Перейти к содержанию
_Stout

Warezov.dc эпидения как во времена Bagle

Recommended Posts

_Stout

Есть такая компания как Commtouch, занимается почтовой безопасность. Для "своих" они рассылают отчеты о времени задежки детектирования по сравнению с ними. Вот данные по Warezov.DC

Malware Characteristics

MD5 checksum: d2024ac1ad8472931cd1b217e479b6be

Commtouch detect time [GMT] 2006-10-19 03:12:00

AV Имя время отстования от Commtouch

@Proventia-VPS Malicious (Cancelled) Zero-hour

AntiVir HEUR/Crypted Zero-hour

Avast! Win32:Warezov-ME [Wrm] 7:19 hrs.

AVG I-Worm/Stration.SC 5:33 hrs.

BitDefender Win32.Worm.Stration.QQA@mm 26:36 hrs.

ClamAV Worm.Stration.IY 1:55 hrs.

Command W32/Downloader.AHQM Zero-hour

Dr Web Win32.HLLM.Limar.based 4:51 hrs.

eSafe Trojan/Worm [101] (suspicious) Zero-hour

eTrust-INO Win32/Stration.GE!Worm 16:16 hrs.

eTrust-VET Win32/Stration!generic 3:28 hrs.

Ewido Worm.Warezov.dc 38:43 hrs.

F-Prot W32/Downloader.AHQM Zero-hour

F-Secure Email-Worm.Win32.Warezov.dc Zero-hour

Fortinet W32/Warezov.DC@mm 4:13 hrs.

Ikarus Email-Worm.Win32.Warezov.re 2:51 hrs.

Kaspersky Email-Worm.Win32.Warezov.dc Zero-hour

McAfee W32/Stration.dr 12:36 hrs.

Microsoft Win32/Stration.DE@mm 31:10 hrs.

Nod32 Win32/Stration.IH worm 3:38 hrs.

Norman W32/Stration.XN 31:16 hrs.

Panda - Not detected at time of report

QuickHeal I-Worm.Warezov.dc 32:45 hrs.

Rising Worm.Mail.Warezov.cb 28:37 hrs.

Sophos W32/Stratio-AW 0:52 hrs.

Symantec W32.Stration.CX@mm 4:51 hrs.

Trend Micro TROJ_STRAT.DR 5:21 hrs.

UNA - Not detected at time of report

VBA32 Email-Worm.Win32.Warezov.dc 35:45 hrs.

VirusBuster Trojan.DL.Agent.QLU 0:10 hrs.

Выводы делайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот тут сразу видно, как глюканул virustital на Sophos.

Они его через 52 минуты задетектили получается на самом деле.

А вот BitDefender реально лажанулся ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Если у f-secure zero-hour, то сам commtouch сильно протормозил с детектом этого Варезова.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Если у f-secure zero-hour, то сам commtouch сильно протормозил с детектом этого Варезова.

Мы поймали этот вариант почти на 3 часа раньше Commtouch.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Да, лукавость тут есть... Ни одного минуса. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Выборка из 15 Stration и 3-х случайных антивирусов. :)

Детект:

Dr.Web - 10

Касперский - 8

NOD - 12 (из них 5-эвристик)

Источник - http://virusinfo.info/showthread.php?t=5802&page=10

Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

Про детект Pinch идет дискуссия в соседней ветке, здесь плиз не нужно об этом.

ыборка из 15 Stration и 3-х случайных антивирусов. Smile

15 случайных ... зависит от того, кем их взяли первоначально, у того и будет хороший результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
Есть такая компания как Commtouch, занимается почтовой безопасность. Для "своих" они рассылают отчеты о времени задежки детектирования по сравнению с ними. Вот данные по Warezov.DC

Commtouch detect time [GMT] 2006-10-19 03:12:00

AV Имя время отстования от Commtouch

McAfee W32/Stration.dr 12:36 hrs.

Symantec W32.Stration.CX@mm 4:51 hrs.

Выводы делайте.

За всех не скажу, а эти два у меня есть. Так вот в 10:00 по Москве оба (и Symantec и McAfee) на посланный экземпляр тут-же выдали и детект и экстренные обноления.

Это сколько по GMT?

Как писал "_Stout" - "Выводы делайте."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Сергей Ильин

зависит от того, кем их взяли первоначально, у того и будет хороший результат.

Можно, наверно, и так подойти к вопросу.

