Перейти к содержанию
Пит

Касперский последнее время подводит …

Recommended Posts

Николай Головко

Похоже на то. Мне сегодня вообще мгновенно ответили. ;) Минут пять прошло. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Народ! Это вирусописатели сидят на линии и перехватывают посланных аналитикам зловредов! Men-In-The-Middle! =D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Народ! Это вирусописатели сидят на линии и перехватывают посланных аналитикам зловредов! Men-In-The-Middle! =D

=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Пит, я вчера дважды пользовался сервисом vendors[dog]spywarefix.org. В первый раз отправил твоего зловреда (уж не знаю куда ты его отправлял, но мало кто из вендоров его получил), все вендоры его теперь добавят. Касперский ответил сразу! (Мы его уже добавили). Второй раз отправил зловреда (загрузчик трояна на Яве), который попытался прошмыгнуть мимо SAV (вот наивный!) со страницы обучения VirtualDub. Как оказалось российские антивирусы его не знали, если верить VirusTotal. Результат: Каспер его добавил как и многие другие, а DrWeb отказался.

P.S. Наезды на Касперского (я не его фанат) не выдерживают критики. Надо вовремя их информировать, это не сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
а DrWeb отказался

Что значит отказался? В письменной форме? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Что значит отказался? В письменной форме?

Да, письмом (закрытие задания). Формулировка: не содержит вируса или трояна. Когда я тут же открывал письма от других вендоров, которые его добавили и thanks прислали, меня это удивило. Мягко говоря. :(

P.S. Я успокаиваю себя тем, что это только загрузчик трояна. И если у кого-то из пользователей cureit.exe его не увидит, то всегда можно следом проверить AVZ или др. антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir

Недавно попался архивчик причем не очень свежий...

Complete scanning result of "ldk.rar", received in VirusTotal at 11.15.2006, 08:43:40 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.15.2006 PHISH/Bankfraud.BP

Authentium 4.93.8 11.14.2006 no virus found

Avast 4.7.892.0 11.14.2006 VBS:Malware

AVG 386 11.14.2006 no virus found

BitDefender 7.2 11.15.2006 Trojan.Spy.HTML.Bankfraud.DQ

CAT-QuickHeal 8.00 11.14.2006 no virus found

ClamAV devel-20060426 11.14.2006 HTML.Phishing.Bank-1

DrWeb 4.33 11.15.2006 Trojan.Bankfraud

eTrust-InoculateIT 23.73.56 11.15.2006 no virus found

eTrust-Vet 30.3.3194 11.15.2006 no virus found

Ewido 4.0 11.14.2006 Logger.Bankfraud.dq

Fortinet 2.82.0.0 11.15.2006 JAV/BYTVerify.A!tr

F-Prot 3.16f 11.14.2006 no virus found

F-Prot4 4.2.1.29 11.14.2006 no virus found

Ikarus 0.2.65.0 11.14.2006 no virus found

Kaspersky 4.0.2.24 11.15.2006 no virus found

McAfee 4895 11.14.2006 Phish-BankFraud.eml.a

Microsoft 1.1609 11.15.2006 HTML/Bankfraud

NOD32v2 1866 11.14.2006 HTML/Phishing.gen

Norman 5.80.02 11.14.2006 no virus found

Panda 9.0.0.4 11.14.2006 Trj/Banker.JC

Sophos 4.11.0 11.13.2006 no virus found

TheHacker 6.0.1.119 11.15.2006 Exploit/ByteVerify

UNA 1.83 11.14.2006 Trojan.Spy.HTML.Bankfraud

VBA32 3.11.1 11.14.2006 Trojan-Spy.HTML.Bankfraud.dq#6

VirusBuster 4.3.15:9 11.14.2006 no virus found

Aditional Information

File size: 677 bytes

MD5: 6710734e312b1eed4453357c83bf09bd

SHA1: 0a62ba22315a7ee940a7b3e2c90b00788a93efa5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Недавно попался архивчик причем не очень свежий...

Технические детали

Поддельное письмо (фишинг-письмо). Предназначено для кражи конфиденциальной информации клиентов Regions Bank.

Содержит картинку с полным текстом письма (пользователь об этом, как правило, не догадывается) и имитацией контекстной ссылки.

Рассылается по электронной почте под видом важного сообщения от Regions Bank.

При переходе по поддельной ссылке загружается страничка http://userconfdll.com:880, имитирующая аналогичную страницу на сайте банка.

