NOD? Web? Кто там еще? Не помогут. Новый LdPinch!

[Q 0]

Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Файлы были остановлены Kaspersky Hosted Security 14.12.2006 в 20:45

Итак, результаты проверки через 12+ часов.

[Сергей Ильин 1538]

Интересный вердикт у BitDefender - DeepScan: Generic.

Что в данном случае значит DeepScan? :?

[Storm 0]

DeepScan

Глубокое сканирование?

[Сергей Ильин 1538]

Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

[Денис Лебедев 20]

Не знаю - не знаю какой там новый пинч :roll: Можно файлик этот в соответствующем разделе поместить?

[DWState 30]

А если пару дней спустя проверку провести снова, то что тогда будет, может кто то прибыл в эти ряды?!

[Николай Головко 70]

Глубокое сканирование?

Ну по переводу это понятно, не ясно этот вердик относится к проактивке или к какому-то другому модулю?

Эмулятор

[SuperBrat 6]

Очевидные вещи писать нет смысла, достаточно просто взглянуть на скриншот.

Сергей Ильин, этого зловреда на форуме не выкладывали?

[Сергей Ильин 1538]

нет, Q скинул только скриншот с вирустотала.

[Олег Рагозин 10]

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

[SuperBrat 6]

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Многие антивирусы принципиально не реагируют на зловредов 0-ой категории (неспособные к размножению и распространению).

[_Stout 131]

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

[Dexter 20]

"таргетированных" атак

"Таргетированные", я так понимаю по-русски "целевые" для конкретного клиента?

[Николай Терещенко 0]

Dexter

Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

[Иван 290]

А по мне, эта публикация напоминает хорошо подстроенную утку. Ведь можно же создать файл со слегка модифицированной сигнатурой известного malware, "заточить" под нее антивирус, а затем получить весьма интересные результаты сравнения.

Если это действительно вредоносный код, то другие производители антивирусов должны были отреагировать на него за 12 часов.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

забавно

[Мальцев Тимофей 74]

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было.

[Николай Головко 70]

Не у нас, а на VirusTotal

[Dexter 20]

Практически да. Только может быть не конкретный клиент, а конкретный тип персональных компьютеров... Важно то, что атака предназначается для кого-то конкретно, а один это человек или 1000 (похожих по отдельному признаку), это уже детали...

Угу.

Понятно.

Интересно спросить у _Stout или Q. какой вариант присутствует в данном случае?

[Олег Рагозин 10]

Олег, Q мой коллега и заподозрить его в подлоге нельзя. Да и файл этот был направлен в вир лаб в указанное Q время. А то, что остальные не ловят -- ну нет у них сампла. Вы же в курсе "таргетированных" атак.

Да, конечно я в курсе таргетированных атак, и сам не раз применял этот термин в своих выступлениях. Однако я же говорил о методах противостояния таким атакам, над которыми работают многие антивирусные компании. Представленные результаты сканирования говорят о том, что все усилия всех компаний ни к чему на сегодня не привели. Странно, не правда ли?

Могу добавить что на базе отсутствия материальных подтверждений регистрации фактов рождается множество гипотез, зачастую неверных. У меня нет цели кого-либо обвинять и я готов отказаться от своего утверждения, если будут представлены соответствующие доказательства. Однако прошло уже не мало времени с момента сканирования, но ни файла, ни комметариев автора первого поста, ни хотя бы новых результатов сканирования я не вижу.

вы Олег вместе с домохозяйками верите, что некоторые антивирусные компании сами пишут вирусы? или модифицирую старые, что одно и то же...

Я уже где-то слышал фразу про домохозяек и антивирусные компании... Однако отвечу во что я верю в данном случае. Я верю что в антивирусных компаниях, завоевавших серьезную долю рынка, работает много людей. Компания не может отвечать за личные действия каждого из них. Кроме того, у каждого бренда есть свои фанаты, за действия которых компания - владелец бренда - также не может отвечать. Мало кто обвиняет английские футбольные команды за то, что их фанатов боится вся Европа.

