Фабрика epic falses

[Виталий Я. 859]

Хм, и как-то ж без "сменных дятлов" (с) дело обходится.... Мистика!

А кто сказал, что без сменных дятлов? Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

[K_Mikhail 807]

А кто сказал, что без сменных дятлов? Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Кгм.... тут речь немного не об этом...

[Z.E.A. 190]

Ну их пишут же тоже в вирлабе.

Отличный детект:

Капец, еще бы просто писали: ВиРус!!! Иу!

Да, отличный детект.

File name:

download.txt

Kaspersky 7.0.0.125 2011.01.21 Email-Worm.Win32.Mimail.txt

Ещё бы написали "Very.Dangerous.TXT FILE.Baba32.МАША Я ТЕБЯ ЛУБЛУ!!1!1!1!!!.Gen."

[Umnik 997]

K_Mikhail

Детект чиха тогда тоже фолс. Каспер технически не может работать на системах ниже XP, так что...

[K_Mikhail 807]

K_Mikhail

Детект чиха тогда тоже фолс. Каспер технически не может работать на системах ниже XP, так что...

Ну ты сравнил детект чиха с текстовым файлом.... =)

[Umnik 997]

K_Mikhail, ну а в чем разница сегодня?

[K_Mikhail 807]

K_Mikhail, ну а в чем разница сегодня?

Никакой, за исключением того, что чих, хотя бы, -- исполняемый файл в отличие от простого текстового файла, который сам по себе безвредный при любой погоде. Но то дело лично каждого.

[A. 876]

Да вы глупости говорите.

Этот детект был добавлен не просто так, а потому что кривой Мимайл, зачастую "забывал" себя аттачить к письмам, но письма при этом рассылал как из пулемета. Клиенты, которых очень достало выгребать тонны таких писем из ящиков - очень просили сделать на них детект, чтобы резать прямо на подлете. Что и было сделано. Само письмо и текст являются результатом деятельности червя = его пэйлоад = детект корректен.

[Sansero.ee 121]

P.S. Репостом: http://www.virustotal.com/file-scan/report...ebc4-1295641551

В профиль картина немного иная, чем анфас...

http://www.virustotal.com/file-scan/report...efd1-1305015355

[K_Mikhail 807]

Продолжим: http://www.virustotal.com/file-scan/report...1e26-1309950029

Дроппает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

[A. 876]

и почему это фалса ?

[K_Mikhail 807]

и почему это фалса ?

А ты видишь что-то вредоносное в открытии адобовской страницы?

[A. 876]

А ты видишь что-то вредоносное в открытии адобовской страницы?

Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

[K_Mikhail 807]

Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

[A. 876]

Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Открывает кто - батник ? на батник детект есть ?

Детект есть на дроппер. Вполне правильный детект. Дропать батники в наше время - моветон.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

[K_Mikhail 807]

Открывает кто - батник ? на батник детект есть ?

Открывает - да, батник. На него нету (ещё б не хватало, если бы был...)

Детект есть на дроппер. Вполне правильный детект.

Дропать батники в наше время - моветон.

В большинстве случаев -- да, но не для данного конкретного случая.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Совершенно ничего не мешает. Тем не менее нужно смотреть, что именно качается и качается ли вообще (как в данном конкретном случае). А также является ли ресурс, к которому идёт обращение, в базе вредоносных.

[Dmitriy K 603]

Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Zip архив Result: 26/42 (61.9%)

без архива Result: 30/43 (69.8%)

[K_Mikhail 807]

Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Zip архив Result: 26/42 (61.9%)

без архива Result: 30/43 (69.8%)

VBA32 & Dr.Web: fixed

[Z.E.A. 190]

Symantec: исправлено.

[Sansero.ee 121]

Хм, сегодня в 11:23(13:23 по Москве)заслал фолс в AVG по форме на сайте(робот ответил сразу, но то только робот...), слал ли кто еще я кнешно не знаю, но посмотреть на скорость реакции интересно...

[Danilka 678]

http://www.virustotal.com/file-scan/report...df8c-1312913974

Баян правда, но доставляет.

[ak_ 395]

Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Avira: исправлено.

[Sansero.ee 121]

Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

AVG исправили, но молча, затратив на это дело от ~24-29 часов.

hттp://wмw.virustotal.com/file-scan/report...df8c-1312913974

Баян правда, но доставляет.

Один в поле... Дон Кихот что-ли...

[ak_ 395]

Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

[Юрий Паршин 330]

Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b