Перейти к содержанию
Cooller

Worm.Autorun типа ложное срабатывание у Dr. Web

Recommended Posts

Cooller

Сегодня нашел вирус на флешке и решил отправить на анализ в Dr. Web, потому что он не определяет, так как другие антивирусы этот вирус определяют.

Вирус тотал

Но потом мне приходит письмо, что присланный файл не предоставляет угрозы, как так может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

File size: 164 bytes

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
File size: 164 bytes

и что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и что?

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

У меня Kaspersky Internet Security 2010, и доктором иногда приходится пользоваться, вот решил помочь им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Касперский детект имеет, вот в чем дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias
Касперский детект имеет, вот в чем дело.
не всех

уже спорил с вирлабом и на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

Начиная с 6-ой версии, все именно так и работает. Спайдер умеет почти все что умеет сканер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Сам по себе .инф всего лишь текстовый файл. В вашем случае он бы удалили вирус, и если на этот вирус указывает этот файл. инф, он тоже будет удален, зачищены все необходимые ветки рестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×