Перейти к содержанию

Recommended Posts

A.
А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Если б ты по-человечески умел разговаривать, а не истерить, было бы куда лучше.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Чего то никто не пишет про распространение \ первичное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Странно что говорят, некоторым компонентам "много лет", есть там один семпл годовой давности, но это не 3 или 5 лет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Чего то никто не пишет про распространение \ первичное заражение.

Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

http://www.euronews.com/2012/05/29/flame-v...in-middle-east/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Не знаю каких аверов ты читаешь, но мы четко и ясно сказали - по нашим 100% данным (у нас есть и этот сампл (один из модулей) и даже был у нас детект оказывается) как минимум с августа 2010 года. Но это только один из модулей. Основной (mssecmgr) не детектился никем до недавнего времени.

По косвенным данным - он гуляет с марта-февраля 2010. Вся информация про 3 и 5 лет - это домыслы, пока не подтвержденные фактами. Домыслы основаны на именах файлов.

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Не так. Какие-то самплы (список есть) - они разослали только вчера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Не знаю каких аверов ты читаешь

Как минимум CrySys

crysys.jpg

Возможно, только по имени файла, да.

Это интервью на euronews, я даже не знаю смеяться или плакать :facepalm:

Что там РБК несли по поводу того, что он записывает разговоры скайпа и отсылает их в неизвестном направлении и показывая ракурсы московского офиса ЛК? ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Кстати, когда Kaspersky добавил записи Worm.Win32.Flame.a в базу, чтобы он мог детектироваться у пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Не так. Какие-то самплы (список есть) - они разослали только вчера.
Во время написания статьи, ни одно из 43 антивирусных решений не было способно обнаружить ни один из вредоносных модулей этой программы. Тем не менее, уже в первые дни мая, центром Maher был создан и отправлен некоторым организациям так называемый «детектор» программы.

3364b39d04.png

http://www.certcc.ir/index.php?name=news&a...le&sid=1894

http://safetygate.ru/index.php?topic=1921.msg73780#new

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Еще по сути есть что сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

+1 и того точно 8.

Список хэшей с описанием https://code.google.com/p/malware-lu/wiki/en_malware_flamer и алиасы АВеров http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html.

Хэши от Sophos: http://www.sophos.com/en-us/threat-center/...d-analysis.aspx

Небольшой анализ компонента cuckoobox http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А где Исет со своим анализом, где посты Матросова про Flame? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Еще по сути есть что сказать?

А тебе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
А где Исет со своим анализом, где посты Матросова про Flame? :)

До них еще не дошло :). Или уже всем вирлабом переводят статью симантек на русский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
А тебе?

Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А где Исет со своим анализом, где посты Матросова про Flame? :)

Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

_____.jpg

post-6726-1338371337_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Так и запишем -- сдался и опустил руки.

но Веб, как всегда повеселил :facepalm:

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

А что ожидали от них то? Предсказуемый результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×