Фабрика epic falses - Страница 4 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

ak_
Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Тут я немного накосячил. Дело в том, что после запуска файлы 237 (17).exe и 237 (18).exe (Zботы) самоуничтожаются, дропая файл со случайным именем в директорию C:\Users\....\AppData\Roaming\... На скрине выше это файлы lyil.exe и ytoj.exe.

В тот раз они по какой-то причине самоуничтожились не полностью, оставив пустышки размером 0 байт. Их то я (не обратив внимания на размер) и запаковал для отправки в вирлаб Авиры. Естественно, что вредоносный код в этих файлах обнаружен не был.

Мы получили следующие файлы архива:ID файла Имя файла Объем (байты) Результат

26278790 237.zip 614.77 KB OK

Список файлов и результатов, содержавшихся в архивах, приведен ниже:ID файла Имя файла Объем (байты) Результат

26278791 237 (11).log 226 Byte CLEAN

26278792 237 (7).exe 71.02 KB CLEAN

26278793 237 (8).exe 62.5 KB MALWARE

26278794 lyil.exe 81.5 KB MALWARE

26278795 ytoj.exe 157.5 KB MALWARE

26286345 login_web.dat 67.79 KB FALSE POSITIVE

29538499 237 (11).exe 651.7 KB KNOWN CLEAN

4039214 237 (17).exe 0 Byte KNOWN CLEAN

4039214 237 (18).exe 0 Byte KNOWN CLEAN

А на Вирустотал я отправлял файлы ещё до их запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Само файло - авторун от аддона к игре MSF X. :)

Ну естественно и смотрим на остальных "халявщиков" и делаем выводы об их уровне. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Само файло - авторун от аддона к игре MSF X. :)

Корявый он какой-то icon4.gif

Снимок_2011_10_17_21_23_25.png

post-4500-1318872280_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Dmitriy K, ну это да. Там все аддоны не особо "прямые". Но не суть. Суть в том - фалса. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Скорее всего, робот добавил "по доверию".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Скорее всего, робот добавил "по доверию".

Это теперь так называется "с&^издили" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это теперь так называется "с&^издили" ? :)

"с&^издили" -- это если бы имя детекта было похожим. А так -- "и только Dr.Web!" © :P

P.S. Должны будут пофиксить.

UPD:VBA32 - fixed. Будет доступно с обновлением баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

http://www.virustotal.com/file-scan/report...c4fb-1321819043

Главпоставщик наименований детектов для их заимствования уже прислал уведомление об исправлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Парни, кто-нибудь может внятно объяснить что это и почему оно дает такой большой выхлоп ~ 55.8%

http://www.virustotal.com/file-scan/report...bbee-1323673381

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь из Kaspersky будет реагировать? Похоже детекты копи-пастили у них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

rkhunter, т.е мы виноваты да? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ну вы в данном случае задаете тон добавления какого-то мусора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Битый кусок трояна, исправлять смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

По этому же сэмплу могу сказать следующее.

Обнаружен он был в активном состоянии на одном ноутбуке. WinXP, SP2.

Висел в памяти в количестве около десятка экземпляров.

На диске в system32 лежал под разными именами в количестве около трёх десятков экземпляров.

В реестре в HKLM/Software/Microsoft/Windows/CurrentVersion/Run находился в количестве порядка 15 строчек, некоторые из которых ссылались на одинаковые файлы.

Плюс есть такой факт, что в вирусную лабораторию Dr.Web данный сэмпл отсылал не только я, т.е. более одного человека.

В итоге получается несостыковка с тем, что говорят вирусные аналитики и тем, что я видел данный сэмпл в _очень_ активном состоянии.

Т.е. я верю, что вирлабах это падает, и вообще мусор, но не стыкуется с тем, что я видел этот сэмпл вполне успешно работающим и тем, что отправлял его по вирлабам именно в таком виде не только я.

Кто что может сказать по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

С одного поля ягодки, но, тем не менее:

http://www.virustotal.com/file-scan/reanal...8624-1324230282

http://www.virustotal.com/file-scan/reanal...7ac9-1324230309

http://www.virustotal.com/file-scan/reanal...e3bd-1324230324

Из ЛК прислали уведомление об исправлении, Dr.Web и VBA32 -- исправление ожидается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ссылка опять битая...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Ссылка опять битая...

Ну это уже вошло в моду VT. То их DDoS'ят, то ссылки из базы данных теряются.

http://www.virustotal.com/file-scan/reanal...03b5-1325753343

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/30abff9c122...fd05e/analysis/

Не всё то трой, что китайское. В данном случае. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

"Списывальщики" оказались неспособными определить заражение системы, как и тот, у кого списали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×