Перейти к содержанию
Kalibra666

Лаборатория Касперского не добавляет вирус в базы. Почему?

Recommended Posts

Kalibra666

Чтобы детект увидели и скопировали, он должен быть на Вирустотале.

 

Приятель давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит.    http://forum.kasperskyclub.ru/index.php?showtopic=43460

 

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustotal.com/ru/file/8342875121ec7b9867b70bb7587a5e5afedfe9256437e4b9e8cf7647b1977662/analysis/

До сих пор вируса нет в базе ЛК.

И только честные DrWeb, Eset и Аваст (из наиболее распостраненых) борются с ним.

Т.е. ЛК не ворует у других, но и иногда и меры не принимает, хотя ему в первую очередь вирус и посылали, а потом уже разместили на VirusTotal.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustot...77662/analysis/До сих пор вируса нет в базе ЛК.

А также нет  Симантека, ТрендМикро и ВБА32)))

Предлагаю поплакаться и у них :lol::lol:  Какие они плохие

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

Так как подозреваю география вируса в основном в Туркменистане, то привёл только те антивирусы, которые в ходу у нас.

 

А конкретно по указанным вами - не высылали им вирус. Нет файла для обработки - детекта нет у них. Касперский наверное не поделился с ними информацией...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Меня удручает ваша неосведомленность ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Меня удручает этот Туркменский vbs мегавирус на 15 строк, мигающий светоидами на клавиатуре. Кто умножает мигания, тот умножает скорбь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kmscom

давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит

впервые слышу чтоб ЛК фиксила что то, отправленное в ФЛК. отправленное на форум, тоже не фиксятся, для этого существуют регламентированные каналы отправки.

и то что называется вирусом, не является им. давайте сначала определимся с понятием, что такое вирус?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Так как подозреваю география вируса в основном в Туркменистане, то привёл только те антивирусы, которые в ходу у нас.

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Меня удручает этот Туркменский vbs мегавирус на 15 строк, мигающий светоидами на клавиатуре. Кто умножает мигания, тот умножает скорбь...

А это еще не вирус - у этого чуда  школьной мысли есть еще дроппер в виде CMD файла на целых 17 строк (он создает задание планировщика для запуска мигающего клавиатурными индикаторами скрипта +раскладывает свою копию на диски d: - n:, причем без создания autorun.inf или его аналогов для автозапуска скопированного файла). Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :) Вирусом в общем-то не является, но так как в "дроппере" есть еще одна злая шуточка (также известный школьный прикол, вызов функции SwapMouseButton), можно пожалуй подумать и задетектить как-то, как BadJoke например ...

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

и то что называется вирусом, не является им. давайте сначала определимся с понятием, что такое вирус?

впервые слышу чтоб ЛК фиксила что то, отправленное в ФЛК. отправленное на форум, тоже не фиксятся, для этого существуют регламентированные каналы отправки.

 

Dubai2, оказывается, поднимал тему на оф.форуме по этому вирусу и вирус отправлял в Вирлаб.ЛК - http://forum.kaspersky.com/index.php?showtopic=298719

Но модератор  kmscom успешно предотвратил дальнейшее решение вопроса.

 

 

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Прикол - не прикол, как он попадает на компы пользователей - не знаю. Но конкретно мешает работе.

Я его уже раз 100 убирал вручную  в организациях, т.к. Касперский не реагирует. У некоторых пользователей, у которые потом Касперский повторно пропустил этот вирус, пришлось ставить Eset.

 

Так до сих пор Касперский его и не детектит.

 

priv8v, можете ухмыляться по этому поводу сколько угодно, но меня лично очень раздражает такая ситуация - тратить своё рабочее время на поездки в организации для ручного удалению этого вируса, который должен не пропускать и удалять антивирус, за который пользователи деньги заплатили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

 Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :)

 

Ссылочку на туркменский форум с исходниками этого чуда - можно предоставить в студию?

Или требовалось от вас просто ляпнуть кабы что для красного словца?

 

Если это не вирус, то почему владельцы лицензионного Касперского должны изучать какие то скрипты AVZ и вручную удалять его из компа, т.к. он реально вешает комп. Для кого то это шутка (например, для работника ЛК), а кому то (пользователю лицензионного антивируса от ЛК) это мешает в офисной работе.

 

Ещё раз - как вирус заражает комп, я не в курсе. Этим и предотвращением заражения и удалением из системы вируса - должен был заниматься вирусный аналитик в ЛК, которому и отсылали вирус. Сочли там этот файл шуткой - веселитесь.

А вот другим - не до шуток.

 

Хорошо хоть в Eset и DrWeb таких весельчаков в вирлабе нет - в отличии от Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

 

 

Начнем с того, что это не вирус, а детский прикол, популярный у школьников 8-10 класса.

 

Прикол - не прикол, как он попадает на компы пользователей - не знаю. Но конкретно мешает работе.

Я его уже раз 100 убирал вручную  в организациях, т.к. Касперский не реагирует. У некоторых пользователей, у которые потом Касперский повторно пропустил этот вирус, пришлось ставить Eset.

 

Так до сих пор Касперский его и не детектит.

