютерах).

Спасибо за столь полный ответ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Если Вы пользуетесь ЛЕГАЛЬНЫМИ продуктами Symantec, то для передачи подозрительного кода можно воспользоваться следующей ссылкой:

Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

alx19, а что вы хотите от Symantec?

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

http://www.anti-malware.ru/index.phtml?par...p;anid=reaction

Они добавят детект этого зверя, но будет это когда-то потом. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Мы выбираем антивирус (тестируем на 3 компьютерах).
Хотите сказать, что если юзер не покупал Симантека, то и предупредить вирлаб этой компании он не может? Или Симантек просто проигорирует приносимый ему на блюдечке образец нового вируса?

Может, это ссылка доступна всем, но при использовании ЛЕГАЛЬНЫХ продуктов пользователь также получает доступ к Gold Support, где могут дать квалифицированный "живой" ответ, по описанной ссылке работает автоматическая служба выпуска сигнатур - Symantec Imune System

Всем известно, что скорость реакции на новые угрозы у них одна из худших в индустрии, это доказано многими тестами, например тут

Что вообщем-то характерно для всей большой тройки, кстати система Symantec Rapid Release с обновлениями каждые 30 минут (которую опционально можно использовать) достаточно быстро реагирует на новые угрозы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Сергей Ильин

В приведенной Вами статье время реакции Symantec - 12 часов( и это точно не так уж долго), но ведь McAfee VSE8 удаляет этот файл сразу!

Ссылаясь на

http://vil.nai.com/vil/content/v_139435.htm

Там написано что еще в мае 2006 года

и McAfee и Kaspersky и TrendMicro уже умели работать с таким вирусом.

Почему же Symantec до сих пор о нем не знает ?

Кирилл Керценбаум

Отправил в Symantec зараженный файл через:

https://submit.symantec.com/retail/

Непонятно другое - почему спустя столько месяцев - никто не удосужился отправить зараженный файл таким вирусом в Symantec - неужели он так мало распространен?

Раз многие вендоры уже его знают, а Symantec еще нет - то почему они все время твердят о том что обмениваются друг с другом иноформацией об выпущенных сигнатурах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Пардон, но если архив не запаролен и прошел через мэйл.ру, то...

Касперский? :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Мальцев Тимофей

запароленный архив создал я сам

с mail.ru пришел голый exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Почему же Symantec до сих пор о нем не знает ?

12 часов - это все таки по выборке вирусов 1-го приоритета, а по так называемым "мало распространенным" угрозам этот период часто значительно возрастает. Кто-то тут у нас по поводу подобных случаев уже писал, кажется это был broker.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сергей Ильин

Мне после отправки в Symantec зараженного файла через 1,5 часа выслали ссылку на rapid update после установки которого sav сразу начал разруливать тот файл. Сказали что завтра сигнатура появится в базе.

Получается что просто никто в миру не удосужился с мая 2006 выслать в Symantec зараженный файл таким трояном.

Другое дело что я слышал что антивирусные вендоры обмениваются информацией о найденных вирусах. Почему же тогда Symantec не прислушалась к ним с мая 2006 года по поводу этого трояна?

Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Да потому что этот файл никакой не майский. Троян "с_подругой" был создан и проспамлен по России 2 октября.

Почему Макафи назвало его так же как майский троян - другой вопрос. Но файл 100% другой.

Дело в том, что и McAfee и Symantec определяют вирусы и создают сигнатуры по классам, стремясь делать максимальную корреляцию внутри вида (поэтому и обновления столь малы и не так часты); возможно что у McAfee сигнатура этого класса вируса была чуть качественней, или действительно они уже успели ее доработать, а у Symantec сигнатура для данного класса данный конкретный новый образец не определяла

Так что время реакции Симантека в данной ситуации ~2 дней (наличие детектирования в rapid update показывает, что он им известен был еще до вашего обращения, просто у них стандартная схема апдейтов - раз в неделю).

Неправда Ваша, Rapid Release, выпускаемый раз в от 15 до 60 минут как раз и включает изменение по запросу пользователей, в этом плане у Symantec хорошая и очень быстрая реакция и вполне возможно что этот образец не был до этого известен (говорю по собственному опыту общения с инженерами Symantec). Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные, это справедливо и для SOHO продуктов, а также в настоящее время идет планомерное внедрение автоматической поддержки технологии Rapid Release во всех корпоративных продуктах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

A., Кирилл Керценбаум

БОЛЬШОЕ СПАСИБО за ТАКОЙ ответ.

Многое стало понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Кстати. Trend Micro тоже не детектит данный троян :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер

sav10_mail@mail.ru

пароль

sav10

и скачайте файл

с_подругой.rar

Я отправил данный файл в zip-архиве с паролем infected на адрес: vendors[at]spywarefix.org Его обработали большинство антивирусных вендоров. Некоторые его знали, например CA и Avira. Другие его добавили в базы после анализа.

Кстати. Trend Micro тоже не детектит данный троян

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web: http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Кстати. Trend Micro тоже не детектит данный троян

И такое возможно, что тут поделаешь

Добавлено спустя 56 секунд:

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.