P.S. Цена этому зловреду "пятак в базарный день". Без userconfdll.com он ничего не стоит (закрыт). Поэтому многие антивирусы его не добавляли.

Я уже отправлял его на vendors[dog]spywarefix.org. Кто хотел его добавить - добавили. Это видно из текста тестирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Пит, я вчера дважды пользовался сервисом vendors[dog]spywarefix.org. В первый раз отправил твоего зловреда (уж не знаю куда ты его отправлял, но мало кто из вендоров его получил), все вендоры его теперь добавят.

Вы мне не верите? Не ожидал. :(

Послал я, правда, один раз. Кто не получил я не виноват.

Сразу пришли письма подтверждения от Symantec, McAfee, CA, Sophos.

CA прислал подтверждение, что да это вирус.

Всё вроде больше не кто мне не присылал.

P.S. Наезды на Касперского (я не его фанат) не выдерживают критики. Надо вовремя их информировать, это не сложно.

:D:D:D

Что тут ответишь. Без комментариев.

Но, с этим то у меня и возникли проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
Что значит отказался? В письменной форме?

Да, письмом (закрытие задания). Формулировка: не содержит вируса или трояна. Когда я тут же открывал письма от других вендоров, которые его добавили и thanks прислали, меня это удивило. Мягко говоря. :(

P.S. Я успокаиваю себя тем, что это только загрузчик трояна. И если у кого-то из пользователей cureit.exe его не увидит, то всегда можно следом проверить AVZ или др. антивирусом.

Ну как дела? Исправились вэбовцы или по-прежнему отнекиваются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Ну как дела? Исправились вэбовцы или по-прежнему отнекиваются?

Мне важнее, что Олег Зайцев добавил его сегодня в базу. Уведомил, что зловред был интересным с оригинальным алгоритмом. Exploit.HTML.Mht.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

По мотивам песни о Панде и теории Дарвина :)

Точно подводит, гад.:) (файлам 12-13 дней)

2006_11_16_195225.png

2006_11_16_222350.png

post-11-1163695834.png

post-1-1163695834.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
По мотивам песни о Панде и теории Дарвина :)

Точно подводит, гад.:) (файлу 13 дней)

Не дошел до вирлаба. У меня подобных примеров (про тормоза различных вирлабов) довольно много. Коллеги, ни один АВ не может гарантировать 100% детект по классическим эвристикам и сигнатурам (даже 90% не могут) для нового malware. Выход -- поведенческие блокираторы, которые могут детектить до 98%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Пит, а мне плиз тоже мона его скинуть в почту? :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
По мотивам песни о Панде и теории Дарвина

Точно подводит, гад. (файлам 12-13 дней)

Вы их посылали на проверку в антивирусные лаборатории?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Многоуважаемый Dexter а можно у Вас узнать, каким антивирусом Вы пользуетесь?

Или какому вендору, отдаёте предпочтения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Что бы простые пользователи не страдали. Шлите всем сразу: vendors@spywarefix.org

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Многоуважаемый Dexter а можно у Вас узнать, каким антивирусом Вы пользуетесь?

Или какому вендору, отдаёте предпочтения?

1. На основном компе не установлен.

2. Стандартный российский набор :) : Dr.Web, Eset, Каспер, Symantec.

Что бы простые пользователи не страдали. Шлите всем сразу: vendors@spywarefix.org

Это для меня написано?

Если для меня, то отвечаю.

Во-первых, если файлу 12-13 дней, то это не значит, что он лично ко мне тогда и попал. ;)

Во-вторых, обратите внимание на второй рисунок, особенно на кнопку Distribute.

В-третьих, этот адрес я знаю и часто им пользуюсь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Да. Вам. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Многоуважаемый Dexter а можно у Вас узнать, каким антивирусом Вы пользуетесь?

Или какому вендору, отдаёте предпочтения?

1. На основном компе не установлен.

2. Стандартный российский набор :) : Dr.Web, Eset, Каспер, Symantec.

Предпочтения у нас совпадают. :)

Во-первых, если файлу 12-13 дней, то это не значит, что он лично ко мне тогда и попал. ;)

Да мы как-то это из виду упустили. :)

STATUS: FINISHEDComplete scanning result of "start.exe", received in VirusTotal at 11.17.2006, 07:29:52 (CET).

