Warezov.dc эпидения как во времена Bagle

[_Stout 131]

Есть такая компания как Commtouch, занимается почтовой безопасность. Для "своих" они рассылают отчеты о времени задежки детектирования по сравнению с ними. Вот данные по Warezov.DC

Malware Characteristics

MD5 checksum: d2024ac1ad8472931cd1b217e479b6be

Commtouch detect time [GMT] 2006-10-19 03:12:00

AV Имя время отстования от Commtouch

@Proventia-VPS Malicious (Cancelled) Zero-hour

AntiVir HEUR/Crypted Zero-hour

Avast! Win32:Warezov-ME [Wrm] 7:19 hrs.

AVG I-Worm/Stration.SC 5:33 hrs.

BitDefender Win32.Worm.Stration.QQA@mm 26:36 hrs.

ClamAV Worm.Stration.IY 1:55 hrs.

Command W32/Downloader.AHQM Zero-hour

Dr Web Win32.HLLM.Limar.based 4:51 hrs.

eSafe Trojan/Worm [101] (suspicious) Zero-hour

eTrust-INO Win32/Stration.GE!Worm 16:16 hrs.

eTrust-VET Win32/Stration!generic 3:28 hrs.

Ewido Worm.Warezov.dc 38:43 hrs.

F-Prot W32/Downloader.AHQM Zero-hour

F-Secure Email-Worm.Win32.Warezov.dc Zero-hour

Fortinet W32/Warezov.DC@mm 4:13 hrs.

Ikarus Email-Worm.Win32.Warezov.re 2:51 hrs.

Kaspersky Email-Worm.Win32.Warezov.dc Zero-hour

McAfee W32/Stration.dr 12:36 hrs.

Microsoft Win32/Stration.DE@mm 31:10 hrs.

Nod32 Win32/Stration.IH worm 3:38 hrs.

Norman W32/Stration.XN 31:16 hrs.

Panda - Not detected at time of report

QuickHeal I-Worm.Warezov.dc 32:45 hrs.

Rising Worm.Mail.Warezov.cb 28:37 hrs.

Sophos W32/Stratio-AW 0:52 hrs.

Symantec W32.Stration.CX@mm 4:51 hrs.

Trend Micro TROJ_STRAT.DR 5:21 hrs.

UNA - Not detected at time of report

VBA32 Email-Worm.Win32.Warezov.dc 35:45 hrs.

VirusBuster Trojan.DL.Agent.QLU 0:10 hrs.

Выводы делайте.

[Сергей Ильин 1538]

Вот тут сразу видно, как глюканул virustital на Sophos.

Они его через 52 минуты задетектили получается на самом деле.

А вот BitDefender реально лажанулся ...

[dan 10]

Если у f-secure zero-hour, то сам commtouch сильно протормозил с детектом этого Варезова.

[_Stout 131]

Если у f-secure zero-hour, то сам commtouch сильно протормозил с детектом этого Варезова.

Мы поймали этот вариант почти на 3 часа раньше Commtouch.

[Мальцев Тимофей 74]

Да, лукавость тут есть... Ни одного минуса.

[Dexter 20]

Выборка из 15 Stration и 3-х случайных антивирусов.

Детект:

Dr.Web - 10

Касперский - 8

NOD - 12 (из них 5-эвристик)

Источник - http://virusinfo.info/showthread.php?t=5802&page=10

Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

[Сергей Ильин 1538]

Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

Про детект Pinch идет дискуссия в соседней ветке, здесь плиз не нужно об этом.

ыборка из 15 Stration и 3-х случайных антивирусов. Smile

15 случайных ... зависит от того, кем их взяли первоначально, у того и будет хороший результат.

[Yurk 0]

Есть такая компания как Commtouch, занимается почтовой безопасность. Для "своих" они рассылают отчеты о времени задежки детектирования по сравнению с ними. Вот данные по Warezov.DC

Commtouch detect time [GMT] 2006-10-19 03:12:00

AV Имя время отстования от Commtouch

McAfee W32/Stration.dr 12:36 hrs.

Symantec W32.Stration.CX@mm 4:51 hrs.

Выводы делайте.

За всех не скажу, а эти два у меня есть. Так вот в 10:00 по Москве оба (и Symantec и McAfee) на посланный экземпляр тут-же выдали и детект и экстренные обноления.

Это сколько по GMT?

Как писал "_Stout" - "Выводы делайте."

