Перейти к содержанию
_Stout

И как вам новая версия Warezov?

Recommended Posts

_Stout

Subj

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Я чего-либо не вижу, а должен? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Я чего-либо не вижу, а должен? :)

Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров. Новая версия Warezov была разослана. Очень хорошо разослана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

www.hostedsecurity.ru

внизу страницы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Очень хорошо разослана.

Подтверждаю. На несколько ловушек пришло аж в десяти экземплярах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Ясно. У Вэба также - http://stat.drweb.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Посмотри на статистику перехватов зараженных писем у разных Hosted Security провайдеров.

Если можно - прикрепите пожалуйста ссылочки для просмотра, либо сами данные.

MessageLabs, HostedSecurity и остальные, кто вывешивает статистику.

А некоторым нашим клиентам по несколько десятков на адрес приходило. Самое неприятное, что если раньше рассылался один и тот же вариант, то в этот раз было несколько десятков вариантов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Ясно. У Вэба также - http://stat.drweb.com

И ловится старой .based записью.

Название АВ записи можно дать любое. Наверное все детектят последнего Варезова одним именем, хотя реально разных вариантов было штук 20 минимум. Какие-то не требовали изменения процедур детектирования, какие-то требовали, но называли все равно старым именем. Зачем? Что бы пользователей не смущать, а во-вторых, похожи они сильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Для наглядного примера:

Win32.HLLM.Limar.based - у Вэба

WORM_WUKILL.GEN - у Тренд Микро

и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup

Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все сообщения про расширенные сигнатуры были выделе в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic.php?t=2085

:off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
violence

К сожалению не могу составить новую тему. НО, в кратце. ИМХО, этот форум Каспером ангажируется. Если нет, то всеми участниками. Вы перцы - супер, ведь здесь про каспера слова плохого сказать нельзя. Голословного здесь нет ничего, пишу не первый раз, и не разу не видел себя в он-лине.

Проблема в том, что по настоянию моего супер-умного начальника пришлось слезть с ломанного Dr.Web и поставить KIS 6.0 . Уверяю вас, нет ничего хуже. У нас слабые машины, правда, нельзя сказать, что уж совсем старые, но теперь кроме каспера на ней по сути ничего не работает. По моему настоянию мелкомягкие поделия мы стараемся использовать по минимуму, почтовый клиент тундер грузится более 3-х МИНУТ. Вопрос к Евгению или к Наталье, Вы для кого это сделали? Ответ для себя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Тов. _Stout,

может быть вам бы стоило промолчать?

Из 25 словленных модификаций этого черьвя (на 12:00 MSK), каспер до сих пор не улучшил результат - всего 17 детектов. :-(

Не берусь утверждать, сколько их было всего, это только то, что попало ко мне.

Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб". Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур. Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Г-н никто,

судя по реакции и по кол-ву экземпляров, вы очень сильно связаны с ООО "Доктор Вэб".

Какая реакция? Вы тут что-то пишите, а сами не ловите этот warezov!

И, объясните, как же количество экземпляров может быть связано с ООО "Доктор Вэб" или со мной? :-)

Вы тут ошибаетесь.

Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Что бы вам не быть голословным, покажите отчеты, скажем Virustotal, а то трындеть все могут, а как показать факты -- в кусты.

:-)

[19/01/07 11:21:31 I] Kaspersky Anti-Virus On-Demand Scanner for Linux. Version 5.5.3/RELEASE build #100, compiled Jul 27 2005, 15:36:21

[19/01/07 11:21:31 I] Copyright © Kaspersky Lab, 1997-2005.

[19/01/07 11:21:31 I] Portions Copyright © Lan Crypto

skipped :-)

[19/01/07 11:21:34 I] There are 259803 records loaded, the latest update 19-01-2007

[19/01/07 11:21:34 I] Config file: /etc/kav/5.5/kav4unix/kav4unix.conf

[19/01/07 11:21:34 I] The scan path: /tmp/undetected/

[19/01/07 11:21:34 A] /tmp/undetected/30.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/31.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/32.exe OK

[19/01/07 11:21:34 A] /tmp/undetected/33.exe OK

[19/01/07 11:21:34 I] Scan summary: Files=4 Folders=0 Archives=0 Packed=0 Infected=0 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:01 ScanSpeed=248.000 Kb/s

Complete scanning result of "30.exe", received in VirusTotal at 01.19.2007, 09:29:53 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXK

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Stration.DB

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/Stration.DQ@mm

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 no virus found

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.bg

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "31.exe", received in VirusTotal at 01.19.2007, 09:36:47 (CET).

AntiVir 7.3.0.26 01.18.2007 WORM/Stration.Gen

Authentium 4.93.8 01.19.2007 W32/Warezov.gen4

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 no virus found

BitDefender 7.2 01.19.2007 DeepScan:Generic.Stration.F37B1E2C

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 Win32.Warezov.ev

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 no virus found

F-Prot 3.16f 01.19.2007 W32/Warezov.gen4

F-Prot4 4.2.1.29 01.19.2007 W32/Warezov.gen4

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.gen

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 W32/Stration.gen@MM

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1989 01.19.2007 Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 W32/Spamta.RF.worm

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 W32/Strati-Gen

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "32.exe", received in VirusTotal at 01.19.2007, 09:40:38 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/Stration.DQ@mm

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Complete scanning result of "33.exe", received in VirusTotal at 01.19.2007, 09:43:16 (CET).

AntiVir 7.3.0.26 01.18.2007 no virus found

Authentium 4.93.8 01.19.2007 no virus found

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.18.2007 I-Worm/Stration.BXI

BitDefender 7.2 01.19.2007 no virus found

CAT-QuickHeal 9.00 01.19.2007 no virus found

ClamAV devel-20060426 01.19.2007 no virus found

DrWeb 4.33 01.19.2007 Win32.HLLM.Limar

eSafe 7.0.14.0 01.19.2007 no virus found

eTrust-InoculateIT 23.73.117 01.19.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.18.2007 no virus found

Fortinet 2.82.0.0 01.19.2007 W32/Stration.DQ@mm

F-Prot 3.16f 01.19.2007 no virus found

F-Prot4 4.2.1.29 01.19.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Email-Worm.Win32.Warezov.dq

Kaspersky 4.0.2.24 01.19.2007 no virus found

McAfee 4942 01.18.2007 no virus found

Microsoft 1.1904 01.19.2007 no virus found

NOD32v2 1990 01.19.2007 a variant of Win32/Stration

Norman 5.80.02 01.18.2007 no virus found

Panda 9.0.0.4 01.19.2007 no virus found

Prevx1 V2 01.19.2007 no virus found

Sophos 4.13.0 01.19.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.151 01.19.2007 no virus found

UNA 1.83 01.18.2007 I-Worm.Warezov.dq

VBA32 3.11.2 01.18.2007 MalwareScope.Worm.Warezov.1

VirusBuster 4.3.19:9 01.19.2007 no virus found

Что теперь вы "протрындите"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Тот пример, который я привел, был показан в учебных целях, с целью показать коллеги, что детектирование любым АВ под одним и тем же именем не значит детект без обновления сигнатур.

А теперь объясните, пожалуйста, что это за учебные цели?

Кого и чему вы решили учить? :)

Всё и так ясно как день.

Внимательно читайте пост о чем шла речь. Вас учить я не собираюсь

Я готов показать полный отчет про детект limar aka Warezov если вы хотите. Более того, я готов показать полный отчет и по сегодняшней версии, когда он у меня будет.

Для отчёта нужно вчерашние экзепляры ловить научиться.

Для отчете не нужно ничего.

Что теперь вы "протрындите"?

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov или последние Bagel (от 13 января), которые вы лажали. Оно вам надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Вы не привели важные строки -- хэши файлов. Не красиво.

абра-кадабра

md5:

2503c990acae758307566ba868036e61 30.exe

2577a5c5e741c4d3f10130d613774afc 31.exe

06c482872a6565bdc20d171a5ae29969 32.exe

98d04513a7711ea02ca08a3e4f455a40 33.exe

sha1:

47de48dca1af81ee8ca0225592162271fcb49cc9 30.exe

7ee4eb98be17d4a41c68d6f92e833fe1417e093f 31.exe

2c064f00b5b0993b912f6c60980de5d059ff90f7 32.exe

b91f3a0a0d461a5146dc6bc5eedb8e24f6a89354 33.exe

Ничего. Покажу, что вы пропускаете. Прокажу данные про все остальные Warezov, которые вы лажали. Оно вам надо?

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.

Можете публиковать любые данные. У нас свобода слова.

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, думаю нужно прекращать взаимные наезды.

По-любому можно найти с десяток версий популярного червя, который не будет брать конкурент, к чему эти споры?

Пожалуйста, придерживайсь темы в последующих постах, иначе придется зачистить тему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup

Другой вопрос, зачём вы начали писать про warezov, если сами не ловите все его экземпляры?

Вы начало темы читали? Перечитайте -- там есть ответ на ваш вопрос. Я мог бы привести любой пример, Лимар наиболее показателен т.к. модификаций много, а у DrWeb имя одно. Еще вопросы?

Почти нет :-)

Начало темы читал и перечитывал.

В общем, и раньше наблюдал, как рассылались десятки разных warezov'вых... это не вчера и не позавчера началось :-( .

Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Главное, чтобы ловили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
violence
Кстати, по именованию касперского видел два, казалось бы, одинаковых warezov, а другие на вирустотале давали совершенно разные имена.

Поэтому не считаю, что множество модификаций под одним именем - плохо.

Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Видимо проблема в том, что для всех модификаций полиморфника приходится делать сигнатурные записи для каждой ,- процесс то бесконечный. А дрвеб закрывает одной записью все семейство. ИМХО, могу ошибаться, может кто поправит

лимар сам по себе не полиморфный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

"вы" - это кто? Вы, меня, похоже, с кем-то путаете.
Вы - это Dr.Web, предположительно.. ;) Был тут у нас уже один участник под именем "никто нигде".. ;) Признаться честно, игра в ламера у вас плохо получается ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×