Перейти к содержанию

Recommended Posts

K_Mikhail

Случайно столкнулся с тем, что стал детектироваться файл 10-летней давности из патча Memory Interleave Enabler for VIA Chipsets (2001 год).

E:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\readme.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_9X.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\SETUP_NT.bat : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\technote.htm : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venabl9x.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.sys : infected TrojanPSW.OnLineGames.sbhfE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\VENABLER.vxd : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\venablNT.inf : okE:\INSTALL\ViaHardware\MemoryEnable.zip:<ZIP>\zip\ : ok

Описание:

Memory Interleave Enablerfor VIA ChipsetsQuestions and AnswersCopyright © 2001, George E. Breese. All Rights Reserved.Version 0.12 4/2/01

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

Предлагаю в этой теме публиковать случаи таких epic falses, дабы те, кому нужно, могли их исправить.

Представителей двух вендоров (VBA32 и KL), которые оказались онлайн в столь поздний час, я оповестил.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

этот файл можно без проблем найти в сети :)

гугль/яндекс в помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
VENABLER.sys

...

VT сообщил, что впервые увидел сей файл в 2009 году (Date first seen: 2009-08-17 18:47:37 (UTC)), в 2010 всё стало улучшаться, а в 2011 году всё стало совсем шикарно.

VirusBuster поправил базы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Зарепортил.

В среду будет результат. К сожалению, они в течении двух рабочих дней с момента отправки снимают фолсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

VBA и Kaspersky один вердикт - кража сигнатуры/названия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

ИМХО, сотрудничество.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Файл delp.exe из пакета FreePascal 2.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

для Симантека ИМХО должон быть показан лишь пакет. Скажем так - рекламируемая всемирная система мониторинга все это должна делать сама

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, а нельзя ли прикладывать файлы сюда, дабы не искать его гуглом?

По идее, таким файлам самое место было в разделе "Анализа", но я его в упор не вижу... Пока отправил в Вам личку.

https://submit.symantec.com/false_positive/standard/ -- система, вроде, позволяет указать MD5\SHA256. Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Первый фолс Симантековцы обещали исправить три часа назад с обновлениями. Пока не исправили.

Ну, выйдет же рано или поздно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
"Анализа", но я его в упор не вижу...

Это скрытый от "простых смертных" раздел?

Или такой информации недостаточно для того, чтобы система заданный объект нашла и обработала?

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Ну, выйдет же рано или поздно...

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

З.Ы. Отправил запрос на исправление фолса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Frigate 3 Lite v3.27.1.54 - старый

Обновление Лайв Апдейт выходит раз в 6 или 8 часов как правило. Поэтому проще уже будет завтра проверить.

импульсные обновления нортона предназначены для другого? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это скрытый от "простых смертных" раздел?

У меня на него точно права были, но и я его перестал видеть. Скрыли его от всех глаз. :)

Вполне достаточно. Но такая фича прокатит только со старыми файлами, несколько летней давности, ибо вряд ли их уже кто-то будет пересобирать.

А вот с файлами поновее, лучше уже и прикреплять ссылку на какой-нибудь ФО с файлом, дабы они могли его скачать.

Добро.

импульсные обновления нортона предназначены для другого? :rolleyes:

Давайте не будем сливать тему в /dev/null, плз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если уже можно и не сложно, то поправьте первое сообщение - из тега кода удалите те гигантские листинги текста частично или полностью....

А то у меня покет лагать жутко начинает... (

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

http://www.virustotal.com/file-scan/report...41a5-1303212249

Детект сняли, но "Инсайт Сканирование" всё равно жалуется на плохую репутацию и сносит с уже другим вердиктом. Хоть не так критично.

По второму файлу пока ничего.

импульсные обновления нортона предназначены для другого? rolleyes.gif

Для другого. В интернете куча информации, на симантекклубе или ещё где.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

UPD: Фолс снят и со второго файла.

Мда... это не добавление новых зловредов в базы.

Тут хотя бы побыстрее работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Исполняемый файл файлового менеджера Frigate 3 Lite v3.27.1.54.

Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :) Как-то даже не верится по вердиктам VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Красиво. Кто-то, например Symantec, McAfee, Trend Micro и Avast сфолсили эвристикой, а кто-то сигнатурку наложил.

А это точно чистый файл кстати? :)

Точно.

Как-то даже не верится по вердиктам VT.

Просто у добавляющих роботов есть такая штука, которую я бы назвал как "добавление по доверию". И, судя по часто встречаемому суффиксу .dzhk, доверие основано на вердикте вполне определённого производителя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

UPD: Frigate3Lite.exe

Уже немного лучше: Avast, Symantec, VBA32, VirusBuster исправили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      проверил, работает, но стоит помнить что кэш используется только при массовой проверке и только для файлов не получивших статус проверенного ранее.
      для проверки отдельного файла кэш не используется по очевидным причинам.
    • PR55.RP55
      Определять время применения GPO Определять время применения GPO - с привязкой к событию. ( например запуск... скрипта ) Писать в Инфо.
    • PR55.RP55
      Настройка vtCacheDays= не работает. ( залез, а в папке сотни файлов  ) пробовал менять настройки\даты - не работает.  
    • demkd
      ---------------------------------------------------------
       4.12.3
      ---------------------------------------------------------
       o Добавлено несколько новых ключей автозапуска.  o Добавлен новый флаг запуска "Проверять весь HKCR".
         Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
         Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
         Если флаг установлен:
          o Твик #37 не исправит все проблемные пути в реестре
          o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.  o Улучшена функция парсинга командной строки.  o Исправлена функция восстановления реестра для неактивной системы.
         Добавлено удаление старых логов реестра, они могли препятствовать загрузке хайвов после оффлайн восстановления реестра.
         Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.
          o Автозагрузка службы ABR теперь работает в отложенном режиме для устранение возможного сбоя загрузки пользовательского хайва реестра.
          o Добавлен модуль defrag для дефрагментации и устранения ошибок в сохраненной копии реестра.  o В окно информации о задаче добавлены даты создания и последнего запуска.  o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).  o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.  o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).  o Исправлена ошибка которая могла привести к переполнению буфера.  
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.24.
×