Перейти к содержанию

Recommended Posts

ak_
Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Тут я немного накосячил. Дело в том, что после запуска файлы 237 (17).exe и 237 (18).exe (Zботы) самоуничтожаются, дропая файл со случайным именем в директорию C:\Users\....\AppData\Roaming\... На скрине выше это файлы lyil.exe и ytoj.exe.

В тот раз они по какой-то причине самоуничтожились не полностью, оставив пустышки размером 0 байт. Их то я (не обратив внимания на размер) и запаковал для отправки в вирлаб Авиры. Естественно, что вредоносный код в этих файлах обнаружен не был.

Мы получили следующие файлы архива:ID файла Имя файла Объем (байты) Результат

26278790 237.zip 614.77 KB OK

Список файлов и результатов, содержавшихся в архивах, приведен ниже:ID файла Имя файла Объем (байты) Результат

26278791 237 (11).log 226 Byte CLEAN

26278792 237 (7).exe 71.02 KB CLEAN

26278793 237 (8).exe 62.5 KB MALWARE

26278794 lyil.exe 81.5 KB MALWARE

26278795 ytoj.exe 157.5 KB MALWARE

26286345 login_web.dat 67.79 KB FALSE POSITIVE

29538499 237 (11).exe 651.7 KB KNOWN CLEAN

4039214 237 (17).exe 0 Byte KNOWN CLEAN

4039214 237 (18).exe 0 Byte KNOWN CLEAN

А на Вирустотал я отправлял файлы ещё до их запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Само файло - авторун от аддона к игре MSF X. :)

Ну естественно и смотрим на остальных "халявщиков" и делаем выводы об их уровне. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Само файло - авторун от аддона к игре MSF X. :)

Корявый он какой-то icon4.gif

Снимок_2011_10_17_21_23_25.png

post-4500-1318872280_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Dmitriy K, ну это да. Там все аддоны не особо "прямые". Но не суть. Суть в том - фалса. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Скорее всего, робот добавил "по доверию".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Скорее всего, робот добавил "по доверию".

Это теперь так называется "с&^издили" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это теперь так называется "с&^издили" ? :)

"с&^издили" -- это если бы имя детекта было похожим. А так -- "и только Dr.Web!" © :P

P.S. Должны будут пофиксить.

UPD:VBA32 - fixed. Будет доступно с обновлением баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

http://www.virustotal.com/file-scan/report...c4fb-1321819043

Главпоставщик наименований детектов для их заимствования уже прислал уведомление об исправлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Парни, кто-нибудь может внятно объяснить что это и почему оно дает такой большой выхлоп ~ 55.8%

http://www.virustotal.com/file-scan/report...bbee-1323673381

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь из Kaspersky будет реагировать? Похоже детекты копи-пастили у них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

rkhunter, т.е мы виноваты да? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ну вы в данном случае задаете тон добавления какого-то мусора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Битый кусок трояна, исправлять смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

По этому же сэмплу могу сказать следующее.

Обнаружен он был в активном состоянии на одном ноутбуке. WinXP, SP2.

Висел в памяти в количестве около десятка экземпляров.

На диске в system32 лежал под разными именами в количестве около трёх десятков экземпляров.

В реестре в HKLM/Software/Microsoft/Windows/CurrentVersion/Run находился в количестве порядка 15 строчек, некоторые из которых ссылались на одинаковые файлы.

Плюс есть такой факт, что в вирусную лабораторию Dr.Web данный сэмпл отсылал не только я, т.е. более одного человека.

В итоге получается несостыковка с тем, что говорят вирусные аналитики и тем, что я видел данный сэмпл в _очень_ активном состоянии.

Т.е. я верю, что вирлабах это падает, и вообще мусор, но не стыкуется с тем, что я видел этот сэмпл вполне успешно работающим и тем, что отправлял его по вирлабам именно в таком виде не только я.

Кто что может сказать по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

С одного поля ягодки, но, тем не менее:

http://www.virustotal.com/file-scan/reanal...8624-1324230282

http://www.virustotal.com/file-scan/reanal...7ac9-1324230309

http://www.virustotal.com/file-scan/reanal...e3bd-1324230324

Из ЛК прислали уведомление об исправлении, Dr.Web и VBA32 -- исправление ожидается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ссылка опять битая...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Ссылка опять битая...

Ну это уже вошло в моду VT. То их DDoS'ят, то ссылки из базы данных теряются.

http://www.virustotal.com/file-scan/reanal...03b5-1325753343

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/30abff9c122...fd05e/analysis/

Не всё то трой, что китайское. В данном случае. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

"Списывальщики" оказались неспособными определить заражение системы, как и тот, у кого списали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×