Перейти к содержанию
Kalibra666

Лаборатория Касперского не добавляет вирус в базы. Почему?

Recommended Posts

Kalibra666

Чтобы детект увидели и скопировали, он должен быть на Вирустотале.

 

Приятель давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит.    http://forum.kasperskyclub.ru/index.php?showtopic=43460

 

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustotal.com/ru/file/8342875121ec7b9867b70bb7587a5e5afedfe9256437e4b9e8cf7647b1977662/analysis/

До сих пор вируса нет в базе ЛК.

И только честные DrWeb, Eset и Аваст (из наиболее распостраненых) борются с ним.

Т.е. ЛК не ворует у других, но и иногда и меры не принимает, хотя ему в первую очередь вирус и посылали, а потом уже разместили на VirusTotal.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustot...77662/analysis/До сих пор вируса нет в базе ЛК.

А также нет  Симантека, ТрендМикро и ВБА32)))

Предлагаю поплакаться и у них :lol::lol:  Какие они плохие

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

Так как подозреваю география вируса в основном в Туркменистане, то привёл только те антивирусы, которые в ходу у нас.

 

А конкретно по указанным вами - не высылали им вирус. Нет файла для обработки - детекта нет у них. Касперский наверное не поделился с ними информацией...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Меня удручает ваша неосведомленность ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Меня удручает этот Туркменский vbs мегавирус на 15 строк, мигающий светоидами на клавиатуре. Кто умножает мигания, тот умножает скорбь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kmscom

давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит

впервые слышу чтоб ЛК фиксила что то, отправленное в ФЛК. отправленное на форум, тоже не фиксятся, для этого существуют регламентированные каналы отправки.

и то что называется вирусом, не является им. давайте сначала определимся с понятием, что такое вирус?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Так как подозреваю география вируса в основном в Туркменистане, то привёл только те антивирусы, которые в ходу у нас.

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Меня удручает этот Туркменский vbs мегавирус на 15 строк, мигающий светоидами на клавиатуре. Кто умножает мигания, тот умножает скорбь...

А это еще не вирус - у этого чуда  школьной мысли есть еще дроппер в виде CMD файла на целых 17 строк (он создает задание планировщика для запуска мигающего клавиатурными индикаторами скрипта +раскладывает свою копию на диски d: - n:, причем без создания autorun.inf или его аналогов для автозапуска скопированного файла). Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :) Вирусом в общем-то не является, но так как в "дроппере" есть еще одна злая шуточка (также известный школьный прикол, вызов функции SwapMouseButton), можно пожалуй подумать и задетектить как-то, как BadJoke например ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

и то что называется вирусом, не является им. давайте сначала определимся с понятием, что такое вирус?

впервые слышу чтоб ЛК фиксила что то, отправленное в ФЛК. отправленное на форум, тоже не фиксятся, для этого существуют регламентированные каналы отправки.

 

Dubai2, оказывается, поднимал тему на оф.форуме по этому вирусу и вирус отправлял в Вирлаб.ЛК - http://forum.kaspersky.com/index.php?showtopic=298719

Но модератор  kmscom успешно предотвратил дальнейшее решение вопроса.

 

 

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Прикол - не прикол, как он попадает на компы пользователей - не знаю. Но конкретно мешает работе.

Я его уже раз 100 убирал вручную  в организациях, т.к. Касперский не реагирует. У некоторых пользователей, у которые потом Касперский повторно пропустил этот вирус, пришлось ставить Eset.

 

Так до сих пор Касперский его и не детектит.

 

priv8v, можете ухмыляться по этому поводу сколько угодно, но меня лично очень раздражает такая ситуация - тратить своё рабочее время на поездки в организации для ручного удалению этого вируса, который должен не пропускать и удалять антивирус, за который пользователи деньги заплатили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

 Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :)

 

Ссылочку на туркменский форум с исходниками этого чуда - можно предоставить в студию?

Или требовалось от вас просто ляпнуть кабы что для красного словца?

 

Если это не вирус, то почему владельцы лицензионного Касперского должны изучать какие то скрипты AVZ и вручную удалять его из компа, т.к. он реально вешает комп. Для кого то это шутка (например, для работника ЛК), а кому то (пользователю лицензионного антивируса от ЛК) это мешает в офисной работе.

 

Ещё раз - как вирус заражает комп, я не в курсе. Этим и предотвращением заражения и удалением из системы вируса - должен был заниматься вирусный аналитик в ЛК, которому и отсылали вирус. Сочли там этот файл шуткой - веселитесь.

А вот другим - не до шуток.

 

Хорошо хоть в Eset и DrWeb таких весельчаков в вирлабе нет - в отличии от Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

 

 

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Прикол - не прикол, как он попадает на компы пользователей - не знаю. Но конкретно мешает работе.

