Перейти к содержанию

Recommended Posts

K_Mikhail

Установщик безобидного flash.ocx: https://www.virustotal.com/file/14c1c7dead1...6523d/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
ak_

Автоматический ответ от Avira:

Файл 'AntiNimd.exe' отмечен как 'FALSE POSITIVE'. Это означает, что данный файл не опасен и это ложное срабатывание с нашей стороны. Образец распознавания не будет удален, так как файл не содержит зашифрованные образцы распознавания. Видимо, легитимная программа распознавания или удаления не зашифровала части, используемые для идентификации вредоносного содержания. Пожалуйста, свяжитесь с производителем данного файла.

Вопрос к производителям подобных утилит: почему нельзя зашифровать сигнатуру, чтобы избежать подобных срабатываний?

Ведь вроде бы детект логичен: есть сигнатура - есть детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Запись Trojan-Dropper.Win32.NSIS.tz, породившая волну детектов, в том числе, похоже, у тех, у кого есть своя классификация, но в роботах присутствует вердикт для добавления Trusted to KIS.

https://www.virustotal.com/file/252e19877e3...f395b/analysis/

https://www.virustotal.com/file/b41b97f01e4...sis/1340468665/

https://www.virustotal.com/file/d93ecb1859e...18df1/analysis/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Я знаю вендора которому было и есть до лампочки на что там фолсит Касперский каждую минуту. Так что бред пишете. :)

И скорее всего это не ложняк. :)

А у ЛК мания величия. :)

не ложное

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

2 AMX

А Dmitriy K и не писал, что это ложное. Он уведомил, что VB добавляет соответствующий детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
И скорее всего это не ложняк. :)

Ну, по двум из трёх приведенных файлов пришли резолвы от ЛК, что ложные срабатывания исправлены. :rolleyes: По третьему пока тихо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nexus
:facepalm:

И? Emsisoft не причем.

Спасибо Ikarus за их отстойный вирлаб, который нормально не может протестировать обновления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
И? Emsisoft не причем.

Спасибо Ikarus за их отстойный вирлаб, который нормально не может протестировать обновления.

Меня должно беспокоить, чей отстойный вирлаб не смог протестировать обновления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nexus
Меня должно беспокоить, чей отстойный вирлаб не смог протестировать обновления?

Конечно. Кругозор расширить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Эмисофт непричем, лооооол

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Интернет, конечно, не вырубит (avast!), раскладку клавиатуры не улучшит (dr.web) и explorer на Луну не отправит (kis), но, по количеству активных участников, вполне получается забавно :) :

https://www.virustotal.com/file/1154535130d...c9aa7/analysis/

На момент публикации было получено уведомление об исправлении фолса KL. Остальные покуда молчат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Многие эвристикой детектят. Чем им так этот файл не нравится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

смею предположить, что:

1. упаковка

2. функции InternetOpenA и ShellExecuteA

3. а также воровство детектов друг у друга...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
смею предположить, что:

1. упаковка

2. функции InternetOpenA и ShellExecuteA

3. а также воровство детектов друг у друга...

priv8v,

можно дополнить: "копирует себя в папку %Program Files%\WinA\WinA.exe, пытается получить прямой доступ к диску, прописывает WinA.exe в автозагрузке, после чего пытается зайти на _http://live.interballs.com/" ;)

unpacked: https://www.virustotal.com/file/c9005d35094...sis/1355340348/

Вот еще одна игрушка, которая делает аналогичные действия в системе:

https://www.virustotal.com/file/ea6050f155d...sis/1355341814/

unpacked: https://www.virustotal.com/file/e534c12d20a...sis/1355342040/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      Новый телефончик не желаете приобрести для супруги ? Сейчас ожидается "Чёрная пятница" у Самсунга и товары можно будет приобрести со скидкой аж до 90%. Правда не думаю, что такая скидка будет на последние модели. Но на них тоже обещают существенное понижение цены. Почитайте тут https://bfday.ru/brendy/chernaya-pyatnica-v-samsung/ когда она проводится и какие ещё привилегии можно получить за участие в "Чёрной пятнице". А ваша любимая останется довольна на 100%. 
    • Quinzy
      Соглашусь со многими, что у нас техника есть нормальная, да и можно всегда подешевле её купить. Особенно в дни "Чёрной пятницы". Сейчас в конце ноября-начале декабря многие такие распродажи делают. Вот даже про ДНС https://bfday.ru/magaziny/chernaya-pyatnica-v-dns/ почитайте, у них тоже скоро будут хорошие скидки. 
    • soty20
      С Госсектором сейчас всё в порядке. Оборудование ставится российское, с образованием, вроде как, тоже всё  в норме. С ПО полная жопа) отечественный софт...даже не знаю, что должно случиться, чтобы на него перешли в определенных органах
    • Zubashiny
      Empire Market is fine and most trendy Dark Network Marketplace at the time. Being this big it faces the problem of endless Ddos attacks causes primary Empire Market URL to be down, and alternative mirror too. That means that empire market need to create a lot of URLs and onion links and mirror. And the thing is that there are not many ways users can find a right Empire Marketplace mirror.
      So that's why Empire Marketplace decided to create a special webpage where their users can always find fresh URLs and onion mirrors, for quick enter to Empire Market. Here it is http://empiremarket-link.com make sure you using whenever you you have to login to darknet market empire market.
       
    • Quinzy
      Ну конечно, проигрывая деньги на ставках, ты конечно заработаешь себе на бизнес, ага. Не обязательно на обычной работе собирать деньги, чтобы вложиться в бизнес. Я даже скажу, что никакой бизнесмен так не делал. Все идёт через кредиты. И, кстати, игровой бизнес очень выгодный, когда ты сам ведешь казино или букмекерскую контору. Я вот подобным и пробую сейчас заниматься. Пока доделывают сайт, уже купил ПО с игровыми автоматами champion club casino https://sharks-soft.com/champion-club-casino/ , взял кредит, чтобы на развитие этого всего. Надеюсь быстро всё на игроманах окупится. 
×