Перейти к содержанию

Recommended Posts

K_Mikhail

Случайно столкнулся с тем, что стал детектироваться файл 10-летней давности из патча Memory Interleave Enabler for VIA Chipsets (2001 год).

E:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\readme.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_9X.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_NT.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\technote.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venabl9x.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.sys : infected TrojanPSW.OnLineGames.sbhfE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.vxd : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venablNT.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\ : ok

Описание:

Memory Interleave Enablerfor VIA ChipsetsQuestions and AnswersCopyright © 2001, George E. Breese. All Rights Reserved.Version 0.12 4/2/01

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

Предлагаю в этой теме публиковать случаи таких epic falses, дабы те, кому нужно, могли их исправить.

Представителей двух вендоров (VBA32 и KL), которые оказались онлайн в столь поздний час, я оповестил.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

этот файл можно без проблем найти в сети :)

гугль/яндекс в помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
VENABLER.sys

...

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

VirusBuster поправил базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Зарепортил.

В среду будет результат. К сожалению, они в течении двух рабочих дней с момента отправки снимают фолсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

VBA и Kaspersky один вердикт - кража сигнатуры/названия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

ИМХО, сотрудничество.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Файл delp.exe из пакета FreePascal 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

для Симантека ИМХО должон быть показан лишь пакет. Скажем так - рекламируемая всемирная система мониторинга все это должна делать сама

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

По идее, таким файлам самое место было в разделе "Анализа", но я его в упор не вижу... Пока отправил в Вам личку.

https://submit.symantec.com/false_positive/standard/ -- система, вроде, позволяет указать MD5\SHA256. Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Ну, выйдет же рано или поздно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
"Анализа", но я его в упор не вижу...

Это скрытый от "простых смертных" раздел?

Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Ну, выйдет же рано или поздно...

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

З.Ы. Отправил запрос на исправление фолса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Frigate 3 Lite v3.27.1.54 - старый

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

импульсные обновления нортона предназначены для другого? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это скрытый от "простых смертных" раздел?

У меня на него точно права были, но и я его перестал видеть. Скрыли его от всех глаз. :)

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Добро.

импульсные обновления нортона предназначены для другого? :rolleyes:

Давайте не будем сливать тему в /dev/null, плз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если уже можно и не сложно, то поправьте первое сообщение - из тега кода удалите те гигантские листинги текста частично или полностью....

А то у меня покет лагать жутко начинает... (

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

http://www.virustotal.com/file-scan/report...41a5-1303212249

Детект сняли, но "Инсайт Сканирование" всё равно жалуется на плохую репутацию и сносит с уже другим вердиктом. Хоть не так критично.

По второму файлу пока ничего.

импульсные обновления нортона предназначены для другого? rolleyes.gif

Для другого. В интернете куча информации, на симантекклубе или ещё где.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

UPD: Фолс снят и со второго файла.

Мда... это не добавление новых зловредов в базы.

Тут хотя бы побыстрее работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :) Как-то даже не верится по вердиктам VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :)

Точно.

Как-то даже не верится по вердиктам VT.

Просто у добавляющих роботов есть такая штука, которую я бы назвал как "добавление по доверию". И, судя по часто встречаемому суффиксу .dzhk, доверие основано на вердикте вполне определённого производителя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

UPD: Frigate3Lite.exe

Уже немного лучше: Avast, Symantec, VBA32, VirusBuster исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×