Перейти к содержанию
K_Mikhail

Фабрика epic falses

Автор K_Mikhail, в Современные угрозы и защита от них

Recommended Posts

alamor    69

alamor
Опубликовано

Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

MiStr    5

MiStr
Опубликовано

alamor

Отсылали через Личный кабинет? В любом случае, сообщите, пожалуйста, номер запроса (имеет вид KLAN-XXXXXXXXX), передам "кому нужно" чтобы разобрались.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
Отсылали через Личный кабинет?

через личный кабинет тоже, но разве это должно влиять на добавление вирусов в базу ? Ответы робота с номером Klan я похоже удалил, но ведь файлы можно найти и по MD5. Если нужно могу ещё отправить архив с этими файлами вам в личку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

MiStr    5

MiStr
Опубликовано

alamor

Да, пришлите, пожалуйста.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб

Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

2) Неужели вы думаете, что я это сам модернизировал и в живой природе он не существует ? Вирус с пользовательской машины ... если он туда попал, то наверняка заразил ещё N-кол-во машин пользователей.

3) Понятно, что у лицензионных юзеров приоритет выше, но вам не кажется что неделя на обработку это ооооооооочень долго ?! Надо было подождать подольше и был шанс, что позже детект всё-таки добавили бы ?

ЗЫ. хорошо, что вирлаб зелёного доктора считает по другому, машина вылечена их лайвом. На данный момент у меня от вируса остался только запароленный архив с теми файлами, которые отсылал в вирлаб.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Юрий Паршин    330

Юрий Паршин
Опубликовано
Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Детект и лечение добавили вчера - Virus.Win32.Expiro.an

Через личный кабинет ни один из этих файлов не отправлялся на newvirus.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано
Детект и лечение добавили вчера - Virus.Win32.Expiro.an

оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Юрий Паршин    330

Юрий Паршин
Опубликовано
оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Детект добавили бы рано или поздно, но Ваше письмо не получило должного приоритета по множеству причин, в частности потому, что не было отправлено из личного кабинета.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Mr. Justice    771

Mr. Justice
Опубликовано
Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

В сообщении priv8v речь шла не о детекте, а о лечении. Кроме того, обратите внимание на то, что он пишет:

"А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам..."

Парализованный вирлаб - неэффективный вирлаб. Не исключаю (по крайней мере теоретически), что таким методом выведения из строя вирусной лаборатории могут пользоваться вполне осознано. Другой вопрос - добьются ли успеха? Вряд ли, если в вирлабе работают вменяемые люди и используется автоматизация процессов.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Z.E.A.    190

Z.E.A.
Опубликовано
alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

А вот пару лет назад ругали Symantec за такой вот подход к детектам. :)

Ну, хорошо хоть то, что сейчас уже его(подход) считают нормальным.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано

https://www.virustotal.com/ru/file/d99c8628...sis/1361274101/

очередной фейл ЛК ?

[KLAN-646842357] No malicious code was found in this file.

Вердикт зелёного доктора: Trojan.Click2.44808

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано

через двадцать минут после того как написал здесь, сообщение пришло на почту

Здравствуйте,

453948d94462e9c0a9962532d4491136 - Trojan-Clicker.Win32.Agent.aacw

Детектирование файла будет добавлено в следующее обновление.

С уважением,

Юрий Паршин,

Ведущий вирусный аналитик.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано

Зловредный батник упакованный в SFX архив с помощью 7-z:

https://www.virustotal.com/ru/file/b2069122...sis/1366196946/

Показатель выявления: 24 / 46

тот же батник, но перепакованный в SFX архив с помощью WinRar:

https://www.virustotal.com/ru/file/8a45d55a...sis/1366198990/

Показатель выявления: 6 / 46

Оригинальный батник, но сохранён в кодировке ANSI:

https://www.virustotal.com/ru/file/b0ae1f29...sis/1366199625/

Показатель выявления: 3 / 46

Оригинал батника, без каких либо изменений:

https://www.virustotal.com/ru/file/e782ec5e...sis/1366199718/

Показатель выявления: 5 / 46

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано

https://www.virustotal.com/ru/file/a1e0def9...503ee/analysis/ (http://whitelisting.kaspersky.com/advisor#search/d945172c37107dedf39b00113c23a743)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано

гггггг

"бесплатный секонд-хенд антивирус...(читай "антивирус от нищебродов") прибил винду, и нечего тут обсуждать".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Mr.Belyash    70

Mr.Belyash
Опубликовано

А как же супер технология сертифицированая?

Совсем ведь недавно была сладкая новость.

:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
А как же супер технология сертифицированая?

Так она и работает. Это проблема актуальна только для WKS 6.0. А в релизе уже 8.0 и 10.0.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

treme    41

treme
Опубликовано
Так она и работает.

Фолсов на системные файлы больше не будет никогда?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

OlegAndr    236

OlegAndr
Опубликовано
Фолсов на системные файлы больше не будет никогда?

В текущих версиях этого фолса не было, вернее он не проявлялся. Система предотвращения работает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1537

Сергей Ильин
Опубликовано

Жестокая ирония судьбы. И ведь как на зло по корпоративу. Бог бы с ним, если бы хомячков завалили, но корпоратив нельзя ... не простят.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Пока я не встретил пострадавших среди знакомых. Это же только для связки WKS 6.0 на Win7 x86.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них
×