Но не в данном случае.

1.На virusinfo, я честно говоря, больших поклонников Нода не видел в большом количестве.

2.Кем он не был первым взят, это говорит только в пользу взявшего, свидетельствуя о скорости реакции на данный конкретный вирус.

В этом легко убедится, посмотрев присутствующие в той же ветке диаграммы.

Про детект Pinch идет дискуссия в соседней ветке, здесь плиз не нужно об этом.

Разумеется, пригласив EYE поучаствовать, я именно это и имел ввиду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Интересно было бы на Pinch посмотреть. Но лень. Намного больше и раньше.

Может EYE не против помочь?

Естественно не против Ж)

Займусь этим...( в соответствующей ветке, of course)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE

"Трудовые будни" :)

Stration.jpg

post-1073-1162038816.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
"Трудовые будни" :)

В проверяемом архиве находилось 4 dll'ки двух разных версий червя. Так получилось и об этом стало известно уже позже...

Но суть от этого не меняется. Вирус одинаково не распознался на машине оснащенной NOD32, так и на машине оснащенной бы КАВ 6.0. Вся разница в том, что на машине с NOD32 варезов преспокойно задушил антивирус, а вот на машине с шестеркой вирю бы пришлось бодаться с проактивкой и неизвестно еще кто бы вышел победителем из этой борьбы. По крайней мере шуму бы было точно много.

Забавен полет мысли зараженного пользователя - он тоже является ярым сторонником нода, но как только попал в нехорошую ситуацию, то сразу изменил ноду с кавом 6.0 :wink:

Добавлено спустя 6 минут 26 секунд:

Вот не знаю - что это, но очень похоже на новую версию нашего друга. Пришло в асю.

хттп://2491.tuihudenfhungdansein.com/chr/IM/ICQCrypt.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Вот не знаю - что это, но очень похоже на новую версию нашего друга. Пришло в асю.

Угу.

LSW.png

post-11-1162061947.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Одна мысль не дает покоя... В принципе догадки о возможном ответе есть, но все же хочу глупый вопрос задать )

Как варезов использует UIN для рассылки - он сканирует жесткий диск в поисках номера аси и пароля, а затем запускает собственный клиент и через него рассылает ссылки или же он внедряет библиотеку в стандартные ICQ пейджеры и таким образом себя рассылает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пресс-релиз Eset по поводу первенства в защите от Win32/Stration был выделен в отдельную ветку:

NOD32 первым защитил от Win32/Stration/E-mail.Worm.Warezov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Комментарии Доктора Веба по поводу данного червя:

Главным событием месяца стала, вне всякого сомнения, серьезная эпидемия, вызванная распространением десятков модификаций почтового червя Win32.HLLM.Limar (известного также как Email-Worm.Win32.Warezov, Win32/Stration.6wm!Worm), бушевавшая до последнего дня месяца.

С подобного рода эпидемией антивирусные компании в последний сталкивались в конце июня 2006 года, когда начала своё активное распространение модификация почтового червя Win32.HLLM.Beagle, содержавшая rootkit-компоненту. Однако по своим масштабам эпидемия Win32.HLLM.Limar превзошла все ожидания.

В отдельные дни месяца присутствие червя в почтовом трафике составляло около 70% почтового трафика русскоязычного сектора сети Интернет. Массовое распространение Win32.HLLM.Limar началось ещё в сентябре и носило достаточно вялотекущий характер.

Ситуация резко изменилась в середине октября, когда в течение нескольких дней отмечалось появление новых модификаций Win32.HLLM.Limar, распространяющихся не только по электронной почте, но и по сети мгновенных сообщений ICQ в виде ссылок на закачку файлов.

Кроме того, создатели этого червя постоянно модифицировали код своего «детища», тем самым заставляя антивирусные компании решать непростую задачу их детектирования. Специалистами лаборатории вирусного анализа компании «Доктор Веб» были внесены специальные записи в вирусные базы Dr.Web для детектирования многочисленных модификаций представителей этого семейства – Win32.HLLM.Limar.based.

*****************************************

Вот не понятно, ведь эпидемия реально была, мы ее все видели, только вот почему то не все вендоры это признали :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

ЛК все таки тоже повесила алерт об эпидемии (от 27-го октября).

