Q

NOD? Web? Кто там еще? Не помогут. Новый LdPinch!

В этой теме 30 сообщений

Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Файлы были остановлены Kaspersky Hosted Security 14.12.2006 в 20:45

Итак, результаты проверки через 12+ часов.

pinch.png

post-1811-1166165984.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересный вердикт у BitDefender - DeepScan: Generic.

Что в данном случае значит DeepScan? :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не знаю - не знаю какой там новый пинч :roll: Можно файлик этот в соответствующем разделе поместить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если пару дней спустя проверку провести снова, то что тогда будет, может кто то прибыл в эти ряды?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Эмулятор :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Сергей Ильин, этого зловреда на форуме не выкладывали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет, Q скинул только скриншот с вирустотала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Многие антивирусы принципиально не реагируют на зловредов 0-ой категории (неспособные к размножению и распространению).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"таргетированных" атак

"Таргетированные", я так понимаю по-русски "целевые" для конкретного клиента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dexter

Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

забавно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Угу.

Понятно.

Интересно спросить у _Stout или Q. какой вариант присутствует в данном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Да, конечно я в курсе таргетированных атак, и сам не раз применял этот термин в своих выступлениях. Однако я же говорил о методах противостояния таким атакам, над которыми работают многие антивирусные компании. Представленные результаты сканирования говорят о том, что все усилия всех компаний ни к чему на сегодня не привели. Странно, не правда ли?

Могу добавить что на базе отсутствия материальных подтверждений регистрации фактов рождается множество гипотез, зачастую неверных. У меня нет цели кого-либо обвинять и я готов отказаться от своего утверждения, если будут представлены соответствующие доказательства. Однако прошло уже не мало времени с момента сканирования, но ни файла, ни комметариев автора первого поста, ни хотя бы новых результатов сканирования я не вижу.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

Я уже где-то слышал фразу про домохозяек и антивирусные компании... Однако отвечу во что я верю в данном случае. Я верю что в антивирусных компаниях, завоевавших серьезную долю рынка, работает много людей. Компания не может отвечать за личные действия каждого из них. Кроме того, у каждого бренда есть свои фанаты, за действия которых компания - владелец бренда - также не может отвечать. Мало кто обвиняет английские футбольные команды за то, что их фанатов боится вся Европа.

Так что в данном случае пожалуй да, я поддержу домохозяек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

то есть вы подозреваете сотрудника Касперского Q по сути в вирусописательстве. хорошо, я вас понял

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

Я просто пытаюсь вызвать авторов темы к диалогу, в противном случае все, что мы здесь обсуждаем, абсолютно беспочвенно, так как кроме одного скриншота на данный момент мы ничего не имеем.

Хотя спасибо, Иван, за наводку, теперь я могу сопоставить события, приведшие к получению такого интересного скриншота.

Итак попробуем, если не угадал, то пусть непосредственные участники событий меня поправят.

1. Компания - пользователь Kaspersky Hosted Security, присылает в лабораторию зловреда, которым она была атакована. При этом замечу, что скорее всего зловред пробил защиту, так как в конечном итоге попал в руки клиента.

2. В лаборатории выпустили соответствующую сигнатуру.

3. Зловред "по рукам" не пошел, так как атака была таргетированной и обновление выпустили достаточно быстро.

4. Через 12 часов или около того сотрудник лаборатории решил проверить идентификацию данного зловреда на VirusTotal. Так как распространения не было, то другие компании образец зловреда не получили, и чем явственно говорят результаты теста.

5. Результаты с опломбом выкидываются на форум без соответствующих коментариев, и конечно без самого образца зловреда, возбуждая бурные прения по поводу "рулит ли Касперский или это подлог".

Итак мы получаем абсолютно легитимные действия, приведшие к результатам, выданным на скриншоте.

Один вопрос только остается нерешенным - проактивка других антивирусных компаний. Неужели у всех настолько плохо с этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что ж, по существу вопроса.

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай.

До клиентов этот пинч не дошел, поэтому беспокоиться им не о чем.

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

Да и собственно, есть средства сбора вредоносного ПО, honey pots - они как раз предназначены для получения новых самплов, даже если их не получить от других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

я не драматизирую, я задаю вопросы и получаю ответы, которые понимаю в силу своих возможностей:) слово обвиняю кстати не произносил:)

Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Добавлено спустя 2 минуты 16 секунд:

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб. :)

Ага значит взяли пресловутым Битхантом?