Я его уже раз 100 убирал вручную  в организациях, т.к. Касперский не реагирует. У некоторых пользователей, у которые потом Касперский повторно пропустил этот вирус, пришлось ставить Eset.

 

Так до сих пор Касперский его и не детектит.

 

Судя по статистике - 4 факта обнаружения за месяц ... и все - из Туркменистана, с примерно одного набора ПК суды по всему. Сказать, что это нечто популярное - совершенно невозможно. У семпла нет функций рассылки по почте, заражения ПК через сеть, нет функций воровства, уничтожения или повреждения информации и так далее, autorun.inf он не использует - вариант с автозапуском исключен... следовательно, стоит в первую очередь подумать о том, а как именно он "на ПК пользователей, откуда его удаляли 100 раз" попадал ? Его же нужно принести на ПК (например на флешке), а далее запустить вручную с правами администратора (права необходимы, так как батник создает задания планировщика и копирует себя в папку System32). Логично предположить, что кто-то специально приносит его и запускает ... Антивирус в таких ситуациях не сильно поможет, так как вариантов подобных приколов миллиарды, и отличить скажем батник админа от батника шутника, равно как  задетектить все мыслимые поделки шутников нереально, да и не нужно.  

Плюс в организациях не антивирусы нужно удалять в таких случаях, а имхо понять:

- как эта штука попадает на компьютеры ? Это самый интересный вопрос, с учетом вышесказанного ... в частности, получается, что или "шутник" внутри конторы, или пользователи совершенно безграмотны и сами как-то запускают его (но даже если так - то откуда пользователи берут этот батник для его запуска вручную ?!) 

- почему пользователи организации сидят под учетными записями с правами администратора ? (ведь нет ничего сложного в том, чтобы урезать права пользователя в разумных пределах, беззатратно повысив защищенность ПК в 2-3 раза и снизив необходимость техобслуживания в те самые 2-3 раза. Хотя если фирмы обслуживаются неким "приходящим" спецом, то ему как раз логично это не делать - чем больше проблем,тем чаще его вызывают  :) )

- почему на ПК нет политик ограниченного запуска программ, запрещающих юзерам запускать что-либо со сменных и сетевых накопителей ? Эпоха флеш-вирусов уже в общем-то прошла, но простейшую меру безопасности, тем более реализуемую средствами операционной системы за 2 минуты просто грех не реализовать. Это в плане защиты от подобных шутников, если не поможет - повод еще плотнее задуматься, как и откуда этот батника попадает на компьютеры.

 

 Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :)

 

Ссылочку на туркменский форум с исходниками этого чуда - можно предоставить в студию?

Или требовалось от вас просто ляпнуть кабы что для красного словца?

 

Гугл в помощь, ключевая строка для поиска - "8F234A4B84AA", вторая ссылка сверху - проблемный батник байт в байт ... понять суть дискуссии трудно, но сам факт наличия там наличие исходника этого батника и тот факт, что у батника вполне четко определенная сфера распространения позволяет делать выводы (в частности такие, что "кулхацкеры" и шутники мелких контор найдя такой действующий скрипт возьмут на вооружение). А более широкий поиск s.sendkeys"{capslock}" прикол даст тучу ссылок по всему миру на скрипты, из которых собраная данная штука - но применительно, конкретно проблемного батника на сайтах как минимум первой десятки нет

  • Upvote 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я бы надеялся на месте авторов, чтобы этот сампл никто не детектировал. А то ведь срок могут накинуть за написание вредоносных программ. И будет смешно:

- Корешок, ты за что сидишь?

- Хакер я.

- Сколько денег и секретов украл?

- Нисколько, я батник поприкалываться написал.

 

  :lol:

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

Фактов статистики в инете с Туркменистана - ну что вы такой глупый то? Инет дорогой, я сам при установке антивируса всегда отключаю КСН. Нечего трафик лишний жрать антивирусу.

Как заражает вирус комп - не в курсе, но точно знаю, что работники это специально делать не будут. А винда да - как и у многих - под правами администратора.

То, что касперский "не хочет лечит" этот вирус - согласен - его проблемы. Часть пользователей из-за лени Касперского перейдет к конкурентам.

  Сергей Ильин, а вы автора вируса знаете? Так уверенно что то там заявляете.

Но ведь вам же Зайцев говорит, что это и не вирус - так откуда же такая несогласованность с ним при одновременной поддержке?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

Батенька, да вы проспитесь идите, а уже потом Олега поучать будете.

По предоставленным Олегом "ссылкам" лежат батники, которые создают тот самый "вирус" исходники которого вы не нашли (об этом черным по белому Олег и писал). Так что он без знания туркменского понял больше, чем некоторые :lol:

 

но точно знаю, что работники это специально делать не будут.