AntiVir 7.2.0.39 11.16.2006 no virus found

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.15.2006 no virus found

AVG 386 11.16.2006 no virus found

BitDefender 7.2 11.17.2006 no virus found

CAT-QuickHeal 8.00 11.16.2006 no virus found

ClamAV devel-20060426 11.16.2006 no virus found

DrWeb 4.33 11.16.2006 no virus found

eTrust-InoculateIT 23.73.58 11.17.2006 no virus found

eTrust-Vet 30.3.3196 11.17.2006 no virus found

Ewido 4.0 11.16.2006 no virus found

Fortinet 2.82.0.0 11.17.2006 suspicious

F-Prot 3.16f 11.16.2006 no virus found

F-Prot4 4.2.1.29 11.17.2006 no virus found

Ikarus 0.2.65.0 11.16.2006 no virus found

Kaspersky 4.0.2.24 11.17.2006 no virus found

McAfee 4897 11.16.2006 no virus found

Microsoft 1.1609 11.17.2006 no virus found

NOD32v2 1869 11.16.2006 no virus found

Norman 5.80.02 11.16.2006 no virus found

Panda 9.0.0.4 11.16.2006 no virus found

Prevx1 V2 11.17.2006 Trojan.PerfectCodec

Sophos 4.11.0 11.16.2006 no virus found

TheHacker 6.0.3.120 11.17.2006 no virus found

UNA 1.83 11.16.2006 no virus found

VBA32 3.11.1 11.16.2006 no virus found

VirusBuster 4.3.15:9 11.16.2006 no virus found

Aditional Information

File size: 55171 bytes

MD5: 3f3abc5156c4bda6f47b74fb6de0b20f

SHA1: a8e790a564b2d32e8997218be13637ebcce7e93f

packers: UPX

packers: UPX, BINARYRES, BINARYRES

packers: UPX

А я вот во всех разочаровался. Буду дружить с Prevx1. Только узнать бы, что это за фигля такая. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Нод и Панда не знают 7Zip? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
STATUS: FINISHEDComplete scanning result of "start.exe", received in VirusTotal at 11.17.2006, 07:29:52 (CET).

Здравствуйте,

start.ex - Trojan-Downloader.Win32.Zlob.axk

Детектирование файла будет добавлено в следующее обновление.

--

С уважением, Дмитрий Швецов

Вирусный аналитик Лаборатории Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Отослал на vendors@..... в пятницу. Отписались только Вэбовцы. ЛК что-то подводит.

STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 11.20.2006, 07:28:48 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.20.2006 HEUR/Crypted

Authentium 4.93.8 11.17.2006 could be a corrupted executable file

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.20.2006 no virus found

BitDefender 7.2 11.20.2006 no virus found

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.19.2006 no virus found

DrWeb 4.33 11.20.2006 Trojan.PWS.Wmsender

eSafe 7.0.14.0 11.19.2006 no virus found

eTrust-InoculateIT 23.73.59 11.18.2006 no virus found

eTrust-Vet 30.3.3203 11.20.2006 no virus found

Ewido 4.0 11.19.2006 no virus found

Fortinet 2.82.0.0 11.20.2006 suspicious

F-Prot 3.16f 11.17.2006 no virus found

F-Prot4 4.2.1.29 11.17.2006 no virus found

Ikarus 0.2.65.0 11.20.2006 no virus found

Kaspersky 4.0.2.24 11.20.2006 no virus found

McAfee 4899 11.18.2006 no virus found

Microsoft 1.1609 11.20.2006 no virus found

NOD32v2 1871 11.19.2006 no virus found

Norman 5.80.02 11.17.2006 no virus found

Panda 9.0.0.4 11.19.2006 no virus found

Prevx1 V2 11.20.2006 no virus found

Sophos 4.11.0 11.16.2006 no virus found

TheHacker 6.0.3.122 11.18.2006 no virus found

UNA 1.83 11.17.2006 no virus found

VBA32 3.11.1 11.19.2006 Trojan.PWS.Wmsender

VirusBuster 4.3.15:9 11.20.2006 no virus found

Aditional Information

File size: 52326 bytes

MD5: a1c101b839a837a310dc2d3720a0e9b7

SHA1: f896f4bc24595442b960eef91ec86bedfd97636d

20 ноября 2006 г., 16:21:02 (20 Nov 2006 16:21:02 +0300)

Hello.

Trojan-Downloader.Win32.Delf.bci

Detection for this malware has been added to the next antiviral bases update.

--

Regards, Alexey Malyshev

Virus analyst, Kaspersky Lab.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×