Перейти к содержанию

Recommended Posts

A.
А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Если б ты по-человечески умел разговаривать, а не истерить, было бы куда лучше.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Чего то никто не пишет про распространение \ первичное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Странно что говорят, некоторым компонентам "много лет", есть там один семпл годовой давности, но это не 3 или 5 лет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Чего то никто не пишет про распространение \ первичное заражение.

Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

http://www.euronews.com/2012/05/29/flame-v...in-middle-east/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Не знаю каких аверов ты читаешь, но мы четко и ясно сказали - по нашим 100% данным (у нас есть и этот сампл (один из модулей) и даже был у нас детект оказывается) как минимум с августа 2010 года. Но это только один из модулей. Основной (mssecmgr) не детектился никем до недавнего времени.

По косвенным данным - он гуляет с марта-февраля 2010. Вся информация про 3 и 5 лет - это домыслы, пока не подтвержденные фактами. Домыслы основаны на именах файлов.

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Не так. Какие-то самплы (список есть) - они разослали только вчера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Не знаю каких аверов ты читаешь

Как минимум CrySys

crysys.jpg

Возможно, только по имени файла, да.

Это интервью на euronews, я даже не знаю смеяться или плакать :facepalm:

Что там РБК несли по поводу того, что он записывает разговоры скайпа и отсылает их в неизвестном направлении и показывая ракурсы московского офиса ЛК? ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Кстати, когда Kaspersky добавил записи Worm.Win32.Flame.a в базу, чтобы он мог детектироваться у пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Не так. Какие-то самплы (список есть) - они разослали только вчера.
Во время написания статьи, ни одно из 43 антивирусных решений не было способно обнаружить ни один из вредоносных модулей этой программы. Тем не менее, уже в первые дни мая, центром Maher был создан и отправлен некоторым организациям так называемый «детектор» программы.

3364b39d04.png

http://www.certcc.ir/index.php?name=news&a...le&sid=1894

http://safetygate.ru/index.php?topic=1921.msg73780#new

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Еще по сути есть что сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

+1 и того точно 8.

Список хэшей с описанием https://code.google.com/p/malware-lu/wiki/en_malware_flamer и алиасы АВеров http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html.

Хэши от Sophos: http://www.sophos.com/en-us/threat-center/...d-analysis.aspx

Небольшой анализ компонента cuckoobox http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А где Исет со своим анализом, где посты Матросова про Flame? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Еще по сути есть что сказать?

А тебе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
А где Исет со своим анализом, где посты Матросова про Flame? :)

До них еще не дошло :). Или уже всем вирлабом переводят статью симантек на русский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
А тебе?

Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А где Исет со своим анализом, где посты Матросова про Flame? :)

Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

_____.jpg

post-6726-1338371337_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Так и запишем -- сдался и опустил руки.

но Веб, как всегда повеселил :facepalm:

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

А что ожидали от них то? Предсказуемый результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Из той же темы:  http://www.tehnari.ru/f35/t266702/ из лога FRST Code Integrity determined that a process (\Device\HarddiskVolume5\Program Files\Windows Defender\MpCmdRun.exe) attempted to load \Device\HarddiskVolume5\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\x64\antimalware_provider.dll that did not meet the Microsoft signing level requirements. ...процесс не соответствует требованиям уровня подписи Майкрософт. Подпись есть но уровень не соответствует.
    • PR55.RP55
      + сделать возможность задать _временный критерий такой критерий  сохраняется только до завершения работы uVS  ( можно добавить чек-бокс ): Задать временный критерий [v] А затем должна быть возможность: "фильтровать список по одному единственному критерию из списка" Бывает, что нужно что-то найти - но нет смысла сохранять этот мусор в настройках.
    • PR55.RP55
      Тема образ. http://www.tehnari.ru/f35/t266702/ У меня такое впечатление, что может быть ошибка при разборе путей\команд.
    • PR55.RP55
      Если взять подписанный файл ( например драйвер ) от Windows 7 и запихать его на Windows 10 то система выдаст, что файл не подписан... А здесь мы имеем ошибку проверки ЭЦП на Windows 7 после обновления системы   ( по всей видимости после обновления ) файлы новые и недавно подписанные, системные обновления ориентированы на переход до Win 10 и алгоритм подписания тоже должен быть современный.
    • financier
      Делаю ставки на специальных слотах. Выбирайте казино с многолетним опытом работы и хорошей репутацией https://avtomatiigrovie-online.com, прежде чем сделать свой депозит, изучите требования сайта, чтобы приветственные бонусы на выбранных слотах не принесли вам никаких проблем!
×