И их дети тоже, Аминь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

 

Ура, меня простили ! :) На сайте _ertir.com лежит полная (имеется в виду байт в байт, точнее "символ в символ") копия того BAT файла, что внедряет VBS прикол на проблемные компьютеры (собственно, я именно так ее и нашел - взял характерное статическое имя задания планировщика из логов с проблемных ПК и забил в поиск). Именно оно копирует VBS с приколом на диск и создает задание планировщика, запускающее прикол через определенные интервалы, раздражая в итоге юзера. Причем на указанном сайте в соседних ветках обсуждаются более деструктивные батники с такими замечательными командами, как deltree на весь диск C: и т.п. - так что есть пути развития ситуации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ну это на первый раз простили, но туркменский язык придется все-таки выучить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Приятель давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит.    http://forum.kasperskyclub.ru/index.php?showtopic=43460

 

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustotal.com/ru/file/8342875121ec7b9867b70bb7587a5e5afedfe9256437e4b9e8cf7647b1977662/analysis/

До сих пор вируса нет в базе ЛК.

 

http://whitelist.kaspersky.ru/advisor-ru#search/5b20dbe3cfe6c1a69f0368e8e96073df  Добавлен:   22.07.2014 12:26:00

Опасность: UDS:DangerousObject.Multi.Generic

 Инет дорогой, я сам при установке антивируса всегда отключаю КСН. Нечего трафик лишний жрать антивирусу.

 

 А есть ли связь между "отключен KSN"  и "Касперский его и не детектит" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666
Опасность: UDS:DangerousObject.Multi.Generic

 

Я читал это по той ссылке, которую предоставил.

Вот действительно парадокс - "опасность" на словах есть - т.е. в облаке, а детекта у Касперского нет.

 

Зайцев Олег, простите уж меня за назойливость, но логи с темы в ФКЛК, если я не ошибаюсь сделаны с компа с Windows7. Автозапуск с флешек в 7-ке изначально отключен.

Вы так и не пояснили, каким образом вирус попал на комп, при включенном Касперском.

По поводу указанного вами форума, то некто просто вытащил файл с вирусом с уже зараженного компа и просто поделился им, возможно. Очень сомневаюсь, что кто-то специально обошёл сотни компов и заразил их запуском файла .bat

Вы хоть время посмотрите - когда тема была в ФКЛК и дату поста на этом _ertir.com А по поводу статистики у ЛК по этому вирусу - инет очень дорогой для организаций, в то время вообще были космические цены. Абсолютное кол-во зараженных компов этим вирусом (которые я вручную чистил) были без доступа в инет. http://www.yaplakal.com/forum14/st/0/topic308067.html?hl=#entry6649431

 

 

Но даже если всё и так, как вы себе представляете - почему Касперский не должен удалять эту заразу из системы?

Зачем тогда вообще антивирус от него нужен? Если деньги пользователь заплатил, вирус отправил в Вирлаб ЛК, а там просто посмеялись выходит, типа дальше сами ..... Весело, друзья.

Я несколько ложных срабатываний в свое время отправлял в ЛК, когда не нужно заносили в детект незамедлительно. А что сейчас - потому что в Туркменистане КСН Касперского показывает всего 4 заражения в месяц - то и .... с ними?

Надоел наверное я уже с ФКЛК, но ведь там такая же ситуация. Как только получили команду не давать призы в Туркменистан - то сразу пошла грязь в адрес меня и других участников с Туркменистана.. Легче назвать троллем и сволочью, чем отдать честно заработанный приз в викторинах и конкурсах.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Kalibra666 , вы писали что у вас KSN отключен. Может касперский не детектит потому, что KSN отключен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Kalibra666 забанен. Не нужно больше ему писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко
deltree на весь диск C:

 

Есть более конкретные вирусы, вроде BAT/Delwin, но что-то они не работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нашел штук пять "вирусов" с таким детектом разных. Они как раз и используют указанные Олегом технологии - трут системные папки и файлы (или по крайней мере пытаются)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

 

deltree на весь диск C:

 

Есть более конкретные вирусы, вроде BAT/Delwin, но что-то они не работают.

 

Работали (на XP как минимум). На Win7 и последующих системах чтобы такой "вирус" сработал, нужно запустить его от имени админа и отключив UAC. Плюс если с уничтожением системных файлов есть надежда на защиту со стороны ОС (прав не хватит и т.п.), то в плане уничтожения данных юзера или данных на доступных на запись сетевых шарах вообще не проблема. Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Весело у вас там :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Жескач... :o

 

Интересно, а потом какая репутация у такого работника будет ? :lol: 

 

Хотя отмарозков хватает, иногда делают и по страшнее вещи, что-бы "Отомстить работодателю..." ! :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Если сотрудник имел хотя бы права на создание этого задания планировщика, то он мог и унести конфиденциальную инфу сотрудников, корпоративные секреты и т. д. Если просто мстить, то зависит от того, есть ли другой админ или замены придет через месяц только работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×