Перейти к содержанию

Recommended Posts

Alex_Goodwin

kasper-achtung-4.png

kasper-achtung-5.png

на лепре есть пострадавшие, +

Читал боржуйский форум каспера, там после 25 октября у одного клиента 400 over PC полегло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересным образом вердикты разделились почти пополам. Верхняя часть таблицы - ЗА, нижняя - ПРОТИВ :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так этор VT теперь сверху показывает детекты, а потом не-детекты. Сортирует теперь так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так этор VT теперь сверху показывает детекты, а потом не-детекты. Сортирует теперь так.

Так там и по количеству тоже почти пополам поделились вердикты - 27 фолсов из 50.

Symantec WS.Reputation.1 - это их "облачный" вердикт?

Заметьте, по этому кейсу не скажешь, что Аваст ворует у ЛК вендикты :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Symantec WS.Reputation.1 - это их "облачный" вердикт?

Вроде это у них значит "мы не знаем, что это, но оно точно не значится у нас как good".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

вообще, все похитрее, чем просто сравнение имен на вт. Вот возможные сценарии:

1. вендор Х сканит файлы каспером, и кладет на них детекты исходя из мнения каспера, только имена сам придумывает + замена по семействам популярным, например ldpinch ренамит в pswsteal.

2. вендор Y имеет мощный вирлаб и умных автодятлов. В итоге на некоем этапе обработки автомат решает, что перед ним новая малварь. Тут вариантов основных три:

- поискать похожести

- назвать исходя из особенностей поведения или определенных статических характеристик

- посмотреть как сообщество реагирует на файл, если пара норм аверов признали в файле некое популярное семейство, то называем также.

Думаю видно, что по вт можно перепутать, кто из этих двух аверов тянет детекты.

Ведь это разумно bicololo/qhost называть так, а не рожать название вида троян.syseditor (от балды сейчас придумал, совпадения случайны).

Тем более вышеприведенные детекты есть и у каспера и у нода, при этом вроде никто не заявляет, что они друг у друга детекты тырят :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
вообще, все похитрее, чем просто сравнение имен на вт. Вот возможные сценарии:

Конечно, но я на другое намекал. Что Аваст фолсит, а Каспер - нет. Предположим, что если бы детект перли только у Каспера, то такого бы не было :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/4e67b76d...bb821/analysis/

Конечно, но я на другое намекал. Что Аваст фолсит, а Каспер - нет. Предположим, что если бы детект перли только у Каспера, то такого бы не было

интересно, а сейчас кто у кого украл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Тем не менее у остальных вендоров этот файл похоже в доверенных ;).

Для примера Kaspersky Application Advisor http://whitelist.kaspersky.com/advisor?lan...CF1DF33427451E6

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

https://www.virustotal.com/ru/file/c063589e...sis/1417858208/

Драйвер от антивируса, подписан валидной цифровой подписью. А комод его считает буткитом :D

Comodo Backdoor.Win32.Sinowal.~CRSH

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
military

alamor, в версии, которая с оф.сайта не нашел данного драйвера. Вы можете выложить драйвер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Вы можете выложить драйвер?

Уже удалил его, но на VirusTotal вроде и так всё хорошо видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
Вроде это у них значит "мы не знаем, что это, но оно точно не значится у нас как good".

Нет, это Suspicious.Insight. Ws.Rep.1 - плохая репутация, ну ликбез по репутации, думаю, не нужен.

Так там и по количеству тоже почти пополам поделились вердикты - 27 фолсов из 50.

Symantec WS.Reputation.1 - это их "облачный" вердикт?

Полностью облачные - с приставкой WS. Это репутационный вердикт, с пом. атрибутов, на прямую не связанных со структурой файла был вынесен вердикт. Это технология Insight. VT Symantec отражает очень плохо. Что касается Работы Ws.REp.1, то он учитывает ещё атрибуты источника (его репутацию), VT по сути не использует всего потенциала этой технологии.

Очень сомневаюсь, что там нет Ws.Rep.1. Что касается перепаковок - для репутации это лишь лишний предлог, сам много раз пробовал "дурить". По сути Insight и сделана для того, чтобы автоматически принимать решения независимо от того, что технически в файл вбухано, хоть это и учитывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Цитата(Umnik @ 28.02.2014, 16:41)
Цитата(Сергей Ильин @ 28.02.2014, 14:03)
Цитата(Dmitriy K @ 06.03.2013, 21:07)

Rustock.WA, немного некропостинга перед сном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
Rustock.WA, немного некропостинга перед сном?

Вообщем да, тема интересная. :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Детектирование неработоспособных троянов . Доктор веб обычно не детектит "битые" вирусы, неработоспособные коды, но в данном случае почему-то детектит.

