Перейти к содержанию
_Stout

Warezov.dc эпидения как во времена Bagle

Recommended Posts

Сергей Ильин

STATUS: SCANNINGFile "Update-KB4343-x86.zip" received on 10.20.2006 at 15:03:14 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 7.2.0.31 10.20.2006 TR/Dldr.Stration.C.2

Authentium 4.93.8 10.20.2006 W32/Warezov.gen3!W32DL

Avast 4.7.892.0 10.20.2006 Win32:Warezov-MF

AVG 386 10.20.2006 I-Worm/Stration

BitDefender 7.2 10.20.2006 no virus found

CAT-QuickHeal 8.00 10.20.2006 no virus found

ClamAV devel-20060426 10.20.2006 Worm.Stration.JF

DrWeb 4.33 10.20.2006 no virus found

eTrust-InoculateIT 23.73.30 10.20.2006 Win32/Stration!ZIP!Worm

eTrust-Vet 30.3.3146 10.20.2006 Win32/Stration!ZIP!generic

Ewido 4.0 10.19.2006 no virus found

Fortinet 2.82.0.0 10.20.2006 no virus found

F-Prot 3.16f 10.20.2006 W32/Warezov.gen3!W32DL

F-Prot4 4.2.1.29 10.19.2006 Possibly a new unknown PE_Virus!Maximus

Ikarus 0.2.65.0 10.20.2006 no virus found

Kaspersky 4.0.2.24 10.20.2006 Email-Worm.Win32.Warezov.dp

McAfee 4877 10.19.2006 no virus found

Microsoft 1.1603 10.20.2006 no virus found

NOD32v2 1.1819 10.20.2006 Win32/Stration.KG

Norman 5.90.23 10.20.2006 no virus found

Panda 9.0.0.4 10.19.2006 no virus found

Sophos 4.10.0 10.15.2006 no virus found

TheHacker 6.0.1.101 10.19.2006 no virus found

UNA 1.83 10.20.2006 no virus found

VBA32 3.11.1 10.19.2006 no virus found

VirusBuster 4.3.7:9 10.20.2006 no virus found

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Softwin (BitDefender), Dr.Web и KAV если не ошибаюсь в свое время выпустили generic (based) сигнатуры этого червя. Последнии сэмплы, распространяемые через электронную почту не детектируются указанными сигнатурами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Мда медленно распространяется детект..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Softwin (BitDefender), Dr.Web и KAV если не ошибаюсь в свое время выпустили generic (based) сигнатуры этого червя. Последнии сэмплы, распространяемые через электронную почту не детектируются указанными сигнатурами.

Дженерик детекторы специально обходятся автором червя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Softwin (BitDefender), Dr.Web и KAV если не ошибаюсь в свое время выпустили generic (based) сигнатуры этого червя. Последнии сэмплы, распространяемые через электронную почту не детектируются указанными сигнатурами.

Дженерик детекторы специально обходятся автором червя.

Ясно. Спасибо за пояснение. Планирует ли ЛК в дальнейшем действовать подобными методами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Softwin (BitDefender), Dr.Web и KAV если не ошибаюсь в свое время выпустили generic (based) сигнатуры этого червя. Последнии сэмплы, распространяемые через электронную почту не детектируются указанными сигнатурами.

Дженерик детекторы специально обходятся автором червя.

Ясно. Спасибо за пояснение. Планирует ли ЛК в дальнейшем действовать подобными методами?

Generic детектирование пишется постоянно. Но вирусописатели также постоянно прилагают усилия к обходу. И чем популярнее АВ, тем чаще на нем проверяют новые экземпляры. Вот и причина того, что некоторые АВ даже не второго, а третьего эшелона некоторые версии берут лучше лидеров (тут вспоминается анекдот про неуловимого Джо).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

(В восхищении)

Какая красивая цепочка фраз...

"Дженерик детекторы специально обходятся автором червя."

"Ясно. Спасибо за пояснение. Планирует ли ЛК в дальнейшем действовать подобными методами?"

Так и рождаются легенды... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Просто малварщики тоже перекрасно знают, что такое virustotal и умеют им пользоваться. Понятно, что при тестировании новой версии малвары, они в первую очередь смотрят на сбивание детекшена у десятки лидеров, а на всякие икарусы кладут балду.

А как эмуляторы они сбивают это надо видеть - сосут все :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Там же вроде только Нормановская песочница из эмуляторов, или я ошибаюсь? :)

У нас на форуме ЛК запросов пять по поводу Warezov. Эпидемия, однако :D Столько эмоций вызывают только пинч, Brontok да сентябрьская рассылка Delf и Scano :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Там же вроде только Нормановская песочница из эмуляторов, или я ошибаюсь? :)

На virustotal? Ошибаетесь эмуляторы имеют также Bitdefender, NOD32, VBA32... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

И у NOD эмулятор? :shock: Мда. Спасибо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
И у NOD эмулятор? :shock: Мда. Спасибо :)

А как же :) :

The solution of ESET is based upon the unique ThreatSense® technology utilizing a new generation of advanced heuristics.
he ThreatSense® technology combines various techniques of testing based upon heuristic analysis including emulation of a full 32-bit code and exact and generic signatures

http://www.eset.eu/threat-center/threat-sense

Вчера, в связи с эпидемией Warezov NOD32 обновился 6 раз (!), при этом как пишут пользователи этого продукта почти побил свой рекорд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Залейте куда-нить копию этого виря, я проверю как TrendMicro его детектит. А то почему-то на virustotal Тренд не принимает участие.

