Перейти к содержанию
Q

NOD? Web? Кто там еще? Не помогут. Новый LdPinch!

Recommended Posts

Q

Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Файлы были остановлены Kaspersky Hosted Security 14.12.2006 в 20:45

Итак, результаты проверки через 12+ часов.

pinch.png

post-1811-1166165984.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересный вердикт у BitDefender - DeepScan: Generic.

Что в данном случае значит DeepScan? :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
DeepScan

Глубокое сканирование?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Не знаю - не знаю какой там новый пинч :roll: Можно файлик этот в соответствующем разделе поместить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

А если пару дней спустя проверку провести снова, то что тогда будет, может кто то прибыл в эти ряды?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Эмулятор :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Сергей Ильин, этого зловреда на форуме не выкладывали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

нет, Q скинул только скриншот с вирустотала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Многие антивирусы принципиально не реагируют на зловредов 0-ой категории (неспособные к размножению и распространению).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
"таргетированных" атак

"Таргетированные", я так понимаю по-русски "целевые" для конкретного клиента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Dexter

Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

забавно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не у нас, а на VirusTotal :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Угу.

Понятно.

Интересно спросить у _Stout или Q. какой вариант присутствует в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин
Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Да, конечно я в курсе таргетированных атак, и сам не раз применял этот термин в своих выступлениях. Однако я же говорил о методах противостояния таким атакам, над которыми работают многие антивирусные компании. Представленные результаты сканирования говорят о том, что все усилия всех компаний ни к чему на сегодня не привели. Странно, не правда ли?

Могу добавить что на базе отсутствия материальных подтверждений регистрации фактов рождается множество гипотез, зачастую неверных. У меня нет цели кого-либо обвинять и я готов отказаться от своего утверждения, если будут представлены соответствующие доказательства. Однако прошло уже не мало времени с момента сканирования, но ни файла, ни комметариев автора первого поста, ни хотя бы новых результатов сканирования я не вижу.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

Я уже где-то слышал фразу про домохозяек и антивирусные компании... Однако отвечу во что я верю в данном случае. Я верю что в антивирусных компаниях, завоевавших серьезную долю рынка, работает много людей. Компания не может отвечать за личные действия каждого из них. Кроме того, у каждого бренда есть свои фанаты, за действия которых компания - владелец бренда - также не может отвечать. Мало кто обвиняет английские футбольные команды за то, что их фанатов боится вся Европа.

Так что в данном случае пожалуй да, я поддержу домохозяек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

то есть вы подозреваете сотрудника Касперского Q по сути в вирусописательстве. хорошо, я вас понял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

Я просто пытаюсь вызвать авторов темы к диалогу, в противном случае все, что мы здесь обсуждаем, абсолютно беспочвенно, так как кроме одного скриншота на данный момент мы ничего не имеем.

Хотя спасибо, Иван, за наводку, теперь я могу сопоставить события, приведшие к получению такого интересного скриншота.

Итак попробуем, если не угадал, то пусть непосредственные участники событий меня поправят.

1. Компания - пользователь Kaspersky Hosted Security, присылает в лабораторию зловреда, которым она была атакована. При этом замечу, что скорее всего зловред пробил защиту, так как в конечном итоге попал в руки клиента.

2. В лаборатории выпустили соответствующую сигнатуру.

3. Зловред "по рукам" не пошел, так как атака была таргетированной и обновление выпустили достаточно быстро.

4. Через 12 часов или около того сотрудник лаборатории решил проверить идентификацию данного зловреда на VirusTotal. Так как распространения не было, то другие компании образец зловреда не получили, и чем явственно говорят результаты теста.

5. Результаты с опломбом выкидываются на форум без соответствующих коментариев, и конечно без самого образца зловреда, возбуждая бурные прения по поводу "рулит ли Касперский или это подлог".

Итак мы получаем абсолютно легитимные действия, приведшие к результатам, выданным на скриншоте.

Один вопрос только остается нерешенным - проактивка других антивирусных компаний. Неужели у всех настолько плохо с этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Q

Что ж, по существу вопроса.

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай.

До клиентов этот пинч не дошел, поэтому беспокоиться им не о чем.

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

Да и собственно, есть средства сбора вредоносного ПО, honey pots - они как раз предназначены для получения новых самплов, даже если их не получить от других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

я не драматизирую, я задаю вопросы и получаю ответы, которые понимаю в силу своих возможностей:) слово обвиняю кстати не произносил:)

Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Добавлено спустя 2 минуты 16 секунд:

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Ага значит взяли пресловутым Битхантом?

Добавлено спустя 10 минут 53 секунды:

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

да это обидно, получается что картинка эта с вирустотала по сути ничего не говорит, базы то у большинства сильно отстают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин
Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Я видел обращение Сергея, но в общем догадка весьма близка к истине. Просто тестировать Спамооборону неинтересно, ее возможности известны многим. Это действительно одна из причин.

Сейчас достаточно получить бесплатный почтовый ящик на Yandex, вот тебе и тестирование Спамообороны :)

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай

Результаты, это конечно интересно, с нетерпением жду. Однако файлик бы...

