Перейти к содержанию

Recommended Posts

ak_
Проверил: оба файла - малвара (ZBot), наш детект верен. Так что вариант - b :facepalm:

Тут я немного накосячил. Дело в том, что после запуска файлы 237 (17).exe и 237 (18).exe (Zботы) самоуничтожаются, дропая файл со случайным именем в директорию C:\Users\....\AppData\Roaming\... На скрине выше это файлы lyil.exe и ytoj.exe.

В тот раз они по какой-то причине самоуничтожились не полностью, оставив пустышки размером 0 байт. Их то я (не обратив внимания на размер) и запаковал для отправки в вирлаб Авиры. Естественно, что вредоносный код в этих файлах обнаружен не был.

Мы получили следующие файлы архива:ID файла Имя файла Объем (байты) Результат

26278790 237.zip 614.77 KB OK

Список файлов и результатов, содержавшихся в архивах, приведен ниже:ID файла Имя файла Объем (байты) Результат

26278791 237 (11).log 226 Byte CLEAN

26278792 237 (7).exe 71.02 KB CLEAN

26278793 237 (8).exe 62.5 KB MALWARE

26278794 lyil.exe 81.5 KB MALWARE

26278795 ytoj.exe 157.5 KB MALWARE

26286345 login_web.dat 67.79 KB FALSE POSITIVE

29538499 237 (11).exe 651.7 KB KNOWN CLEAN

4039214 237 (17).exe 0 Byte KNOWN CLEAN

4039214 237 (18).exe 0 Byte KNOWN CLEAN

А на Вирустотал я отправлял файлы ещё до их запуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Само файло - авторун от аддона к игре MSF X. :)

Ну естественно и смотрим на остальных "халявщиков" и делаем выводы об их уровне. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Само файло - авторун от аддона к игре MSF X. :)

Корявый он какой-то icon4.gif

Снимок_2011_10_17_21_23_25.png

post-4500-1318872280_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Dmitriy K, ну это да. Там все аддоны не особо "прямые". Но не суть. Суть в том - фалса. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
http://www.virustotal.com/file-scan/report...34a5-1318868059

Мы свой детект сняли TrojanDownloader.Banload.bfvp, вчера тот же Dr.Web не детектил, а сегодня уже детектит. Интересно они файл то смотрели или тупо детект "уперли" ?

Скорее всего, робот добавил "по доверию".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Скорее всего, робот добавил "по доверию".

Это теперь так называется "с&^издили" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Это теперь так называется "с&^издили" ? :)

"с&^издили" -- это если бы имя детекта было похожим. А так -- "и только Dr.Web!" © :P

P.S. Должны будут пофиксить.

UPD:VBA32 - fixed. Будет доступно с обновлением баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

http://www.virustotal.com/file-scan/report...c4fb-1321819043

Главпоставщик наименований детектов для их заимствования уже прислал уведомление об исправлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Парни, кто-нибудь может внятно объяснить что это и почему оно дает такой большой выхлоп ~ 55.8%

http://www.virustotal.com/file-scan/report...bbee-1323673381

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Кто-нибудь из Kaspersky будет реагировать? Похоже детекты копи-пастили у них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

rkhunter, т.е мы виноваты да? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Ну вы в данном случае задаете тон добавления какого-то мусора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Битый кусок трояна, исправлять смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

По этому же сэмплу могу сказать следующее.

Обнаружен он был в активном состоянии на одном ноутбуке. WinXP, SP2.

Висел в памяти в количестве около десятка экземпляров.

На диске в system32 лежал под разными именами в количестве около трёх десятков экземпляров.

В реестре в HKLM/Software/Microsoft/Windows/CurrentVersion/Run находился в количестве порядка 15 строчек, некоторые из которых ссылались на одинаковые файлы.

Плюс есть такой факт, что в вирусную лабораторию Dr.Web данный сэмпл отсылал не только я, т.е. более одного человека.

В итоге получается несостыковка с тем, что говорят вирусные аналитики и тем, что я видел данный сэмпл в _очень_ активном состоянии.

Т.е. я верю, что вирлабах это падает, и вообще мусор, но не стыкуется с тем, что я видел этот сэмпл вполне успешно работающим и тем, что отправлял его по вирлабам именно в таком виде не только я.

Кто что может сказать по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

С одного поля ягодки, но, тем не менее:

http://www.virustotal.com/file-scan/reanal...8624-1324230282

http://www.virustotal.com/file-scan/reanal...7ac9-1324230309

http://www.virustotal.com/file-scan/reanal...e3bd-1324230324

Из ЛК прислали уведомление об исправлении, Dr.Web и VBA32 -- исправление ожидается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Ссылка опять битая...

Ну это уже вошло в моду VT. То их DDoS'ят, то ссылки из базы данных теряются.

http://www.virustotal.com/file-scan/reanal...03b5-1325753343

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/30abff9c122...fd05e/analysis/

Не всё то трой, что китайское. В данном случае. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
https://www.virustotal.com/file/9b0a6005551...sis/1332093180/

не фолс как таковой, но иногда вредно, когда добавляет чей-то робот (Trojan.Win32.Vilsel), а остальные потом "списывают".

"Списывальщики" оказались неспособными определить заражение системы, как и тот, у кого списали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • financier
      Если ваши средства и информация хранятся в безопасности благодаря последним мерам безопасности, а высокие стандарты казино поддерживаются благодаря его лицензии и регулированию, то вы способны найти способ Как выиграть в казино на автоматах. Если слово казино звучит очаровательно для вас, посетите сегодня и убедитесь в этом сами.  
    • Karamelka
      Современные видео-слоты также имеют тематическую основу и могут включать видео и графику из известных фильмов, комиксов и сказок. Сами игровые автоматы играть без денег  довольно часто обновляются и включают ряд бонусных функций. 
    • Kamilla
      Кто знает можно ли починить блок питания для ноутбука Sony? или не стоит заморачиваться и лучше новый купить?
    • aleks87
      Топ онлайн казино 2019
      Форум казино http://igrokicasino.forum.cool

      Форум онлайн казино http://forum-cazino-online.ru
    • valera007
      Есть много компаний, которые занимаются таким делом, как демонтажные работы. Обращались в эту компанию https://demontir.ru/ как раз сейчас действует 30% скидка. Так что смотрите, читайте, решайте куда вам обращаться) 
×