Q

NOD? Web? Кто там еще? Не помогут. Новый LdPinch!

В этой теме 30 сообщений

Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Файлы были остановлены Kaspersky Hosted Security 14.12.2006 в 20:45

Итак, результаты проверки через 12+ часов.

pinch.png

post-1811-1166165984.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересный вердикт у BitDefender - DeepScan: Generic.

Что в данном случае значит DeepScan? :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю - не знаю какой там новый пинч :roll: Можно файлик этот в соответствующем разделе поместить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если пару дней спустя проверку провести снова, то что тогда будет, может кто то прибыл в эти ряды?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Эмулятор :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Сергей Ильин, этого зловреда на форуме не выкладывали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет, Q скинул только скриншот с вирустотала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Многие антивирусы принципиально не реагируют на зловредов 0-ой категории (неспособные к размножению и распространению).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"таргетированных" атак

"Таргетированные", я так понимаю по-русски "целевые" для конкретного клиента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dexter

Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

забавно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Угу.

Понятно.

Интересно спросить у _Stout или Q. какой вариант присутствует в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Да, конечно я в курсе таргетированных атак, и сам не раз применял этот термин в своих выступлениях. Однако я же говорил о методах противостояния таким атакам, над которыми работают многие антивирусные компании. Представленные результаты сканирования говорят о том, что все усилия всех компаний ни к чему на сегодня не привели. Странно, не правда ли?

Могу добавить что на базе отсутствия материальных подтверждений регистрации фактов рождается множество гипотез, зачастую неверных. У меня нет цели кого-либо обвинять и я готов отказаться от своего утверждения, если будут представлены соответствующие доказательства. Однако прошло уже не мало времени с момента сканирования, но ни файла, ни комметариев автора первого поста, ни хотя бы новых результатов сканирования я не вижу.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

Я уже где-то слышал фразу про домохозяек и антивирусные компании... Однако отвечу во что я верю в данном случае. Я верю что в антивирусных компаниях, завоевавших серьезную долю рынка, работает много людей. Компания не может отвечать за личные действия каждого из них. Кроме того, у каждого бренда есть свои фанаты, за действия которых компания - владелец бренда - также не может отвечать. Мало кто обвиняет английские футбольные команды за то, что их фанатов боится вся Европа.

Так что в данном случае пожалуй да, я поддержу домохозяек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

то есть вы подозреваете сотрудника Касперского Q по сути в вирусописательстве. хорошо, я вас понял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

Я просто пытаюсь вызвать авторов темы к диалогу, в противном случае все, что мы здесь обсуждаем, абсолютно беспочвенно, так как кроме одного скриншота на данный момент мы ничего не имеем.

Хотя спасибо, Иван, за наводку, теперь я могу сопоставить события, приведшие к получению такого интересного скриншота.

Итак попробуем, если не угадал, то пусть непосредственные участники событий меня поправят.

1. Компания - пользователь Kaspersky Hosted Security, присылает в лабораторию зловреда, которым она была атакована. При этом замечу, что скорее всего зловред пробил защиту, так как в конечном итоге попал в руки клиента.

2. В лаборатории выпустили соответствующую сигнатуру.

3. Зловред "по рукам" не пошел, так как атака была таргетированной и обновление выпустили достаточно быстро.

4. Через 12 часов или около того сотрудник лаборатории решил проверить идентификацию данного зловреда на VirusTotal. Так как распространения не было, то другие компании образец зловреда не получили, и чем явственно говорят результаты теста.

5. Результаты с опломбом выкидываются на форум без соответствующих коментариев, и конечно без самого образца зловреда, возбуждая бурные прения по поводу "рулит ли Касперский или это подлог".

Итак мы получаем абсолютно легитимные действия, приведшие к результатам, выданным на скриншоте.

Один вопрос только остается нерешенным - проактивка других антивирусных компаний. Неужели у всех настолько плохо с этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что ж, по существу вопроса.

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай.

До клиентов этот пинч не дошел, поэтому беспокоиться им не о чем.

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

Да и собственно, есть средства сбора вредоносного ПО, honey pots - они как раз предназначены для получения новых самплов, даже если их не получить от других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

я не драматизирую, я задаю вопросы и получаю ответы, которые понимаю в силу своих возможностей:) слово обвиняю кстати не произносил:)

Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Добавлено спустя 2 минуты 16 секунд:

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Ага значит взяли пресловутым Битхантом?

Добавлено спустя 10 минут 53 секунды:

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

да это обидно, получается что картинка эта с вирустотала по сути ничего не говорит, базы то у большинства сильно отстают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Я видел обращение Сергея, но в общем догадка весьма близка к истине. Просто тестировать Спамооборону неинтересно, ее возможности известны многим. Это действительно одна из причин.

Сейчас достаточно получить бесплатный почтовый ящик на Yandex, вот тебе и тестирование Спамообороны :)

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай

Результаты, это конечно интересно, с нетерпением жду. Однако файлик бы...

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

То есть Вы можете совершенно уверенно утверждать, что лаборатория, скажем DrWeb, получила самл зловреда от ЛК до начатого Вами тестирования на VirusTotal?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS