Warezof.ff подарок к празднику

[_Stout 131]

По данным мониторинга Kaspersky Hosted Security за ночь с 6 на 7 ноября было разослано более 20 различных вариантов червя Warezov. Все они детектятся Антивирусом Касперского как Warezov.ff.

Вирусный трафик около 4-5%.

[Сергей Ильин 1538]

20 различных вариантов - это мощно, фактически мы наблюдаем сейчас атаки нового, выпуск большего количества вариантов вируса в очень короткий срок. По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

[_Stout 131]

По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? :-)

А сейчас увеличивается поток инфицированных писем от заразившихся пользователей. Очень много из Питера и Москвы

[A. 876]

Скажем честно - новые самплы палятся только нодом

точка

[Николай Головко 70]

Позвольте, я усомнюсь Несмотря на то, что адептом NOD не являюсь.

[Dexter 20]

Скажем честно - новые самплы палятся только нодом

точка

Афигеть. :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock:

[EYE 59]

Скажем честно - новые самплы палятся только нодом

точка

Скажем честно - новые самплы палятся только нодом

точка

Афигеть. :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock:

И в впрямь, удивительная откровенность

А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

[_Stout 131]

А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

Само собой ловил. А есть сомнения?

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка. Кстати, последние версии несколько изменили текст писем. Да и в поле дата ошибки ;-)

[EYE 59]

Само собой ловил. А есть сомнения?

Если бы у меня были сомнения, я бы не задавал этот вопрос

Просто интересны комментарии очевидцев...

[Николай Головко 70]

Очевидцем быть не обязательно. Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы

[Dexter 20]

Сергей Ильин писал(а):

По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? Smile

и далее

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка.

Определённо был тяжёлый день.

Или может пинч завёлся и угнали пароли от форума? Ж)

Извините.

[EYE 59]

Или может пинч завёлся и угнали пароли от форума? Ж)

[EYE 59]

Очевидцем быть не обязательно. Smile Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы

Nick, Вы констатируете то, что и так очевидно.

Я же, хотел узнать, не претерпел ли Warezov "полезных" модификаций,

позволяющих ему помочь PDM Каспера, сохранить "гробовое молчание".

[Николай Головко 70]

Это и был ответ на ваш вопрос. В основе проактивки Каспера, как вы помните, лежит поведенческий анализатор. Я пока что не осведомлен о том, как в процессе инсталляции скрыть от защиты реестра факт создания ключа. Подозреваю, что такой способ практически не реализуем.

[Alex_Goodwin 81]

Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

[_Stout 131]

Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

Задача KHS не допустить вредоносный код до клиентов. Имена мы не даем. К тому моменту, как я написал пост, KAV уже детектил первые экземпляры. В течение дня также было несколько (десятков) новых вариантов, которые в последствии назвали Warezov.ff. Т.е. имена даются постфактум, когда файл детектируется антивирусом, до тех пор это просто NewVirus.XXX.