_Stout

И как вам новая версия Warezov?

В этой теме 29 сообщений

Я чего-либо не вижу, а должен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я чего-либо не вижу, а должен? :)

Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров. Новая версия Warezov была разослана. Очень хорошо разослана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

www.hostedsecurity.ru

внизу страницы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень хорошо разослана.

Подтверждаю. На несколько ловушек пришло аж в десяти экземплярах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

MessageLabs, HostedSecurity и остальные, кто вывешивает статистику.

А некоторым нашим клиентам по несколько десятков на адрес приходило. Самое неприятное, что если раньше рассылался один и тот же вариант, то в этот раз было несколько десятков вариантов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ясно. У Вэба также - http://stat.drweb.com

И ловится старой .based записью.

Название АВ записи можно дать любое. Наверное все детектят последнего Варезова одним именем, хотя реально разных вариантов было штук 20 минимум. Какие-то не требовали изменения процедур детектирования, какие-то требовали, но называли все равно старым именем. Зачем? Что бы пользователей не смущать, а во-вторых, похожи они сильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для наглядного примера:

Win32.HLLM.Limar.based - у Вэба

WORM_WUKILL.GEN - у Тренд Микро

и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К сожалению не могу составить новую тему. НО, в кратце. ИМХО, этот форум Каспером ангажируется. Если нет, то всеми участниками. Вы перцы - супер, ведь здесь про каспера слова плохого сказать нельзя. Голословного здесь нет ничего, пишу не первый раз, и не разу не видел себя в он-лине.

Проблема в том, что по настоянию моего супер-умного начальника пришлось слезть с ломанного Dr.Web и поставить KIS 6.0 . Уверяю вас, нет ничего хуже. У нас слабые машины, правда, нельзя сказать, что уж совсем старые, но теперь кроме каспера на ней по сути ничего не работает. По моему настоянию мелкомягкие поделия мы стараемся использовать по минимуму, почтовый клиент тундер грузится более 3-х МИНУТ. Вопрос к Евгению или к Наталье, Вы для кого это сделали? Ответ для себя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб". Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур. Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб".

Какая реакция? Вы тут что-то пишите, а сами не ловите этот warezov!

И, объясните, как же количество экземпляров может быть связано с ООО "Доктор Вэб" или со мной? :-)

Вы тут ошибаетесь.

Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

:-)

[19/01/07 11:21:31 I] Kaspersky Anti-Virus On-Demand Scanner for Linux. Version 5.5.3/RELEASE build #100, compiled Jul 27 2005, 15:36:21

[19/01/07 11:21:31 I] Copyright © Kaspersky Lab, 1997-2005.

[19/01/07 11:21:31 I] Portions Copyright © Lan Crypto

skipped :-)

[19/01/07 11:21:34 I] There are 259803 records loaded, the latest update 19-01-2007

[19/01/07 11:21:34 I] Config file: /etc/kav/5.5/kav4unix/kav4unix.conf

[19/01/07 11:21:34 I] The scan path: /tmp/undetected/

[19/01/07 11:21:34 A] /tmp/undetected/30.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/31.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/32.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/33.exe OK

[19/01/07 11:21:34 I] Scan summary: Files=4 Folders=0 Archives=0 Packed=0 Infected=0 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:01 ScanSpeed=248.000 Kb/s

Complete scanning result of "30.exe", received in VirusTotal at 01.19.2007, 09:29:53 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXK

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Stration.DB

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 no virus found

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.bg

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "31.exe", received in VirusTotal at 01.19.2007, 09:36:47 (CET).

AntiVir 7.3.0.26 01.18.2007 WORM/Stration.Gen

Authentium 4.93.8 01.19.2007 W32/Warezov.gen4

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 no virus found

BitDefender 7.2 01.19.2007 DeepScan:Generic.Stration.F37B1E2C

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Warezov.ev

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 no virus found

F-Prot 3.16f 01.19.2007 W32/Warezov.gen4

F-Prot4 4.2.1.29 01.19.2007 W32/Warezov.gen4

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.gen

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 W32/[email protected]

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 W32/Spamta.RF.worm

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 W32/Strati-Gen

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "32.exe", received in VirusTotal at 01.19.2007, 09:40:38 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "33.exe", received in VirusTotal at 01.19.2007, 09:43:16 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/[email protected]

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Что теперь вы "протрындите"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Внимательно читайте пост о чем шла речь. Вас учить я не собираюсь

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Для отчете не нужно ничего.

Что теперь вы "протрындите"?

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov или последние Bagel (от 13 января), которые вы лажали. Оно вам надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы не привели важные строки -- хэши файлов. Не красиво.

абра-кадабра

md5:

2503c990acae758307566ba868036e61 30.exe

2577a5c5e741c4d3f10130d613774afc 31.exe

06c482872a6565bdc20d171a5ae29969 32.exe

98d04513a7711ea02ca08a3e4f455a40 33.exe

sha1:

47de48dca1af81ee8ca0225592162271fcb49cc9 30.exe

7ee4eb98be17d4a41c68d6f92e833fe1417e093f 31.exe

2c064f00b5b0993b912f6c60980de5d059ff90f7 32.exe

b91f3a0a0d461a5146dc6bc5eedb8e24f6a89354 33.exe

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov, которые вы лажали. Оно вам надо?

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.

Можете публиковать любые данные. У нас свобода слова.

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья, думаю нужно прекращать взаимные наезды.

По-любому можно найти с десяток версий популярного червя, который не будет брать конкурент, к чему эти споры?

Пожалуйста, придерживайсь темы в последующих постах, иначе придется зачистить тему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Почти нет :-)

Начало темы читал и перечитывал.

В общем, и раньше наблюдал, как рассылались десятки разных warezov'вых... это не вчера и не позавчера началось :-( .

Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Главное, чтобы ловили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

лимар сам по себе не полиморфный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.
Вы - это Dr.Web, предположительно.. ;) Был тут у нас уже один участник под именем "никто нигде".. ;) Признаться честно, игра в ламера у вас плохо получается ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • МашаМашенька
      Смотря для чего вы его хотите купить! Если для работы, то конечно с ноутбуком удобней! Если для игр, просмотра фильмов и так далее, то лучше компьютер, там мощности больше и экран можно большой взять
    • МашаМашенька
      А мы также планируем в Буковель поехать с супругом. В моих планах забеременеть, может хоть свежий воздух и другая атмосфера этому поспособствует. Нашла статью https://jdembaby.com/planning/zachatie/luchshie-pozy-dlya-zachatiya-rebenka.html , хочу применить в процессе, как раз проверим правду пишут или нет.
    • sharyga777
    • РПС-Калуга
      Компания "РусПромСварка" занимается проектированием, изготовлением и монтажом металлоконструкций в Калуге и Калужской области.  Опыт и наличие профессионального оборудования позволяют изготавливать качественные конструкции из металла по оптимальным ценам по чертежам и эскизам заказчика: металлические лестницы, переходы и площадки заборы из профнастила и металлопрофиля беседки из поликарбоната с металлическим каркасом строительные металлоконструкции (фермы, колонны, балки) Производим монтаж металлоконструкций. Сварочные работы  производятся аттестованными сварщиками на новейшем профессиональном оборудовании Lincoln Electric c использованием высококачественных сварочных материалов.  
    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.