Добавлено спустя 10 минут 53 секунды:

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было. :)

да это обидно, получается что картинка эта с вирустотала по сути ничего не говорит, базы то у большинства сильно отстают

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Я видел обращение Сергея, но в общем догадка весьма близка к истине. Просто тестировать Спамооборону неинтересно, ее возможности известны многим. Это действительно одна из причин.

Сейчас достаточно получить бесплатный почтовый ящик на Yandex, вот тебе и тестирование Спамообороны :)

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай

Результаты, это конечно интересно, с нетерпением жду. Однако файлик бы...

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

То есть Вы можете совершенно уверенно утверждать, что лаборатория, скажем DrWeb, получила самл зловреда от ЛК до начатого Вами тестирования на VirusTotal?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      Факт. 1) Когда вышла крайняя версия утилиты: Tdsskiller ? Ответ: Апрель 2017 т.е.  новых rootkit - тов не было... скоро, как год уже не было новых... 2) За год резко снизилось число ADWARE агентов. 3) Снизилось число заражений шифраторами. 4) Число заражений файловыми вирусами. 5) Блокировщики экрана превратились в анахронизм - в живых динозавров. Почему это происходит ? а) Были приняты меры, как разработчиками программ так и пользователями. Появились более защищённые браузеры, эффективные Free Antivirus - ы, повысился уровеньосведомлённости пользователей PC ( сейчас даже бабушки знают, что нужно проверять файл hosts ) Как результат - модификация ( злонамеренная ) файла hosts практически прекратилась. ADWARE - файлы часто подписывают Электронно цифровой подписью ( ЭЦП  ) - и платили ( платят )  за это деньги... Как результат: Овчинка перестала стоить выделки. ( дебет не сходиться с кредитом ) Число левых ЭЦП резко сократилось... б) Крупные компании практически перестали досаждать пользователям такими продуктами как:  Guard mail.ru;  Яндекс praetorian и т.д. так, как рынок уже поделили... с) Сменилась прицельна точка с Windows на Android  системы. д) Также по всей видимости произошла переориентация у плохих дядей. На данный момент  появились возможности заработать относительно легальным путём - те же .js майнеры на сайтах... Резко возросло число преступлений - со стороны мошенников соответственно это привело к снижению активности на иных направлениях. Кроме того технический прогресс не стоит на месте. Раньше мы постоянно использовали CD\DVD - USB диски. сейчас же благодаря появлению облачных хранилищ, доступности интернета, скорости передачи данных... Обмен дисками снизился на несколько порядков. Как результат практически исчезли Autorun вирусы и резко снизилось число файловых заражений. Изменилось отношение пользователей к безопасности - отношение стало более ответственным. так, как нормальная работа PC и сохранение информации напрямую стала связана с доходами - работа в интернете, передача данных, отчётов, банковские переводы, регистрации и т.д. Чаще стали покупать лицензии, к антивирусам, а не использовать взломанные версии. Были внедрены многоуровневые системы  проверки данных. К примеру: данные проверяет почтовый сервер и только потом данные передаются пользователю, где они повторно проверяются. Появились онлайн сканеры типа: herdProtect; threatinfo.net; reasoncoresecurity.com У вируса\adware остаётся мало шансов уйти от обнаружения ведь файл анализирует: 60 + антивирусов. Была налажена схема\линия обмена данными между антивирусными компаниями - угрозы быстро обнаруживают и нейтрализуют - что резко снижает время активности вируса\угрозы и снижает доходность. В связи с многочисленными атаками на баки были предприняты доп. меры, как со стороны банков, так и со стороны правоохранительных органов - о чём свидетельствую аресты. Разработка искусственного интеллекта ( его элементов ) - совершенствование механизмов эвристики. Создание общих баз данных по угрозам - определение закономерностей в коде, принципах распространения. Внедрение оплаты компаниями за найденные в их продуктах уязвимости - что также привело к росту стоимости информации на чёрном рынке. Сменились направления атак. Чаще стали атаковать: Китай и Корею. ------------ Но не стоит расслабляться. Произошло переключение на майнинг   вирусы   и по прежнему  свирепствуют шифраторы да и рекламные агенты продолжают нас радовать.
    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525
    • stroitel80
      Надо попробовать на старом компе и все станет ясно
    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301