[Dexter 20]

Сергей Ильин

зависит от того, кем их взяли первоначально, у того и будет хороший результат.

Можно, наверно, и так подойти к вопросу.

Но не в данном случае.

1.На virusinfo, я честно говоря, больших поклонников Нода не видел в большом количестве.

2.Кем он не был первым взят, это говорит только в пользу взявшего, свидетельствуя о скорости реакции на данный конкретный вирус.

В этом легко убедится, посмотрев присутствующие в той же ветке диаграммы.

Про детект Pinch идет дискуссия в соседней ветке, здесь плиз не нужно об этом.

Разумеется, пригласив EYE поучаствовать, я именно это и имел ввиду.

[EYE 59]

Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

Естественно не против Ж)

Займусь этим...( в соответствующей ветке, of course)

[EYE 59]

"Трудовые будни"

[XL 0]

"Трудовые будни"

В проверяемом архиве находилось 4 dll'ки двух разных версий червя. Так получилось и об этом стало известно уже позже...

Но суть от этого не меняется. Вирус одинаково не распознался на машине оснащенной NOD32, так и на машине оснащенной бы КАВ 6.0. Вся разница в том, что на машине с NOD32 варезов преспокойно задушил антивирус, а вот на машине с шестеркой вирю бы пришлось бодаться с проактивкой и неизвестно еще кто бы вышел победителем из этой борьбы. По крайней мере шуму бы было точно много.

Забавен полет мысли зараженного пользователя - он тоже является ярым сторонником нода, но как только попал в нехорошую ситуацию, то сразу изменил ноду с кавом 6.0 :wink:

Добавлено спустя 6 минут 26 секунд:

Вот не знаю - что это, но очень похоже на новую версию нашего друга. Пришло в асю.

хттп://2491.tuihudenfhungdansein.com/chr/IM/ICQCrypt.exe

[Dexter 20]

Вот не знаю - что это, но очень похоже на новую версию нашего друга. Пришло в асю.

Угу.

[XL 0]

Одна мысль не дает покоя... В принципе догадки о возможном ответе есть, но все же хочу глупый вопрос задать )

Как варезов использует UIN для рассылки - он сканирует жесткий диск в поисках номера аси и пароля, а затем запускает собственный клиент и через него рассылает ссылки или же он внедряет библиотеку в стандартные ICQ пейджеры и таким образом себя рассылает?

[Сергей Ильин 1538]

Пресс-релиз Eset по поводу первенства в защите от Win32/Stration был выделен в отдельную ветку:

NOD32 первым защитил от Win32/Stration/E-mail.Worm.Warezov

[Сергей Ильин 1538]

Комментарии Доктора Веба по поводу данного червя:

Главным событием месяца стала, вне всякого сомнения, серьезная эпидемия, вызванная распространением десятков модификаций почтового червя Win32.HLLM.Limar (известного также как Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm), бушевавшая до последнего дня месяца.

С подобного рода эпидемией антивирусные компании в последний сталкивались в конце июня 2006 года, когда начала своё активное распространение модификация почтового червя Win32.HLLM.Beagle, содержавшая rootkit-компоненту. Однако по своим масштабам эпидемия Win32.HLLM.Limar превзошла все ожидания.

В отдельные дни месяца присутствие червя в почтовом трафике составляло около 70% почтового трафика русскоязычного сектора сети Интернет. Массовое распространение Win32.HLLM.Limar началось ещё в сентябре и носило достаточно вялотекущий характер.

Ситуация резко изменилась в середине октября, когда в течение нескольких дней отмечалось появление новых модификаций Win32.HLLM.Limar, распространяющихся не только по электронной почте, но и по сети мгновенных сообщений ICQ в виде ссылок на закачку файлов.

Кроме того, создатели этого червя постоянно модифицировали код своего «детища», тем самым заставляя антивирусные компании решать непростую задачу их детектирования. Специалистами лаборатории вирусного анализа компании «Доктор Веб» были внесены специальные записи в вирусные базы Dr.Web для детектирования многочисленных модификаций представителей этого семейства – Win32.HLLM.Limar.based.

*****************************************

Вот не понятно, ведь эпидемия реально была, мы ее все видели, только вот почему то не все вендоры это признали

[Сергей Ильин 1538]

ЛК все таки тоже повесила алерт об эпидемии (от 27-го октября).