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

То есть Вы можете совершенно уверенно утверждать, что лаборатория, скажем DrWeb, получила самл зловреда от ЛК до начатого Вами тестирования на VirusTotal?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
      Компания ESET —  лидер в области информационной безопасности — сообщает о выходе новой версии флагманских продуктов для домашних пользователей. Основными новинками 12 версии стали усовершенствование защиты Интернет вещей (IoT), отчеты о безопасности и сверхбыстрая установка. Кроме этого, продукты сбалансировано сочетают скорость работы, точность выявления и удобство использования, что подтверждается результатами многих независимых тестирований. По предварительным прогнозам, к 2025 году количество подключенных к сети Интернет-устройств во всем мире составит более 75 миллиардов. Все эти устройства, от домашней смарт-техники к электронным средствам для контроля медицинских показателей, могут стать потенциальными целями киберугроз. С ростом количества электронных устройств в повседневной жизни, увеличивается и количество конфиденциальных данных в сети, а также точек входа в сеть Интернет. «Хакеры будут использовать увеличение количества устройств, подключенных к сети Интернет, для своих целей, поэтому пользователи больше не могут продолжать пренебрегать кибербезопасностью. Добавление функции защиты IoT в продукты для домашних пользователей позволит должным образом защитить устройства и роутеры, с помощью которых пользователи подключаются к сети Интернет, — комментирует Дмитрий Федоренко, ведущий менеджер отдела работы с партнерами и клиентами ESET в Украине. — Благодаря этому пользователи ESET могут чувствовать себя в безопасности». Как и раньше, пользователи могут выбрать продукт ESET NOD32 Antivirus для обеспечения базовой защиты компьютера, ESET Internet Security с дополнительными уровнями безопасности для защиты от вредоносного программного обеспечения и ESET Smart Security Premium для опытных пользователей, которые ищут современную защиту от угроз и расширенные функции, среди которых Защита данных с помощью шифрования и Управление паролями. Благодаря технологии машинного обучения и 30-летнему опыту компании на рынке, все продукты ESET минимально влияют на работу системы и почти незаметно работают в фоновом режиме. Одной с ключевых особенностей для пользователей является возможность осуществлять удобное и сверхбыстрое сканирование независимо от операционной системы компьютера. «Продукты ESET созданы таким образом, чтобы обеспечить преимущество над встроенной защитой Windows и показать пользователям, что многоуровневый подход к кибербезопасности обеспечивает выявление даже сверхсложных угроз», — отмечает Дмитрий Федоренко, ведущий менеджер отдела работы с партнерами и клиентами ESET в Украине. Основные новинки 12 версии продуктов: Благодаря возможности пригласить друга теперь можно рекомендовать продукты ESET своим знакомым. В частности, поделившись уникальной ссылкой с другом, пользователь может бесплатно продлить действие лицензии на месяц. Отчеты о безопасности, которые содержат полный обзор выявленных и заблокированных продуктами ESET угроз, создаются в фоновом режиме без влияния на скорость работы системы. Пользователи могут выбрать среди пяти заранее заданных элементов в зависимости от собственных приоритетов и получать данные о работе таких функций, как Защита информации, Управление паролями, Антивор или Родительский контроль. Сверхбыстрая установка позволяет сэкономить до 40% времени. Теперь установка новых продуктов ESET занимает лишь несколько секунд. Усовершенствованная функция Защита домашней сети позволяет пользователям проверить подключенные к роутеру смарт-устройства на наличие уязвимостей и предлагает возможные исправления. Также пользователи могут сканировать порты и встроенные программы на наличие уязвимостей, вредоносные домены, находить слабые пароли или пароли по умолчанию для роутера и выявлять вредоносные программы. Соответствие Общему регламенту о защите данных (GDPR). Все продукты ESET созданы с соблюдением требований GDPR относительно вопросов обработки персональных данных и обеспечивают конфиденциальность личной информации пользователей. Пресс-выпуск.
    • Ego Dekker
      Для активации программы щёлкните правой кнопкой мыши на значок в области уведомлений и выберите в меню пункт «Активируйте программу». Активацию антивируса также можно выполнить, последовательно щёлкнув в главном меню элементы «Справка и поддержка» → «Активация продукта/изменение лицензии» или «Домашняя страница» → «Активировать продукт». Для активации пробной версии нужно выбрать вариант «Лицензия на бесплатную пробную версию», заполнить поля, затем нажать «Активировать». Зарегистрированным пользователям нужно ввести лицензионный ключ, полученный после активации лицензии. При наличии имени пользователя и пароля для домашнего антивируса ESET их можно преобразовать в лицензионный ключ для версии 12.
       
              ESET NOD32 Antivirus 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET NOD32 Antivirus 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
              ESET Internet Security 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET Internet Security 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
              ESET Smart Security Premium 12.0.27 (Windows Vista/7/8/8.1/10, 32-разрядная)
              ESET Smart Security Premium 12.0.27 (Windows Vista/7/8/8.1/10, 64-разрядная)
                                                                   ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 12
              Руководство пользователя ESET Internet Security 12
              Руководство пользователя ESET Smart Security Premium 12 Полезные ссылки:
      Технологии ESET
      Онлайн-справка по продукции ESET
      Удаление антивирусов других компаний
      Стать пользователем антивируса ESET
      Форум российского представительства ESET
      Описание обновлений антивирусных баз
      Утилиты для удаления вредоносных программ
      ESET Online Scanner
      ESET SysRescue Live (диск аварийного восстановления)
      Как удалить антивирус 12-й версии полностью (пользователям Windows)?
      Прислать образец вируса или сообщить о ложном срабатывании*.
      * Чтобы антивирус смог вылечить заражённый файл, нужно отправить такой файл в архиве с паролем «infected» на адрес [email protected] с темой «[virus_name] — cleaner needed», где [virus_name] — название файлового вируса.
    • PR55.RP55
      Зачем эти крайности - хватит и половины команд. Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает. В плане удобства оптимален ? переход от Инфо. к Инфо.  т.е. Есть список файлов. Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо * * ( с учётом фильтра ) по ходу дела принимая решение считать ли файл проверенным, или удалить. Без всех этих метаний.
    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
×