Перейти к содержанию
Cooller

Worm.Autorun типа ложное срабатывание у Dr. Web

Recommended Posts

Cooller

Сегодня нашел вирус на флешке и решил отправить на анализ в Dr. Web, потому что он не определяет, так как другие антивирусы этот вирус определяют.

Вирус тотал

Но потом мне приходит письмо, что присланный файл не предоставляет угрозы, как так может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
File size: 164 bytes

и что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и что?

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

У меня Kaspersky Internet Security 2010, и доктором иногда приходится пользоваться, вот решил помочь им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Касперский детект имеет, вот в чем дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias
Касперский детект имеет, вот в чем дело.
не всех

уже спорил с вирлабом и на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

Начиная с 6-ой версии, все именно так и работает. Спайдер умеет почти все что умеет сканер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Сам по себе .инф всего лишь текстовый файл. В вашем случае он бы удалили вирус, и если на этот вирус указывает этот файл. инф, он тоже будет удален, зачищены все необходимые ветки рестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×