Мне тут скинули парочку модификаций, но он их свободно обнаружил. А чо нить новенькое имеется? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Денис Лебедев, они все лежат в закрытом форуме здесь.

Могу открыть доступ, напишите мне в личку, если это нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Сергей Ильин, я вам уже скидывал сообщение. Но может и не дошло, хотя странно :?

Ладно, перешлю ещё разок, оно там сохранилось в исходящих...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout

Email-Worm.Win32.Warezov.dn 45.8%

Email-Worm.Win32.Warezov.do 23.5%

Email-Worm.Win32.NetSky.b 1.65%

Email-Worm.Win32.Warezov.dq 1.65%

Email-Worm.Win32.NetSky.aa 1.65%

Email-Worm.Win32.NetSky.q 1.23%

Email-Worm.Win32.Warezov.dc 0.82%

Email-Worm.Win32.Warezov.df 0.82%

Email-Worm.Win32.Warezov.dh 0.82%

А это уже данные на 13:00 воскресенья. Warezov прет ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

вот интересно NetSky тоже немало, но о нём неслышно и невидно, а варезов на кажом форуме обсуждается..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
вот интересно NetSky тоже немало, но о нём неслышно и невидно, а варезов на кажом форуме обсуждается..

Netsky очень старый и всеми детектится, кроме этого по нашей статистике он идет с одних и тех же адресов (в будни его больше). Похоже, что это несколько компаний, которые до сих пор заражены. Поэтому этот червячок никому не интересен.

А Варезов новый червь, причем за месяц появилось больше сотни (а то и двух сотен) вариантов. Довольно сложный. Рассылается массово, постоянно меняется с тем, чтобы не брался АВ. Одним словом, сегодня это горячаа тема. Один всплеск в среду (см. первое сообщение) чего стоит. Такого не было уже очень давно.

PS У MessageLabs немного по-другому -- вирусов меньше, но Варезов там тоже рулит. Похоже, что атака в большей степени была направлена на Россию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

А создатель из России? или это неизвестно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
А создатель из России? или это неизвестно?

Можно только предполагать. Похоже, что из России.

Если посмотреть на недельный Top, то Warezov.dc занимает первое место с большим отрывом. И это с учетом того, что dc шел два дня (и это без учета того, что последние версии Warezov рассылаются и через ICQ тоже).

Email-Worm.Win32.Warezov.dc 23.2%

Email-Worm.Win32.Warezov.dn 9.93%

Email-Worm.Win32.NetSky.q 9.56%

Email-Worm.Win32.NetSky.b 9.26%

Email-Worm.Win32.Warezov.do 6.45%

Email-Worm.Win32.Warezov.dh 6.14%

Email-Worm.Win32.Scano.gen 2.63%

Email-Worm.Win32.Warezov.dl 2.51%

Email-Worm.Win32.NetSky.aa 2.48%

Other 27.7%

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А кто-нибудь из вирлабов разобрал этих червей, что вредоносного они делают?

В чем коммерческая составляющая их написания и распространения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Скрывает свои процессы и препятствует работе некоторых антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Скрывает свои процессы и препятствует работе некоторых антивирусов.

т.е коммерческой выгоды нет, я правильно понял...

тогда непонятна цель автора, просто баловство

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Потому, собственно, и статус эпидемии информационный. Бывают такие червячки, с которыми приятно работать. Они ничего не портят и не уничтожают, но выковыривать их из системы - целая эпопея. :maniac:

Именно за это я уважаю автора Brontok. :) У него получился замечательный червяк, который, по-моему, первый из червей размножается через флэшки. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

о как раз для проверки как быстро в eset добавят сигнатуру:

Complete scanning result of "decconf.exe", received in VirusTotal at 10.25.2006, 11:05:39 (CET).

Antivirus Version Update Result AntiVir 7.2.0.32 10.25.2006 Worm/Warezov.DO.1 Authentium 4.93.8 10.25.2006 no virus found Avast 4.7.892.0 10.24.2006 no virus found AVG 386 10.25.2006 I-Worm/Stration.WQ BitDefender 7.2 10.25.2006 Win32.Worm.Stration.AQ CAT-QuickHeal 8.00 10.23.2006 no virus found ClamAV devel-20060426 10.25.2006 no virus found DrWeb 4.33 10.25.2006 Win32.HLLM.Limar eTrust-InoculateIT 23.73.36 10.25.2006 no virus found eTrust-Vet 30.3.3156 10.25.2006 no virus found Ewido 4.0 10.24.2006 no virus found Fortinet 2.82.0.0 10.25.2006 W32/Stration.DO@mm F-Prot 3.16f 10.25.2006 no virus found F-Prot4 4.2.1.29 10.25.2006 no virus found Ikarus 0.2.65.0 10.24.2006 no virus found Kaspersky 4.0.2.24 10.25.2006 Email-Worm.Win32.Warezov.do McAfee 4880 10.24.2006 no virus found Microsoft 1.1609 10.25.2006 no virus found NOD32v2 1.1832 10.25.2006 no virus found Norman 5.80.02 10.24.2006 no virus found Panda 9.0.0.4 10.24.2006 Suspicious file Sophos 4.10.0 10.24.2006 no virus found TheHacker 6.0.1.105 10.25.2006 no virus found UNA 1.83 10.25.2006 no virus found VBA32 3.11.1 10.24.2006 suspected of Worm.Warezov.1 (paranoid heuristics) VirusBuster 4.3.7:9 10.24.2006 no virus found

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×