Перейти к содержанию
EYE

Pinch - очередной повод для спора

Recommended Posts

vaber

Включена. Релиз а не ребилд. Сегодня скачаный с оффсайта

Добавлено спустя 16 минут 38 секунд:

Да, видимо отложили они исправление этой дыры то mp2 Ж))

Trojan-Dropper.Win32.Agent.aws - дропает Trojan-PSW.Win32.LdPinch.awy

На мгновение окно алерта становиться видным. Потом подвисон и ... вирус установлен.

1)обнаружено: потенциально опасное ПО Trojan.generic Процесс: D:Documents and SettingsChemistLocal SettingsTempPinch.exe

2)обнаружено: потенциально опасное ПО Private data and passwords acce Процесс: D:WINDOWSoutpost.exe

3)21.11.2006 17:12:59 D:Documents and SettingsChemistLocal SettingsTempPinch.exe Процесс пытается зарегистрировать свою копию для автоматического запуска при старте компьютера. Такие действия характерны для троянских программ.

4)21.11.2006 17:14:14 D:WINDOWSoutpost.exe Процесс выполняет подозрительные действия.

Все это можно видить только в логах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grnic

vaber,

проверьте, плиз, пинча, подложив модуль, высланный вам по почте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вот теперь другое дело. Все сработало! Можете выпускать фикс.

З.Ы. В первом варианте было сильное поттормаживание, затем выскачил баллун 'Private data and passwords access и 'Hidden data sending' с возможностью выбора действий.

Молодцы!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

grnic так говорили что ещё в середине тестирования mp1 это поправили..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Вот теперь другое дело. Все сработало! Можете выпускать фикс.

З.Ы. В первом варианте было сильное поттормаживание, затем выскачил баллун 'Private data and passwords access и 'Hidden data sending' с возможностью выбора действий.

Молодцы!!!

Так я и не понял, исправили или нет?

Добавлено спустя 1 минуту 43 секунды:

Кстати на форуме Касперского уже подчистили :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Поправили. Только автоматом еще не накатывается. Ждите хотфикса, либо ручками качаем.

FSSync.zip

FSSync.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Поправили. Только автоматом еще не накатывается. Ждите хотфикса, либо ручками качаем.

Спасибо за файлик.

Подменить, конечно можно, НО, где уверенность в том что он не заглючит с другим зловредном? Я думаю, если его до сих пор не запихнули в обновление, то значит его тестят. А бета тестерам я быть не хочу.:(

Но буду просматривать обновления, чтоб быть в курсе, когда эту уязвимость пофиксят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Наконец-то нашлось время и я переделал функцию обхода проактивной защиты для Kaspersky Internet Security.

Для тех кто не в курсе, в новой версии KIS 6.0.1.411 была переделана проактивная защита, которая блокировала пинч.

На данный момент пинч обходит последнии версии продуктов KAV и KIS, даже если стоит опция "контроля реестра".

Эта функция будет доступна Вам со следующим обновлением пинча.

http://pinch3.com/2007/01/15/proaktivnaja_...is.html#comment

недолго музыка играла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
недолго музыка играла

К сожалению - да. И ничего тут не поделаешь. Вирь можно спец заточить под любой фаер или антивирь. В ближайшем будущем посмотрим на этого пинча, интересна реализция обхода Каспера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

По ссылке это заявление вирусописателя?

Угу, дамрай. Ждём хотфикса! Вообще, прикольно. Мне нравится. Т.е. комерческие троянцы всегда будут обходить антивирусы, тут пинч мир не ухудшил =) Но зато у ЛК есть хороший стимул хотфиксить, что потом помогает против разного некоммерческого распространённого зверья. Гуд! =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Т.е. комерческие троянцы всегда будут обходить антивирусы

а что кто-то сомневался, это как любая программа ему платят за определённые функции и ему приходяться их делать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Т.е. комерческие троянцы всегда будут обходить антивирусы

а что кто-то сомневался, это аналогия ему платят за это деньги..

Угу, я это и имею в виду. Плюс у него выигрышная позиция: он может своё детище легко протестить на антивирусе, а наоборот - вир.лаб его детище увидит лишь после того, как поймает где-то (или у кого-то...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×