Перейти к содержанию
Александр Соколов

Опять Symantec отличился

Recommended Posts

SBond
Опять WS.Reputation.1

Это всего лишь репутация файла, это не говорит о вредоносе внутри файла. Только лишь то, что многие пользователи(администрация) ей не доверяют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Это всего лишь репутация файла, это не говорит о вредоносе внутри файла. Только лишь то, что многие пользователи(администрация) ей не доверяют.

Расскажите это пользователем нортона которые пытаются скачать winrar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поясните, что это значит для домохозяйки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Ну скачал я этот файл. А блокировки нет.

MD5: 7ef96213de15127da513778aacc562dc

P.S. хотелось бы, чтобы проверяли на деле, а не удостоверялись всякими вирустоталами и одной сухой теорией.

buratino_detected.PNG

post-12086-1317200261_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Поясните, что это значит для домохозяйки.

3674fc7c47fdt.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Ну скачал я этот файл. А блокировки нет.

MD5: 7ef96213de15127da513778aacc562dc

P.S. хотелось бы, чтобы проверяли на деле, а не удостоверялись всякими вирустоталами и одной сухой теорией.

Шутить изволим ;)

491979d58466bbe49ef974ca2278fb43.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

Проверил ещё раз :)

e55d8887d7ba7feb51db4b3db08b5e47.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

А у меня нет блокировки. Просьба к товарищам, которые пользуются данным продуктом, проверить реакцию продукта на данный файл.

call_to.PNG

post-12086-1317223550.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Подтверждаю. NIS 18.6.0.29 обнаруживает угрозу и перемещает файл в карантин после завершения загрузки из сети.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо. Просьба и сюда итоговые результаты запостить, если будут сделаны какие-то определенные выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Подтверждаю. NIS 18.6.0.29 обнаруживает угрозу и перемещает файл в карантин после завершения загрузки из сети.

А чего такая устаревшая версия? :rolleyes: Сейчас уже 19.1.1.3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
А чего такая устаревшая версия? :rolleyes: Сейчас уже 19.1.1.3.

В курсе. Сейчас обновлю. :) Сижу не за своим ноутбуком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Вердикт и действия 19.1.1.3 ничем не отличается от 18.6.0.29. По видимому это связано с тем, что используется одни и те же репутационные (защитные) механизмы для оценки и предотвращения потенциальных угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

56786732.th.png

Не знаю что это у вас за винрары такие мутные...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

ого, винрар платный оказывается... :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

У меня среагировал на MD5 7ef96213de15127da513778aacc562dc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Не знаю что это у вас за винрары такие мутные...

Ссылки на архиватор у вас различаются ;)

Первый пост: http://rarlab.com/rar/winrar-x64-401ru.exe

Z.E.A.: http://www.rarlab.com/rar/winrar-x64-401ru.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Ссылки на архиватор у вас различаются ;)

Первый пост: http://rarlab.com/rar/winrar-x64-401ru.exe

Z.E.A.: http://www.rarlab.com/rar/winrar-x64-401ru.exe

19481069.png

Ну ну.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

По итогам обсуждения данной темы в Клубе Любителей Симантек всего лишь у одного пользователя произошла блокировка файла, у остальных файл был воспринят как безопасный. Специалисты по данному продукту предполагают, что наличие/отсутствие детекта в данном случае связано с тем, что разных пользователей обслуживают разные сервера Insight. Кроме того, сейчас ведутся работы по внедрению новой облачной технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
У меня среагировал на MD5 7ef96213de15127da513778aacc562dc

Веселье продолжается.

2305049f9714t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Z.E.A., Скажите откуда Вы скачали дистрибутив - http://www.rarlab.com/rar/winrar-x64-401.exe ? Если это так, то это другой файл. Я проверил - NIS его считает безопасным.

Моя версия - файл в первом сообщении, на который реагирует NIS и тот файл, который NIS считает безопасным (например, тот который скачал Z.E.A.) - разные файлы, у них разная контрольная сумма:

Файл из 1-го сообщения - MD5 7ef96213de15127da513778aacc562dc

Файл Z.E.A. - MD5 D2B446D732502620CFC2A21C37B30020

Этим, скорее всего, и объясняется разная реакция NIS у разных пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Специалисты по данному продукту предполагают, что наличие/отсутствие детекта в данном случае связано с тем, что разных пользователей обслуживают разные сервера Insight.

Выделил бред. Точнее - полный бред.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Z.E.A., Скажите откуда Вы скачали дистрибутив - http://www.rarlab.com/rar/winrar-x64-401.exe ? Если это так, то это другой файл. Я проверил - NIS его считает безопасным.

Моя версия - файл в первом сообщении, на который реагирует NIS и тот файл, который NIS считает безопасным (например, тот который скачал Z.E.A.) - разные файлы, у них разная контрольная сумма:

Файл из 1-го сообщения - MD5 7ef96213de15127da513778aacc562dc

Файл Z.E.A. - MD5 D2B446D732502620CFC2A21C37B30020

Этим, скорее всего, и объясняется разная реакция NIS у разных пользователей.

Я приложил скриншот с вычислением MD5 через АВЗ того винрара, который я качал. Всё сходится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×