Перейти к содержанию

Recommended Posts

K_Mikhail

Случайно столкнулся с тем, что стал детектироваться файл 10-летней давности из патча Memory Interleave Enabler for VIA Chipsets (2001 год).

E:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\readme.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_9X.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_NT.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\technote.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venabl9x.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.sys : infected TrojanPSW.OnLineGames.sbhfE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.vxd : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venablNT.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\ : ok

Описание:

Memory Interleave Enablerfor VIA ChipsetsQuestions and AnswersCopyright © 2001, George E. Breese. All Rights Reserved.Version 0.12 4/2/01

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

Предлагаю в этой теме публиковать случаи таких epic falses, дабы те, кому нужно, могли их исправить.

Представителей двух вендоров (VBA32 и KL), которые оказались онлайн в столь поздний час, я оповестил.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

этот файл можно без проблем найти в сети :)

гугль/яндекс в помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
VENABLER.sys

...

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

VirusBuster поправил базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Зарепортил.

В среду будет результат. К сожалению, они в течении двух рабочих дней с момента отправки снимают фолсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

VBA и Kaspersky один вердикт - кража сигнатуры/названия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

ИМХО, сотрудничество.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Файл delp.exe из пакета FreePascal 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

для Симантека ИМХО должон быть показан лишь пакет. Скажем так - рекламируемая всемирная система мониторинга все это должна делать сама

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

По идее, таким файлам самое место было в разделе "Анализа", но я его в упор не вижу... Пока отправил в Вам личку.

https://submit.symantec.com/false_positive/standard/ -- система, вроде, позволяет указать MD5\SHA256. Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Ну, выйдет же рано или поздно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
"Анализа", но я его в упор не вижу...

Это скрытый от "простых смертных" раздел?

Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Ну, выйдет же рано или поздно...

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

З.Ы. Отправил запрос на исправление фолса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Frigate 3 Lite v3.27.1.54 - старый

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

импульсные обновления нортона предназначены для другого? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это скрытый от "простых смертных" раздел?

У меня на него точно права были, но и я его перестал видеть. Скрыли его от всех глаз. :)

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Добро.

импульсные обновления нортона предназначены для другого? :rolleyes:

Давайте не будем сливать тему в /dev/null, плз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если уже можно и не сложно, то поправьте первое сообщение - из тега кода удалите те гигантские листинги текста частично или полностью....

А то у меня покет лагать жутко начинает... (

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

http://www.virustotal.com/file-scan/report...41a5-1303212249

Детект сняли, но "Инсайт Сканирование" всё равно жалуется на плохую репутацию и сносит с уже другим вердиктом. Хоть не так критично.

По второму файлу пока ничего.

импульсные обновления нортона предназначены для другого? rolleyes.gif

Для другого. В интернете куча информации, на симантекклубе или ещё где.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

UPD: Фолс снят и со второго файла.

Мда... это не добавление новых зловредов в базы.

Тут хотя бы побыстрее работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :) Как-то даже не верится по вердиктам VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :)

Точно.

Как-то даже не верится по вердиктам VT.

Просто у добавляющих роботов есть такая штука, которую я бы назвал как "добавление по доверию". И, судя по часто встречаемому суффиксу .dzhk, доверие основано на вердикте вполне определённого производителя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

UPD: Frigate3Lite.exe

Уже немного лучше: Avast, Symantec, VBA32, VirusBuster исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×