Лучше поздно, чем никогда :wink:

http://www.viruslist.com/ru/alerts?alertid=203698705

[Денис Лебедев 20]

Я немного поздновато наверно, но все же тоже отмечусь новеньким 8)

Кстати, не ожидал что каспер его не возьмет! И нод кстати тоже облажал((

ЗЫ TrendMicro к сожалению тож не в силах, а жаль

ЗЫЫ экзеплярчик выложу в соответствующей теме в разделе "Анализ Вредоностных Программ", можете отправить вендорам, а я отправил тока вэбу и trendmicro.

[Q 0]

К слову об эвристике НОДа. Особенно на новые варезовы

[_Stout 131]

К слову об эвристике НОДа. Особенно на новые варезовы

Каждое пятое письмо с новым Варезов! (.ha, .hb)!!!!!

[Сергей Ильин 1538]

В этот раз Nod32 не взял проактивно, а до этого много раз выручал один из первых. Есть некая группа вендоров, которая в течении очень большего промежутка времени обеспечивает защиту: Доктор Веб, Лаборатория Касперского (F-Secure само собой тоже), BitDefender и Eset, может быть еще AntiVir.

Но если идти от обратного, то на примере этих эпидемий можно сказать одно, есть такие интивирусы, которым НЕЛЬЗЯ доверять защиту.

[EYE 59]

К слову об эвристике НОДа. Особенно на новые варезовы

А кто говорил, что NOD32 может обеспечить 100% уровень детектирования неизвестных угроз ?

К тому же, вот и очередной пример с того же ресурса, не заставил себя ждать:

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 11.27.2006, 11:45:20 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.46 11.27.2006 Worm/Stration.H

Authentium 4.93.8 11.24.2006 W32/Warezov.gen4

Avast 4.7.892.0 11.27.2006 no virus found

AVG 386 11.27.2006 no virus found

BitDefender 7.2 11.27.2006 DeepScan:Generic.Stration.25B4D41B

CAT-QuickHeal 8.00 11.25.2006 no virus found

ClamAV devel-20060426 11.27.2006 no virus found

DrWeb 4.33 11.27.2006 Win32.HLLM.Limar

eSafe 7.0.14.0 11.26.2006 suspicious Trojan/Worm

eTrust-InoculateIT 23.73.68 11.27.2006 Win32/Stration.Variant!Worm

eTrust-Vet 30.3.3217 11.27.2006 no virus found

Ewido 4.0 11.26.2006 no virus found

Fortinet 2.82.0.0 11.27.2006 suspicious

F-Prot 3.16f 11.24.2006 W32/Warezov.gen4

F-Prot4 4.2.1.29 11.24.2006 W32/Warezov.gen4

Ikarus 0.2.65.0 11.27.2006 no virus found

Kaspersky 4.0.2.24 11.27.2006 no virus found

McAfee 4904 11.24.2006 no virus found

Microsoft 1.1804 11.27.2006 no virus found

NOD32v2 1884 11.27.2006 probably unknown NewHeur_PE virus

Norman 5.80.02 11.27.2006 W32/Malware

Panda 9.0.0.4 11.26.2006 no virus found

Prevx1 V2 11.27.2006 Worm.Warezov.Gen

Sophos 4.11.0 11.16.2006 W32/Strati-Gen

TheHacker 6.0.3.124 11.27.2006 no virus found

UNA 1.83 11.24.2006 no virus found

VBA32 3.11.1 11.26.2006 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.15:9 11.27.2006 Trojan.Opnis.Gen.29

[XL 0]

Империя наносит ответный удар своей эвристикой

Update: EYE меня опередил

[EYE 59]

Империя наносит ответный удар своей эвристикой

[Dmitry Perets 30]

А кто говорил, что NOD32 может обеспечить 100% уровень детектирования неизвестных угроз ?

Никто не говорил... Ещё бы, как же такое скажешь, если элементарную блокировку записи в автозапуск они почему-то не реализовали... А она между тем блокирует 100% новых Варезов и ещё 80% гуляющих по инету троянцев, червей и адварей. Просто и эффективно. Лично я это делал клиентам вручную, и мы вместе очень радовались результату...

Империя наносит ответный удар своей эвристикой

Империя почему-то упрямо забывает про поведенческую блокировку. Это очень печально, особенно на фоне недавних заявлений одного из членов империи ("империалистов"? =))) о его непоколебимой объективности...

P.S. Мой пост никоим образом не принижает достоинств эвристического анализатора Eset, который я считаю лучшим в своём классе решением на рынке!