Перейти к содержанию

Recommended Posts

alamor

Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

alamor

Отсылали через Личный кабинет? В любом случае, сообщите, пожалуйста, номер запроса (имеет вид KLAN-XXXXXXXXX), передам "кому нужно" чтобы разобрались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Отсылали через Личный кабинет?

через личный кабинет тоже, но разве это должно влиять на добавление вирусов в базу ? Ответы робота с номером Klan я похоже удалил, но ведь файлы можно найти и по MD5. Если нужно могу ещё отправить архив с этими файлами вам в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

alamor

Да, пришлите, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб

Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

2) Неужели вы думаете, что я это сам модернизировал и в живой природе он не существует ? Вирус с пользовательской машины ... если он туда попал, то наверняка заразил ещё N-кол-во машин пользователей.

3) Понятно, что у лицензионных юзеров приоритет выше, но вам не кажется что неделя на обработку это ооооооооочень долго ?! Надо было подождать подольше и был шанс, что позже детект всё-таки добавили бы ?

ЗЫ. хорошо, что вирлаб зелёного доктора считает по другому, машина вылечена их лайвом. На данный момент у меня от вируса остался только запароленный архив с теми файлами, которые отсылал в вирлаб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Детект и лечение добавили вчера - Virus.Win32.Expiro.an

Через личный кабинет ни один из этих файлов не отправлялся на newvirus.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Детект и лечение добавили вчера - Virus.Win32.Expiro.an

оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Детект добавили бы рано или поздно, но Ваше письмо не получило должного приоритета по множеству причин, в частности потому, что не было отправлено из личного кабинета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

В сообщении priv8v речь шла не о детекте, а о лечении. Кроме того, обратите внимание на то, что он пишет:

"А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам..."

Парализованный вирлаб - неэффективный вирлаб. Не исключаю (по крайней мере теоретически), что таким методом выведения из строя вирусной лаборатории могут пользоваться вполне осознано. Другой вопрос - добьются ли успеха? Вряд ли, если в вирлабе работают вменяемые люди и используется автоматизация процессов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

А вот пару лет назад ругали Symantec за такой вот подход к детектам. :)

Ну, хорошо хоть то, что сейчас уже его(подход) считают нормальным.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/d99c8628...sis/1361274101/

очередной фейл ЛК ?

[KLAN-646842357] No malicious code was found in this file.

Вердикт зелёного доктора: Trojan.Click2.44808

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

через двадцать минут после того как написал здесь, сообщение пришло на почту

Здравствуйте,

453948d94462e9c0a9962532d4491136 - Trojan-Clicker.Win32.Agent.aacw

Детектирование файла будет добавлено в следующее обновление.

С уважением,

Юрий Паршин,

Ведущий вирусный аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Зловредный батник упакованный в SFX архив с помощью 7-z:

https://www.virustotal.com/ru/file/b2069122...sis/1366196946/

Показатель выявления: 24 / 46

тот же батник, но перепакованный в SFX архив с помощью WinRar:

https://www.virustotal.com/ru/file/8a45d55a...sis/1366198990/

Показатель выявления: 6 / 46

Оригинальный батник, но сохранён в кодировке ANSI:

https://www.virustotal.com/ru/file/b0ae1f29...sis/1366199625/

Показатель выявления: 3 / 46

Оригинал батника, без каких либо изменений:

https://www.virustotal.com/ru/file/e782ec5e...sis/1366199718/

Показатель выявления: 5 / 46

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
treme

гггггг

"бесплатный секонд-хенд антивирус...(читай "антивирус от нищебродов") прибил винду, и нечего тут обсуждать".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

А как же супер технология сертифицированая?

Совсем ведь недавно была сладкая новость.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А как же супер технология сертифицированая?

Так она и работает. Это проблема актуальна только для WKS 6.0. А в релизе уже 8.0 и 10.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Так она и работает.

Фолсов на системные файлы больше не будет никогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Фолсов на системные файлы больше не будет никогда?

В текущих версиях этого фолса не было, вернее он не проявлялся. Система предотвращения работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Жестокая ирония судьбы. И ведь как на зло по корпоративу. Бог бы с ним, если бы хомячков завалили, но корпоратив нельзя ... не простят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Пока я не встретил пострадавших среди знакомых. Это же только для связки WKS 6.0 на Win7 x86.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×