Перейти к содержанию

Recommended Posts

Виталий Я.
Хм, и как-то ж без "сменных дятлов" (с) дело обходится.... :rolleyes: Мистика! ;)

А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Кгм.... тут речь немного не об этом... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Ну их пишут же тоже в вирлабе. :)

Отличный детект:

Капец, еще бы просто писали: ВиРус!!! Иу! :lol:

Да, отличный детект. :D

File name:

download.txt

Kaspersky 7.0.0.125 2011.01.21 Email-Worm.Win32.Mimail.txt

Ещё бы написали "Very.Dangerous.TXT FILE.Baba32.МАША Я ТЕБЯ ЛУБЛУ!!1!1!1!!!.Gen."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Ну ты сравнил детект чиха с текстовым файлом.... =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail, ну а в чем разница сегодня?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, ну а в чем разница сегодня?

Никакой, за исключением того, что чих, хотя бы, -- исполняемый файл в отличие от простого текстового файла, который сам по себе безвредный при любой погоде. Но то дело лично каждого. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Да вы глупости говорите.

Этот детект был добавлен не просто так, а потому что кривой Мимайл, зачастую "забывал" себя аттачить к письмам, но письма при этом рассылал как из пулемета. Клиенты, которых очень достало выгребать тонны таких писем из ящиков - очень просили сделать на них детект, чтобы резать прямо на подлете. Что и было сделано. Само письмо и текст являются результатом деятельности червя = его пэйлоад = детект корректен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

В профиль картина немного иная, чем анфас...

http://www.virustotal.com/file-scan/report...efd1-1305015355

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Продолжим: http://www.virustotal.com/file-scan/report...1e26-1309950029

Дроппает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

и почему это фалса ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и почему это фалса ?

А ты видишь что-то вредоносное в открытии адобовской страницы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А ты видишь что-то вредоносное в открытии адобовской страницы?

Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Открывает кто - батник ? на батник детект есть ?

Детект есть на дроппер. Вполне правильный детект. Дропать батники в наше время - моветон.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Открывает кто - батник ? на батник детект есть ?

Открывает - да, батник. На него нету (ещё б не хватало, если бы был...)

Детект есть на дроппер. Вполне правильный детект.
Дропать батники в наше время - моветон.

В большинстве случаев -- да, но не для данного конкретного случая.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Совершенно ничего не мешает. Тем не менее нужно смотреть, что именно качается и качается ли вообще (как в данном конкретном случае). А также является ли ресурс, к которому идёт обращение, в базе вредоносных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Zip архив Result: 26/42 (61.9%)

без архива Result: 30/43 (69.8%)

VBA32 & Dr.Web: fixed

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Symantec: исправлено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Хм, сегодня в 11:23(13:23 по Москве)заслал фолс в AVG по форме на сайте(робот ответил сразу, но то только робот...), слал ли кто еще я кнешно не знаю, но посмотреть на скорость реакции интересно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Avira: исправлено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

AVG исправили, но молча, затратив на это дело от ~24-29 часов.

hттp://wмw.virustotal.com/file-scan/report...df8c-1312913974

Баян правда, но доставляет.

Один в поле... Дон Кихот что-ли... :):):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×