Trend Micro - Отправить через web:

Для Европы и России это работает по другому адресу:

http://ru.trendmicro-europe.com/enterprise.../av_service.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Кирилл Керценбаум, спасибо. Лишняя ссылка не помешает. Но по первой ссылке меньше полей заполнять. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

SuperBrat

Но только работают они по американскому времени, а нам то нужно по европейскому, к тому же реакция быстрее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Хороший сервис vendors[at]spywarefix.org. Вот только что получил письмо от ЛК. Только почему так долго? :shock:

Hello.

New malicious software was found in the attached file.

Trojan-Downloader.Win32.Delf.awg

It's detection will be included in the next update. Thank you for your help.

-----------------

Regards, Roman Gavrilchenko

Virus Analyst, Kaspersky Lab.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Ну, добавлю от себя чуть-чуть :)

1)

Что касается "стандартной" схемы апдейтов раз в неделю, то она уже давно не работает, апдейты всех корпоративных продуктов происходят НЕ РЕЖЕ одного раза в день, включая выходные,

Неправда ваша дяденька, SMC for Exchange до сих пор или еженедельно или Rapid

2) В течении этого года прошло штук 5-6 вирусов которые McAfee детектил эвристикой, а Symantec молчал как партизан.И добавлял отосланный мной (Gold support) образец через пару дней (не всегда, но пару раз точно). Справедливости ради добавлю - то что McAfee детектил, не всегда спасало ибо лечить до конца он так и не умел пока в базы не добавляли. Но! Не заметить эпидемию в этом случае гораздо труднее это раз, знаешь что отправлять в Support и давить на машинах - это два, ну и три - почтовик с McAfee эту дрянь в сетку просто не пустит (ибо "полюбому" вирусы в сетку непускать! если лечить не умеем -удалить).

3) Опять таки для объективности за этот-же период был один вирус который McAfee увидел эвристикой, что-то убил, а потом эта машина пошла по всем шарам вирусняк писать. Вот тут Symantec отличился - увидел эту дрянь и сразу стал пришибать. Это был троян, который при старте с сайта вытягивал ещё одного и именно вытянутого писал по шарам. Вот этого второго McAfee видел только после запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

SMC for Exchange это Symantec Mail Security for Microsoft Exchange?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Продолжение истории…

Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Britney Spears.jpg.pif

Keygen 4 all new.scr

Eminem Poster.jpg.exe

Learn Programming 2004.doc.exe

Harry Potter game.scr

Vista review.doc.scr

Файл с_подругой(только этот файл) был отправлен в Symantec и после выпуска им новых баз, начали удаляться SAV следующие файлы:

- с_подругой.exe указывал что заражен Downloader

- Eminem Poster.jpg.exe указывал что заражен W32.Areses.Q@mm

- Learn Programming 2004.doc.exe указывал что заражен W32.Areses.Q@mm

- Harry Potter game.scr указывал что заражен W32.Areses.Q@mm

- Vista review.doc.scr указывал что заражен W32.Areses.Q@mm

В то же время файлы

- Britney Spears.jpg.pif

- Keygen 4 all new.scr

SAV также не видел !!!

(проверка на то что файлы заражены каждый раз проводилась с помощью McAfee VSE8)

Оба эти файла были отправлены в Symantec и после выпуска им новых баз, начали удаляться SAV эти файлы:

- Britney Spears.jpg.pif указывал что заражен W32.Areses.Q@mm

- Keygen 4 all new.scr указывал что заражен W32.Areses.Q@mm

То есть получается что в этих 2-х файлах другой штамм вируса W32.Areses.Q@mm.

http://www.symantec.com/security_response/...-090611-4944-99

Но описание его на сайте Symantec такое же.

При всем при этом McAfee VSE8 + patch 13 + AntiSpyware + Engine 5100 + самые новые базы, удалял и файл “с_подругой” при запуске и эти 6 файлов еще при проверке в день когда под SAV произошло заражение этими вирусами.

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Короче: Возможно ли появление аналогичной ситуации (с такой возней с отправкой зараженных файлов своему антивирусному вендору), но на месте Symantec -> McAfee, а на месте McAfee -> Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

К сожалению, Trend Micro не получает рассылку с этого адреса. Вы можете проинформировать их самостоятельно.
Дак а я уже.. сразу же.. как тока обсуждение пошло :-) Они уже благодарности прислали))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Когда SAV 10.1.4.4010 + самые новые базы, пропустил вирус, который был в запущенном пользователем файле с_подругой.exe, на компьютер вирусом были закачаны следующие файлы:

Т.е. у вас нет эшелонированной защиты? Достаточно заразиться одному компьютеру, пусть и по вине конкретного антивируса, как ляжет вся ваша сетка? :shock:

Вопрос:

Возможно ли такое что эвристика McAfee VSE8 столь совершенна (она признанно считается лучше чем у Symantec SAV) что фирме McAfee не требуется так часто править сигнатуры как Symantec, что пользователям McAfee VSE8 не надо так часто отсылать(в отличии от пользователей Symantec) зараженные файлы в McAfee чтобы он начал удалять/лечить их сам?

Когда я отправлял вашего "зловреда" в сервис vendors[at]spywarefix.org, почтовый робот McAfee не детектировал этого зверя. Так кому верить, вам или своим глазам?

P.S. Делать вывод о работе антивируса на основании диагностики только одного зловреда - неправильно! У меня был случай, когда четыре зловреда детектировались эвристикой SAV 10.1, но не признавались вредными российскими антивирусами (AVZ, DrWeb, KAV).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×