 

 
 
Opera_NI_stable.exe packed by UPX 
>Opera_NI_stable.exe - archive BINARYRES 
>>Opera_NI_stable.exe/data001 infected with Trojan.Dridex.43 
>>Opera_NI_stable.exe/data002 infected with Trojan.Packed.30395 
>>Opera_NI_stable.exe/data003 infected with Trojan.DownLoader12.49054 
>>Opera_NI_stable.exe/data004 infected with Trojan.PWS.Stealer.13025 
>>Opera_NI_stable.exe/data005 infected with Trojan.DownLoader12.42710 
>>Opera_NI_stable.exe/data006 infected with Trojan.Loader.629 
>>Opera_NI_stable.exe/data007 infected with Trojan.Inject1.46088 
>>Opera_NI_stable.exe/data008 infected with Trojan.InstallMonster 
>>Opera_NI_stable.exe/data009 infected with Trojan.Siggen.65341 
>>Opera_NI_stable.exe/data010 infected with Trojan.Dridex.43 
>>Opera_NI_stable.exe/data011 infected with Trojan.Packed.30395 
>>Opera_NI_stable.exe/data012 infected with Trojan.DownLoader12.49054 
>>Opera_NI_stable.exe/data013 infected with Trojan.PWS.Stealer.13025 
>>Opera_NI_stable.exe/data014 infected with Trojan.DownLoader12.42710 
>>Opera_NI_stable.exe/data015 infected with Trojan.Loader.629 
>>Opera_NI_stable.exe/data016 infected with Trojan.Inject1.46088 
>>Opera_NI_stable.exe/data017 infected with Trojan.InstallMonster 
 
http://rghost.ru/7yN6rsKRQ - сам файл Opera_NI_stable.exe  (файл безопасен, я проверил ) . Он только загружает браузер и устанавливает его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Это какая-то самопальная сборка оперы или официальная? Если самопальнолевая, то на эпик фолс не тянет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Самопальная. Касперский ответил, что это ложное срабатывание было

 

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

 

Доктор веб пишет, что не ложное. Похоже, робот ответил

 

[drweb.com #5502883]

Ваш запрос был проанализирован. Это не ложное срабатывание.
Спасибо за сотрудничество.
To reсeive notifications in English, send a blank email to [email protected]
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Категория: FALSE ALARM
-------------------Запрос--------------------------------------
Original file name: Opera_NI_stable.exe
File size: 9454190
File time: 2015-03-30 08:51:04
File mime type: application/x-ms-dos-executable
MD5: 3148e51eee03ae1179f8320f88815022
SHA1: 7014dd18f00ec67af9bf0a5acab20bda7e6a0b5e

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Anmawe, давай в следующий раз, когда захочешь поиграться с самопальными сборками, которые ты сам лепишь и нашпигованными хз чем, ты не будешь постить свои изыскания в этой теме? ОК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Касперский, Др.Веб, Зилля, Аваст и Авира решили побороть Битдефендера :)

В отместку за то, что Бит недавно детектил новенький avp.exe :punish:

  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

:punish: - Прикольный смайлик ! :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Каспер детект убрал, молодцы :beer:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Касперский, Др.Веб, Зилля, Аваст и Авира решили побороть Битдефендера

 

Славянские разборки. Вместо того чтобы мочить друг друга решили долбануть по румынам  :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinsy
      Многие из нас отказались от работы в офисах в пользу надомной работы. Для этого достаточно иметь ноутбук или компьютер с интернетом, ну и саму работу. Сиди работай, пей чай, общайся с заказчиком. Единственный минус такой работы в том, что техника не вечна. У  меня вот был срочный заказ и бабац, ноутбук вырубился и не хотел никак включаться. Аврал. Во внутренностях ноутбука я вообще не разбираюсь, проект надо было сдавать, а что делать. Хорошо, что нашёл компьютерную мастерскую http://zelcompmaster.ru/ , где согласились в срочном порядке посмотреть и починить, если это возможно. Посмотрели, сказали, что там процессор накрылся. В наличии у них такой был, как для моего ноутбука. В течении часа заменили. И я смог доработать. Спасибо, очень выручили. 
    • ElenaPrekrasna9i
      Была бы у меня возможность, купила бы себе пианино и только акустическое) Все же это музыкальный инструмент http://www.gorodnabire.ru/publikatsii/kak-poyavilos-pianino-razbiraemsya-vmeste с многолетней историей. Да и выглядит оно более солидно и отлично впишется в интерьер, если у вас большая, просторная комната. Цифровые конечно же привлекают своей компактностью и куда более приятным ценником. Но бу я бы даже не рассматривала, разве что у знакомых.
    • Vitalinka
      Честно говоря, не стоит связываться с б/у, какого бы класса оно не было. Оно всеровно уже вышло из строя или будет постоянно глючить. 
    • Bases
      Все для Вас!) Добавлена возможность подготовки по вашим критериям!
    • AnitaValdi
      Покупка дорогостоящая и хочется здесь не продать) Думаю взять новое с простых или же бу, но классом по выше. Само собой рассматриваю только цифровое
×