Так что в данном случае пожалуй да, я поддержу домохозяек.

[Иван 290]

то есть вы подозреваете сотрудника Касперского Q по сути в вирусописательстве. хорошо, я вас понял

[Олег Рагозин 10]

Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

Я просто пытаюсь вызвать авторов темы к диалогу, в противном случае все, что мы здесь обсуждаем, абсолютно беспочвенно, так как кроме одного скриншота на данный момент мы ничего не имеем.

Хотя спасибо, Иван, за наводку, теперь я могу сопоставить события, приведшие к получению такого интересного скриншота.

Итак попробуем, если не угадал, то пусть непосредственные участники событий меня поправят.

1. Компания - пользователь Kaspersky Hosted Security, присылает в лабораторию зловреда, которым она была атакована. При этом замечу, что скорее всего зловред пробил защиту, так как в конечном итоге попал в руки клиента.

2. В лаборатории выпустили соответствующую сигнатуру.

3. Зловред "по рукам" не пошел, так как атака была таргетированной и обновление выпустили достаточно быстро.

4. Через 12 часов или около того сотрудник лаборатории решил проверить идентификацию данного зловреда на VirusTotal. Так как распространения не было, то другие компании образец зловреда не получили, и чем явственно говорят результаты теста.

5. Результаты с опломбом выкидываются на форум без соответствующих коментариев, и конечно без самого образца зловреда, возбуждая бурные прения по поводу "рулит ли Касперский или это подлог".

Итак мы получаем абсолютно легитимные действия, приведшие к результатам, выданным на скриншоте.

Один вопрос только остается нерешенным - проактивка других антивирусных компаний. Неужели у всех настолько плохо с этим?

[Q 0]

Что ж, по существу вопроса.

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай.

До клиентов этот пинч не дошел, поэтому беспокоиться им не о чем.

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

Да и собственно, есть средства сбора вредоносного ПО, honey pots - они как раз предназначены для получения новых самплов, даже если их не получить от других.

[Николай Головко 70]

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб.

[Иван 290]

Да никого я в этом не обвиняю, Иван, Вы все время пытаетесь излишне драматизировать ситуацию.

я не драматизирую, я задаю вопросы и получаю ответы, которые понимаю в силу своих возможностей слово обвиняю кстати не произносил

Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Добавлено спустя 2 минуты 16 секунд:

До клиента пинч не дошел: KHS сама кидает заподозренные файлы в вирлаб.

Ага значит взяли пресловутым Битхантом?

Добавлено спустя 10 минут 53 секунды:

Господа, а что это у вас разные даты по базам?

У одних - 14, у других - 15...

Нехорошо...

Только не надо рассказывать, что у ДВ, например, 15-го базы не было.

да это обидно, получается что картинка эта с вирустотала по сути ничего не говорит, базы то у большинства сильно отстают

[Олег Рагозин 10]

Олег кажите, а вы не хотите, чтобы Сергей Ильин провел тестирование Защищенной почты http://www.dials.ru/main.phtml?/services/hosted_security, как это он сделал с KHS? или вы планируете провести тестирование, когда туда уже будет встроен антивирус?

Я видел обращение Сергея, но в общем догадка весьма близка к истине. Просто тестировать Спамооборону неинтересно, ее возможности известны многим. Это действительно одна из причин.

Сейчас достаточно получить бесплатный почтовый ящик на Yandex, вот тебе и тестирование Спамообороны

Сампл завтра пересканирую и выложу результаты, да и md5 файла не помешает на всякий случай

Результаты, это конечно интересно, с нетерпением жду. Однако файлик бы...

Вируслабы большинства АВ компаний обмениваются самплами, ЛК не исключение. Если файл не был обработан другими вовремя - виноват кто?

То есть Вы можете совершенно уверенно утверждать, что лаборатория, скажем DrWeb, получила самл зловреда от ЛК до начатого Вами тестирования на VirusTotal?