Лучше поздно, чем никогда :wink:

http://www.viruslist.com/ru/alerts?alertid=203698705

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Я немного поздновато наверно, но все же тоже отмечусь новеньким 8)

Кстати, не ожидал что каспер его не возьмет! И нод кстати тоже облажал((

ЗЫ TrendMicro к сожалению тож не в силах, а жаль :(

ЗЫЫ экзеплярчик выложу в соответствующей теме в разделе "Анализ Вредоностных Программ", можете отправить вендорам, а я отправил тока вэбу и trendmicro.

Capture.jpg

post-127-1164057188.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Q

К слову об эвристике НОДа. Особенно на новые варезовы ;)

am.png

post-1811-1164611806.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
К слову об эвристике НОДа. Особенно на новые варезовы ;)

Каждое пятое письмо с новым Варезов! (.ha, .hb)!!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В этот раз Nod32 не взял проактивно, а до этого много раз выручал один из первых. Есть некая группа вендоров, которая в течении очень большего промежутка времени обеспечивает защиту: Доктор Веб, Лаборатория Касперского (F-Secure само собой тоже), BitDefender и Eset, может быть еще AntiVir.

Но если идти от обратного, то на примере этих эпидемий можно сказать одно, есть такие интивирусы, которым НЕЛЬЗЯ доверять защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
К слову об эвристике НОДа. Особенно на новые варезовы

А кто говорил, что NOD32 может обеспечить 100% уровень детектирования неизвестных угроз ?

К тому же, вот и очередной пример с того же ресурса, не заставил себя ждать:

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 11.27.2006, 11:45:20 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.46 11.27.2006 Worm/Stration.H

Authentium 4.93.8 11.24.2006 W32/Warezov.gen4

Avast 4.7.892.0 11.27.2006 no virus found

AVG 386 11.27.2006 no virus found

BitDefender 7.2 11.27.2006 DeepScan:Generic.Stration.25B4D41B

CAT-QuickHeal 8.00 11.25.2006 no virus found

ClamAV devel-20060426 11.27.2006 no virus found

DrWeb 4.33 11.27.2006 Win32.HLLM.Limar

eSafe 7.0.14.0 11.26.2006 suspicious Trojan/Worm

eTrust-InoculateIT 23.73.68 11.27.2006 Win32/Stration.Variant!Worm

eTrust-Vet 30.3.3217 11.27.2006 no virus found

Ewido 4.0 11.26.2006 no virus found

Fortinet 2.82.0.0 11.27.2006 suspicious

F-Prot 3.16f 11.24.2006 W32/Warezov.gen4

F-Prot4 4.2.1.29 11.24.2006 W32/Warezov.gen4

Ikarus 0.2.65.0 11.27.2006 no virus found

Kaspersky 4.0.2.24 11.27.2006 no virus found

McAfee 4904 11.24.2006 no virus found

Microsoft 1.1804 11.27.2006 no virus found

NOD32v2 1884 11.27.2006 probably unknown NewHeur_PE virus

Norman 5.80.02 11.27.2006 W32/Malware

Panda 9.0.0.4 11.26.2006 no virus found

Prevx1 V2 11.27.2006 Worm.Warezov.Gen

Sophos 4.11.0 11.16.2006 W32/Strati-Gen

TheHacker 6.0.3.124 11.27.2006 no virus found

UNA 1.83 11.24.2006 no virus found

VBA32 3.11.1 11.26.2006 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.15:9 11.27.2006 Trojan.Opnis.Gen.29

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Империя наносит ответный удар своей эвристикой :)

Update: EYE меня опередил

war.JPG

post-88-1164634754.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Империя наносит ответный удар своей эвристикой

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
А кто говорил, что NOD32 может обеспечить 100% уровень детектирования неизвестных угроз ?

Никто не говорил... Ещё бы, как же такое скажешь, если элементарную блокировку записи в автозапуск они почему-то не реализовали... А она между тем блокирует 100% новых Варезов и ещё 80% гуляющих по инету троянцев, червей и адварей. Просто и эффективно. Лично я это делал клиентам вручную, и мы вместе очень радовались результату...

Империя наносит ответный удар своей эвристикой

Империя почему-то упрямо забывает про поведенческую блокировку. Это очень печально, особенно на фоне недавних заявлений одного из членов империи ("империалистов"? =))) о его непоколебимой объективности...

P.S. Мой пост никоим образом не принижает достоинств эвристического анализатора Eset, который я считаю лучшим в своём классе решением на рынке!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×