Фабрика epic falses - Страница 3 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Виталий Я.
Хм, и как-то ж без "сменных дятлов" (с) дело обходится.... :rolleyes: Мистика! ;)

А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Кгм.... тут речь немного не об этом... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Ну их пишут же тоже в вирлабе. :)

Отличный детект:

Капец, еще бы просто писали: ВиРус!!! Иу! :lol:

Да, отличный детект. :D

File name:

download.txt

Kaspersky 7.0.0.125 2011.01.21 Email-Worm.Win32.Mimail.txt

Ещё бы написали "Very.Dangerous.TXT FILE.Baba32.МАША Я ТЕБЯ ЛУБЛУ!!1!1!1!!!.Gen."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Ну ты сравнил детект чиха с текстовым файлом.... =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail, ну а в чем разница сегодня?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, ну а в чем разница сегодня?

Никакой, за исключением того, что чих, хотя бы, -- исполняемый файл в отличие от простого текстового файла, который сам по себе безвредный при любой погоде. Но то дело лично каждого. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Да вы глупости говорите.

Этот детект был добавлен не просто так, а потому что кривой Мимайл, зачастую "забывал" себя аттачить к письмам, но письма при этом рассылал как из пулемета. Клиенты, которых очень достало выгребать тонны таких писем из ящиков - очень просили сделать на них детект, чтобы резать прямо на подлете. Что и было сделано. Само письмо и текст являются результатом деятельности червя = его пэйлоад = детект корректен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

В профиль картина немного иная, чем анфас...

http://www.virustotal.com/file-scan/report...efd1-1305015355

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Продолжим: http://www.virustotal.com/file-scan/report...1e26-1309950029

Дроппает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

и почему это фалса ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и почему это фалса ?

А ты видишь что-то вредоносное в открытии адобовской страницы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А ты видишь что-то вредоносное в открытии адобовской страницы?

Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Открывает кто - батник ? на батник детект есть ?

Детект есть на дроппер. Вполне правильный детект. Дропать батники в наше время - моветон.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Открывает кто - батник ? на батник детект есть ?

Открывает - да, батник. На него нету (ещё б не хватало, если бы был...)

Детект есть на дроппер. Вполне правильный детект.
Дропать батники в наше время - моветон.

В большинстве случаев -- да, но не для данного конкретного случая.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Совершенно ничего не мешает. Тем не менее нужно смотреть, что именно качается и качается ли вообще (как в данном конкретном случае). А также является ли ресурс, к которому идёт обращение, в базе вредоносных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Zip архив Result: 26/42 (61.9%)

без архива Result: 30/43 (69.8%)

VBA32 & Dr.Web: fixed

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Symantec: исправлено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Хм, сегодня в 11:23(13:23 по Москве)заслал фолс в AVG по форме на сайте(робот ответил сразу, но то только робот...), слал ли кто еще я кнешно не знаю, но посмотреть на скорость реакции интересно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Avira: исправлено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

AVG исправили, но молча, затратив на это дело от ~24-29 часов.

hттp://wмw.virustotal.com/file-scan/report...df8c-1312913974

Баян правда, но доставляет.

Один в поле... Дон Кихот что-ли... :):):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×