_Stout

Warezof.ff подарок к празднику

В этой теме 16 сообщений

По данным мониторинга Kaspersky Hosted Security за ночь с 6 на 7 ноября было разослано более 20 различных вариантов червя Warezov. Все они детектятся Антивирусом Касперского как Warezov.ff.

Вирусный трафик около 4-5%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

20 различных вариантов - это мощно, фактически мы наблюдаем сейчас атаки нового, выпуск большего количества вариантов вируса в очень короткий срок. По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? :-)

А сейчас увеличивается поток инфицированных писем от заразившихся пользователей. Очень много из Питера и Москвы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скажем честно - новые самплы палятся только нодом

точка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Позвольте, я усомнюсь :) Несмотря на то, что адептом NOD не являюсь. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скажем честно - новые самплы палятся только нодом

точка

Афигеть.:) :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock: :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скажем честно - новые самплы палятся только нодом

точка

Скажем честно - новые самплы палятся только нодом

точка

Афигеть.:) :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock: :)

И в впрямь, удивительная откровенность :)

А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

Само собой ловил. А есть сомнения?

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка. Кстати, последние версии несколько изменили текст писем. Да и в поле дата ошибки ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Само собой ловил. А есть сомнения?

Если бы у меня были сомнения, я бы не задавал этот вопрос :)

Просто интересны комментарии очевидцев...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очевидцем быть не обязательно. :) Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин писал(а):

По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? Smile

и далее

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка.

Определённо был тяжёлый день.:(

Или может пинч завёлся и угнали пароли от форума? Ж) :(

Извините.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Или может пинч завёлся и угнали пароли от форума? Ж)

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очевидцем быть не обязательно. Smile Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы

Nick, Вы констатируете то, что и так очевидно.

Я же, хотел узнать, не претерпел ли Warezov "полезных" модификаций,

позволяющих ему помочь PDM Каспера, сохранить "гробовое молчание".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это и был ответ на ваш вопрос. ;) В основе проактивки Каспера, как вы помните, лежит поведенческий анализатор. Я пока что не осведомлен о том, как в процессе инсталляции скрыть от защиты реестра факт создания ключа. ;) Подозреваю, что такой способ практически не реализуем. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

Задача KHS не допустить вредоносный код до клиентов. Имена мы не даем. К тому моменту, как я написал пост, KAV уже детектил первые экземпляры. В течение дня также было несколько (десятков) новых вариантов, которые в последствии назвали Warezov.ff. Т.е. имена даются постфактум, когда файл детектируется антивирусом, до тех пор это просто NewVirus.XXX.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS