Перейти к содержанию

Recommended Posts

A.

Меня тут не так давно спросили, а "почему я так не люблю Матросова?".

На что я ответил, что трудно испытывать более другие чувства к человеку, который регулярно занимается откровенной копи-пастой с чужих данных, подавая их как свой "рисерч".

Собственно, очередной пример не заставил себя долго ждать.

Пару дней назад Симантек обнаружил новый (скомпилен 23.02.2012) драйвер, вероятно от Duqu. О чем, на правах первооткрывателя и написал у себя в блоге.

г-н Матросов оказался тут как тут и прочитав текст Симантека - решил порадовать мир собственным текстом, в своем блоге.

Стремление написать хоть что-то настолько торопило его, что он даже не задумываясь, взял и скопипастил чужой текст, но уже подавая его от лица Есета.

Да только задумываться иногда надо. Или хотя бы быть чуть-чуть в теме того о чем пишешь.

А если тырить чужие тексты - то получаются вот такие косяки:

matrosov2.PNG

видите это 3 ноября дважды ?

WTF ? спросите вы ? Easy - отвечу я. Смотрим еще раз текст Симантека.

symc1.PNG

Симантек "опечатался" в своем блоге. На самом деле 3 ноября там должно быть всего один раз. Матросов скопипастил as is. Даже не включив мозг, чтобы понять ошибку.

Впрочем, я должен отметить, что подобные "опечатки" (ну не столь грубые конечно, значительно более тонкие) иногда делаются специально. В деталях какой-нибудь малвары.

Чтобы затем смотреть - кто копипастит чужие данные, не удосуживая себя проверкой - а кто нет.

P.S. Внимание, вопрос - может быть там должно быть написано еще 4 ноября 2010 года ? Да или нет ? :)

P.P.S. И да, это все относится только к одному М. К работам другого есетовского "москвича" - Евгения Родионова я испытываю глубокое уважение.

post-413-1332340941_thumb.png

post-413-1332340990_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Нехорошо, нехорошо .... Ну копипастил бы со ссылкой и давал бы свои комменты как эксперта Eset, но видимо "у них так не принято" <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
d00kie

Ну вы АВ-аналитики жжоте. Вот что значит жестокая конкуренция, хе-хе ;)))

С Вашей "внимательностью" только новые языки программирования открывать ;)

А если по делу - не нашел ни слово про ресерч. Читая пост г-на Матросова я увидел просто заметку в блоге.

С чего Вы взяли, что это ресерч?

Во-вторых, там ссылка на "симантик", вторым словом. Указание на первоисточник! Которого вы не заметили...

Так что Ваш пост - провокация и п...ж или глухая невнимательность 8)

Нехорошо, нехорошо .... Ну копипастил бы со ссылкой и давал бы свои комменты как эксперта Eset, но видимо "у них так не принято" <_<

Вообще-то так и сделано. Прочитайте ВНИМАТЕЛЬНО. Указан первоисточник, а затем коменты..

Отредактировал d00kie

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Вообще, мое имхо такое: Матросов как-то дошел до директора/руководителя, кому как нравится, вир.лаба в России и став директором он начал пользоваться этим положением. Половина его постов про TDL4, Duqu и другие сложные вредоносы сделаны на основе ресерча Евгения Родионова.

Вообще, совет знающим людям. Скачайте журнал хакер за январь 2011 и за март 2012. Там Матросов(очень хотелось написать просто, матрос) пишет о топ-вредоносах. В январском про топ 5 вредоносов в 2010, а в мартовском ТОП 3 буткитов 2011.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
Во-вторых, там ссылка на "симантик", вторым словом. Указание на первоисточник! Которого вы не заметили...

Это все потомушта

стремление написать хоть что-то настолько торопило его, что он даже не задумываясь, взял и
Бывает,чо :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вообще-то так и сделано. Прочитайте ВНИМАТЕЛЬНО. Указан первоисточник, а затем коменты..

Специально здесь зарегистрировались чтобы позащищать Сашу ? Похвально, похвально.

P.S Вот про "комменты" и речь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

А я рад, что Александр, попробовав все российские вирлабы, остановился на Есете, где дорос до синьер должности и продолжает развиваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
А я рад, что Александр, попробовав все российские вирлабы, остановился на Есете, где дорос до синьер должности и продолжает развиваться.

Типа как, хорошо что "дорос" до такого не в наших родных застенках КЛ и ДВ?... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

не знаю, как в Исете, но в ДВ он не прославился как аналитик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS
не знаю, как в Исете, но в ДВ он не прославился как аналитик.

Может быть он как художник - творит только по вдохновению? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×