Фабрика epic falses - Страница 6 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

alamor

Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

alamor

Отсылали через Личный кабинет? В любом случае, сообщите, пожалуйста, номер запроса (имеет вид KLAN-XXXXXXXXX), передам "кому нужно" чтобы разобрались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Отсылали через Личный кабинет?

через личный кабинет тоже, но разве это должно влиять на добавление вирусов в базу ? Ответы робота с номером Klan я похоже удалил, но ведь файлы можно найти и по MD5. Если нужно могу ещё отправить архив с этими файлами вам в личку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

alamor

Да, пришлите, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб

Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

2) Неужели вы думаете, что я это сам модернизировал и в живой природе он не существует ? Вирус с пользовательской машины ... если он туда попал, то наверняка заразил ещё N-кол-во машин пользователей.

3) Понятно, что у лицензионных юзеров приоритет выше, но вам не кажется что неделя на обработку это ооооооооочень долго ?! Надо было подождать подольше и был шанс, что позже детект всё-таки добавили бы ?

ЗЫ. хорошо, что вирлаб зелёного доктора считает по другому, машина вылечена их лайвом. На данный момент у меня от вируса остался только запароленный архив с теми файлами, которые отсылал в вирлаб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Скорость работы вирлаба касперского порой просто поражает, файлы заражённые файловым вирусом были разосланы в вирлабы неделю назад, а ниже результат проверки на сегодня. Доктор web надо честно сказать очень оперативно добавил детект и сообщил об этом, хотя ему файлы были отправлены только по почте.

https://www.virustotal.com/file/c249e8266c8...sis/1359128687/

https://www.virustotal.com/file/cdfa24bc5dc...sis/1359128792/

https://www.virustotal.com/file/b2ffdc39cf0...sis/1359128851/

Детект и лечение добавили вчера - Virus.Win32.Expiro.an

Через личный кабинет ни один из этих файлов не отправлялся на newvirus.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Детект и лечение добавили вчера - Virus.Win32.Expiro.an

оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
оперативно ... файлы посланы в вирлаб 18-го числа детект добавляют 28-го и меня терзают смутные сомнения, что если бы я не отписался в этой теме детект так и добавили бы.

Детект добавили бы рано или поздно, но Ваше письмо не получило должного приоритета по множеству причин, в частности потому, что не было отправлено из личного кабинета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Ваш ответ меня прямо ошарашил.

1) Получается добавлять детект на вирусы не надо, если малое кол-во пользователей прислали образцы в вирлаб ? Тоесть пока не пришлёт этот образец сотня юзеров детект добавлять не нужно.

В сообщении priv8v речь шла не о детекте, а о лечении. Кроме того, обратите внимание на то, что он пишет:

"А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам..."

Парализованный вирлаб - неэффективный вирлаб. Не исключаю (по крайней мере теоретически), что таким методом выведения из строя вирусной лаборатории могут пользоваться вполне осознано. Другой вопрос - добьются ли успеха? Вряд ли, если в вирлабе работают вменяемые люди и используется автоматизация процессов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
alamor, не надо аналитиков пинать, они люди подневольные - стоит цель разбирать присылаемые семплы и тут две задачи:

1. зловред нужно добавить

2. фолс нужно удалить

..и сделать это нужно качественно и быстро.

А тратить полдня на написание лечения имеет смысл хоть при какой то хоть распространенности вируса. Если бы это было иначе, то один хакер мог бы задосить целый вирлаб - посылал бы зараженные файлы, каждый раз чуть переделывая заражение и все ресурсы вирлаба ушли бы на написание лечилок к его файлам...

А то, что у файлов, присылаемых от лицензионных пользователей приоритет над остальными это тоже понятно...

Поправьте меня кто в теме если я что неверно написал...

А вот пару лет назад ругали Symantec за такой вот подход к детектам. :)

Ну, хорошо хоть то, что сейчас уже его(подход) считают нормальным.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/d99c8628...sis/1361274101/

очередной фейл ЛК ?

[KLAN-646842357] No malicious code was found in this file.

Вердикт зелёного доктора: Trojan.Click2.44808

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

через двадцать минут после того как написал здесь, сообщение пришло на почту

Здравствуйте,

453948d94462e9c0a9962532d4491136 - Trojan-Clicker.Win32.Agent.aacw

Детектирование файла будет добавлено в следующее обновление.

С уважением,

Юрий Паршин,

Ведущий вирусный аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Зловредный батник упакованный в SFX архив с помощью 7-z:

https://www.virustotal.com/ru/file/b2069122...sis/1366196946/

Показатель выявления: 24 / 46

тот же батник, но перепакованный в SFX архив с помощью WinRar:

https://www.virustotal.com/ru/file/8a45d55a...sis/1366198990/

Показатель выявления: 6 / 46

Оригинальный батник, но сохранён в кодировке ANSI:

https://www.virustotal.com/ru/file/b0ae1f29...sis/1366199625/

Показатель выявления: 3 / 46

Оригинал батника, без каких либо изменений:

https://www.virustotal.com/ru/file/e782ec5e...sis/1366199718/

Показатель выявления: 5 / 46

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
treme

гггггг

"бесплатный секонд-хенд антивирус...(читай "антивирус от нищебродов") прибил винду, и нечего тут обсуждать".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr.Belyash

А как же супер технология сертифицированая?

Совсем ведь недавно была сладкая новость.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А как же супер технология сертифицированая?

Так она и работает. Это проблема актуальна только для WKS 6.0. А в релизе уже 8.0 и 10.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
Так она и работает.

Фолсов на системные файлы больше не будет никогда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Фолсов на системные файлы больше не будет никогда?

В текущих версиях этого фолса не было, вернее он не проявлялся. Система предотвращения работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Жестокая ирония судьбы. И ведь как на зло по корпоративу. Бог бы с ним, если бы хомячков завалили, но корпоратив нельзя ... не простят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Пока я не встретил пострадавших среди знакомых. Это же только для связки WKS 6.0 на Win7 x86.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
    • PR55.RP55
      Год от года фактически постоянно можно наблюдать ... такого рода записи C:\ProgramData\Google\Chrome\updater.exe PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE APPDATA\LOCAL\360EXTREMEBROWSER\CHROME C:\ProgramData\Google\Chrome\helper.exe Предлагаю все записи где фигурирует Chrome - добавить  к Категории: Chromium-based Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.  
×