Перейти к содержанию

Recommended Posts

Виталий Я.
Хм, и как-то ж без "сменных дятлов" (с) дело обходится.... :rolleyes: Мистика! ;)

А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А кто сказал, что без сменных дятлов? ;) Работают венгры в нормальном режиме. Ну, не 24 на 7, но 16 на 7 - вполне.

Кгм.... тут речь немного не об этом... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Ну их пишут же тоже в вирлабе. :)

Отличный детект:

Капец, еще бы просто писали: ВиРус!!! Иу! :lol:

Да, отличный детект. :D

File name:

download.txt

Kaspersky 7.0.0.125 2011.01.21 Email-Worm.Win32.Mimail.txt

Ещё бы написали "Very.Dangerous.TXT FILE.Baba32.МАША Я ТЕБЯ ЛУБЛУ!!1!1!1!!!.Gen."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Детект чиха тогда тоже фолс. :) Каспер технически не может работать на системах ниже XP, так что... :)

Ну ты сравнил детект чиха с текстовым файлом.... =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail, ну а в чем разница сегодня?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail, ну а в чем разница сегодня?

Никакой, за исключением того, что чих, хотя бы, -- исполняемый файл в отличие от простого текстового файла, который сам по себе безвредный при любой погоде. Но то дело лично каждого. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Да вы глупости говорите.

Этот детект был добавлен не просто так, а потому что кривой Мимайл, зачастую "забывал" себя аттачить к письмам, но письма при этом рассылал как из пулемета. Клиенты, которых очень достало выгребать тонны таких писем из ящиков - очень просили сделать на них детект, чтобы резать прямо на подлете. Что и было сделано. Само письмо и текст являются результатом деятельности червя = его пэйлоад = детект корректен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

В профиль картина немного иная, чем анфас...

http://www.virustotal.com/file-scan/report...efd1-1305015355

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Продолжим: http://www.virustotal.com/file-scan/report...1e26-1309950029

Дроппает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и почему это фалса ?

А ты видишь что-то вредоносное в открытии адобовской страницы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А ты видишь что-то вредоносное в открытии адобовской страницы?

Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Еще раз:

Дропает батник, который открывает испаноязычную страницу загрузки легитимного Adobe Flash Player.

Теперь попробуем так:

Дропает батник, который открывает страницу

Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

Троян-кликер, с натяжкой конечно, но все же. Это не говоря уже о том, что сам процесс банального открытия страницы, реализован абсолютно дебильно - дропать из себя файл, который куда-то лезет. Я бы задетектил и не парился даже.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если б он, при этом, что-то скрыто загружал... Т.к. ничего "левого" он не делает -- следовательно, срабатывание ложное.

С дебильностью реализации -- согласен, с необходимостью детекта -- нет, т.к. открываемая им страница -- родная адобовская. Если бы открывал какую-то "левизну" -- тогда другой разговор.

Открывает кто - батник ? на батник детект есть ?

Детект есть на дроппер. Вполне правильный детект. Дропать батники в наше время - моветон.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Открывает кто - батник ? на батник детект есть ?

Открывает - да, батник. На него нету (ещё б не хватало, если бы был...)

Детект есть на дроппер. Вполне правильный детект.
Дропать батники в наше время - моветон.

В большинстве случаев -- да, но не для данного конкретного случая.

P.S. Что мешает в тот же батник вписать загрузку файла, любого ?

Совершенно ничего не мешает. Тем не менее нужно смотреть, что именно качается и качается ли вообще (как в данном конкретном случае). А также является ли ресурс, к которому идёт обращение, в базе вредоносных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Zip архив Result: 26/42 (61.9%)

без архива Result: 30/43 (69.8%)

VBA32 & Dr.Web: fixed

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Хм, сегодня в 11:23(13:23 по Москве)заслал фолс в AVG по форме на сайте(робот ответил сразу, но то только робот...), слал ли кто еще я кнешно не знаю, но посмотреть на скорость реакции интересно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

Avira: исправлено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Quick Heal tool (to remove W32/Happy99 and other prominent worms/backdoors)

AVG исправили, но молча, затратив на это дело от ~24-29 часов.

hттp://wмw.virustotal.com/file-scan/report...df8c-1312913974

Баян правда, но доставляет.

Один в поле... Дон Кихот что-ли... :):):)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Два файла. С каждым днём они становятся всё "опасней":

1: 31.08.2011 - 11/44 он-же 01.09.2011 - 15/44

2: 31.08.2011 - 13/44 он-же 01.09.2011 - 15/44

1924754m.jpg

Вопрос: кто облажался?

Варианты ответов:

a. 11 15 вендоров, детектящих эти файлы;

b. Вирлаб Авиры, признав эти файлы чистыми;

c. Программисты MicroWorld Technologies.

Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) В uVS есть:  известные файлы. А если известный файл проявляет сетевую активность этому файлу не свойственную... т.е. это нужно обязательно учитывать. 2) Если сетевую активность проявляет файл с нестандартным расширением. 3) Файл на данный момент не проявляет сетевой активности... Но есть ли у него такая возможность в принципе ? по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )  
    • Momo
      На сколько я знаю, то по цене не очень то отличаются, даже там подороже будет. Это первое. И если телефон не б\у брать, а новый, то и у нас гарантия предоставляется, даже в интернет-магазинах. Я вот брал себе Iphone Xs https://gorbushka-market.ru/telefony/apple-iphone/iphone-xs/ и всё в норме. И телефон не китайская копия, а настоящий, и гарантия есть. Так что, не понимаю, зачем себе лишние проблемы создавать. 
    • Lavrans
      Не скажу, что я постоянный игрок,  но раз  в несколько месяцев могу сделать ставку,  особенно в период Олимпийских игр или футбольных  кубков. 
      Так вот,  у меня на телефоне есть такое приложение, https://otstavka.net/1xbet-app-android-ios/ через него обычное делаю ставки. А то искать рабочие зеркала или новых букмекеров нет времени никогда
    • wolfer
      Насмешили вы меня. Это почему нет смысла от такого сайта?) Всё зависит от конкретных специалистов, которые работают в агентстве. Видимо, вы обратились к каким-то шарлатанам, которые сделали вам бесполезный сайт и теперь судите по этим людям о всех рекламных агентствах. Потому что мы тоже обращались в агентство и результат у нас был строго противоположный. Это Agency Media Marketing: https://agencymediamarketing.com/ У них в портфолио разработка сайтов и реклама для очень известных брендов. Вряд ли бы такие акулы бизнеса стали сюда обращаться, если бы агентство было бесполезным))
    • Azbyka
      Пишите в профиль сумму вопроса. Обязательно воспользуюсь таким продвижением
×