Перейти к содержанию
_Stout

И как вам новая версия Warezov?

Автор _Stout, в Современные угрозы и защита от них

Recommended Posts

Николай Головко    70

Николай Головко
Опубликовано

Я чего-либо не вижу, а должен? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Я чего-либо не вижу, а должен? :)

Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров. Новая версия Warezov была разослана. Очень хорошо разослана.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев    20

Денис Лебедев
Опубликовано
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

www.hostedsecurity.ru

внизу страницы

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Storm    0

Storm
Опубликовано
Очень хорошо разослана.

Подтверждаю. На несколько ловушек пришло аж в десяти экземплярах.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

MessageLabs, HostedSecurity и остальные, кто вывешивает статистику.

А некоторым нашим клиентам по несколько десятков на адрес приходило. Самое неприятное, что если раньше рассылался один и тот же вариант, то в этот раз было несколько десятков вариантов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев    20

Денис Лебедев
Опубликовано

И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Ясно. У Вэба также - http://stat.drweb.com

И ловится старой .based записью.

Название АВ записи можно дать любое. Наверное все детектят последнего Варезова одним именем, хотя реально разных вариантов было штук 20 минимум. Какие-то не требовали изменения процедур детектирования, какие-то требовали, но называли все равно старым именем. Зачем? Что бы пользователей не смущать, а во-вторых, похожи они сильно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев    20

Денис Лебедев
Опубликовано

Для наглядного примера:

Win32.HLLM.Limar.based - у Вэба

WORM_WUKILL.GEN - у Тренд Микро

и т.д.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано

Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1537

Сергей Ильин
Опубликовано

Все сообщения про расширенные сигнатуры были выделе в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic.php?t=2085

:off:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

violence    0

violence
Опубликовано

К сожалению не могу составить новую тему. НО, в кратце. ИМХО, этот форум Каспером ангажируется. Если нет, то всеми участниками. Вы перцы - супер, ведь здесь про каспера слова плохого сказать нельзя. Голословного здесь нет ничего, пишу не первый раз, и не разу не видел себя в он-лине.

Проблема в том, что по настоянию моего супер-умного начальника пришлось слезть с ломанного Dr.Web и поставить KIS 6.0 . Уверяю вас, нет ничего хуже. У нас слабые машины, правда, нельзя сказать, что уж совсем старые, но теперь кроме каспера на ней по сути ничего не работает. По моему настоянию мелкомягкие поделия мы стараемся использовать по минимуму, почтовый клиент тундер грузится более 3-х МИНУТ. Вопрос к Евгению или к Наталье, Вы для кого это сделали? Ответ для себя?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб". Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур. Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано
Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб".

Какая реакция? Вы тут что-то пишите, а сами не ловите этот warezov!

И, объясните, как же количество экземпляров может быть связано с ООО "Доктор Вэб" или со мной? :-)

Вы тут ошибаетесь.

Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

:-)

[19/01/07 11:21:31 I] Kaspersky Anti-Virus On-Demand Scanner for Linux. Version 5.5.3/RELEASE build #100, compiled Jul 27 2005, 15:36:21

[19/01/07 11:21:31 I] Copyright © Kaspersky Lab, 1997-2005.

[19/01/07 11:21:31 I] Portions Copyright © Lan Crypto

skipped :-)

[19/01/07 11:21:34 I] There are 259803 records loaded, the latest update 19-01-2007

[19/01/07 11:21:34 I] Config file: /etc/kav/5.5/kav4unix/kav4unix.conf

[19/01/07 11:21:34 I] The scan path: /tmp/undetected/

[19/01/07 11:21:34 A] /tmp/undetected/30.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/31.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/32.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/33.exe OK

[19/01/07 11:21:34 I] Scan summary: Files=4 Folders=0 Archives=0 Packed=0 Infected=0 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:01 ScanSpeed=248.000 Kb/s

Complete scanning result of "30.exe", received in VirusTotal at 01.19.2007, 09:29:53 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXK

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Stration.DB

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 no virus found

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.bg

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "31.exe", received in VirusTotal at 01.19.2007, 09:36:47 (CET).

AntiVir 7.3.0.26 01.18.2007 WORM/Stration.Gen

Authentium 4.93.8 01.19.2007 W32/Warezov.gen4

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 no virus found

BitDefender 7.2 01.19.2007 DeepScan:Generic.Stration.F37B1E2C

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Warezov.ev

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 no virus found

F-Prot 3.16f 01.19.2007 W32/Warezov.gen4

F-Prot4 4.2.1.29 01.19.2007 W32/Warezov.gen4

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.gen

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 W32/[email protected]

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 W32/Spamta.RF.worm

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 W32/Strati-Gen

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "32.exe", received in VirusTotal at 01.19.2007, 09:40:38 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "33.exe", received in VirusTotal at 01.19.2007, 09:43:16 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Что теперь вы "протрындите"?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Внимательно читайте пост о чем шла речь. Вас учить я не собираюсь

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Для отчете не нужно ничего.

Что теперь вы "протрындите"?

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov или последние Bagel (от 13 января), которые вы лажали. Оно вам надо?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано
Вы не привели важные строки -- хэши файлов. Не красиво.

абра-кадабра

md5:

2503c990acae758307566ba868036e61 30.exe

2577a5c5e741c4d3f10130d613774afc 31.exe

06c482872a6565bdc20d171a5ae29969 32.exe

98d04513a7711ea02ca08a3e4f455a40 33.exe

sha1:

47de48dca1af81ee8ca0225592162271fcb49cc9 30.exe

7ee4eb98be17d4a41c68d6f92e833fe1417e093f 31.exe

2c064f00b5b0993b912f6c60980de5d059ff90f7 32.exe

b91f3a0a0d461a5146dc6bc5eedb8e24f6a89354 33.exe

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov, которые вы лажали. Оно вам надо?

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.

Можете публиковать любые данные. У нас свобода слова.

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1537

Сергей Ильин
Опубликовано

Друзья, думаю нужно прекращать взаимные наезды.

По-любому можно найти с десяток версий популярного червя, который не будет брать конкурент, к чему эти споры?

Пожалуйста, придерживайсь темы в последующих постах, иначе придется зачистить тему!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Почти нет :-)

Начало темы читал и перечитывал.

В общем, и раньше наблюдал, как рассылались десятки разных warezov'вых... это не вчера и не позавчера началось :-( .

Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Главное, чтобы ловили.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

violence    0

violence
Опубликовано
Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

nobody.nogroup    0

nobody.nogroup
Опубликовано
Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

лимар сам по себе не полиморфный.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.
Вы - это Dr.Web, предположительно.. ;) Был тут у нас уже один участник под именем "никто нигде".. ;) Признаться честно, игра в ламера у вас плохо получается ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

×