 

Судя по статистике - 4 факта обнаружения за месяц ... и все - из Туркменистана, с примерно одного набора ПК суды по всему. Сказать, что это нечто популярное - совершенно невозможно. У семпла нет функций рассылки по почте, заражения ПК через сеть, нет функций воровства, уничтожения или повреждения информации и так далее, autorun.inf он не использует - вариант с автозапуском исключен... следовательно, стоит в первую очередь подумать о том, а как именно он "на ПК пользователей, откуда его удаляли 100 раз" попадал ? Его же нужно принести на ПК (например на флешке), а далее запустить вручную с правами администратора (права необходимы, так как батник создает задания планировщика и копирует себя в папку System32). Логично предположить, что кто-то специально приносит его и запускает ... Антивирус в таких ситуациях не сильно поможет, так как вариантов подобных приколов миллиарды, и отличить скажем батник админа от батника шутника, равно как  задетектить все мыслимые поделки шутников нереально, да и не нужно.  

Плюс в организациях не антивирусы нужно удалять в таких случаях, а имхо понять:

- как эта штука попадает на компьютеры ? Это самый интересный вопрос, с учетом вышесказанного ... в частности, получается, что или "шутник" внутри конторы, или пользователи совершенно безграмотны и сами как-то запускают его (но даже если так - то откуда пользователи берут этот батник для его запуска вручную ?!) 

- почему пользователи организации сидят под учетными записями с правами администратора ? (ведь нет ничего сложного в том, чтобы урезать права пользователя в разумных пределах, беззатратно повысив защищенность ПК в 2-3 раза и снизив необходимость техобслуживания в те самые 2-3 раза. Хотя если фирмы обслуживаются неким "приходящим" спецом, то ему как раз логично это не делать - чем больше проблем,тем чаще его вызывают  :) )

- почему на ПК нет политик ограниченного запуска программ, запрещающих юзерам запускать что-либо со сменных и сетевых накопителей ? Эпоха флеш-вирусов уже в общем-то прошла, но простейшую меру безопасности, тем более реализуемую средствами операционной системы за 2 минуты просто грех не реализовать. Это в плане защиты от подобных шутников, если не поможет - повод еще плотнее задуматься, как и откуда этот батника попадает на компьютеры.

 

 Исходники этого чуда гуляют по Туркменским форумам, видимо так он и размножается :)

 

Ссылочку на туркменский форум с исходниками этого чуда - можно предоставить в студию?

Или требовалось от вас просто ляпнуть кабы что для красного словца?

 

Гугл в помощь, ключевая строка для поиска - "8F234A4B84AA", вторая ссылка сверху - проблемный батник байт в байт ... понять суть дискуссии трудно, но сам факт наличия там наличие исходника этого батника и тот факт, что у батника вполне четко определенная сфера распространения позволяет делать выводы (в частности такие, что "кулхацкеры" и шутники мелких контор найдя такой действующий скрипт возьмут на вооружение). А более широкий поиск s.sendkeys"{capslock}" прикол даст тучу ссылок по всему миру на скрипты, из которых собраная данная штука - но применительно, конкретно проблемного батника на сайтах как минимум первой десятки нет

  • Upvote 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я бы надеялся на месте авторов, чтобы этот сампл никто не детектировал. А то ведь срок могут накинуть за написание вредоносных программ. И будет смешно:

- Корешок, ты за что сидишь?

- Хакер я.

- Сколько денег и секретов украл?

- Нисколько, я батник поприкалываться написал.

 

  :lol:

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

Фактов статистики в инете с Туркменистана - ну что вы такой глупый то? Инет дорогой, я сам при установке антивируса всегда отключаю КСН. Нечего трафик лишний жрать антивирусу.

Как заражает вирус комп - не в курсе, но точно знаю, что работники это специально делать не будут. А винда да - как и у многих - под правами администратора.

То, что касперский "не хочет лечит" этот вирус - согласен - его проблемы. Часть пользователей из-за лени Касперского перейдет к конкурентам.

  Сергей Ильин, а вы автора вируса знаете? Так уверенно что то там заявляете.

Но ведь вам же Зайцев говорит, что это и не вирус - так откуда же такая несогласованность с ним при одновременной поддержке?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

Батенька, да вы проспитесь идите, а уже потом Олега поучать будете.

По предоставленным Олегом "ссылкам" лежат батники, которые создают тот самый "вирус" исходники которого вы не нашли (об этом черным по белому Олег и писал). Так что он без знания туркменского понял больше, чем некоторые :lol:

 

но точно знаю, что работники это специально делать не будут.

И их дети тоже, Аминь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Зайцев Олег, посмотрел ваши сслыки. Там нет этого исходников этого вирусаю Речь там несколько о другом. Хотя вам можно простить из-за не знания вами туркменского языка.

 

Ура, меня простили ! :) На сайте _ertir.com лежит полная (имеется в виду байт в байт, точнее "символ в символ") копия того BAT файла, что внедряет VBS прикол на проблемные компьютеры (собственно, я именно так ее и нашел - взял характерное статическое имя задания планировщика из логов с проблемных ПК и забил в поиск). Именно оно копирует VBS с приколом на диск и создает задание планировщика, запускающее прикол через определенные интервалы, раздражая в итоге юзера. Причем на указанном сайте в соседних ветках обсуждаются более деструктивные батники с такими замечательными командами, как deltree на весь диск C: и т.п. - так что есть пути развития ситуации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ну это на первый раз простили, но туркменский язык придется все-таки выучить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Приятель давным-давно отправлял вирус в ФКЛК, но ЛК его до сих пор не фиксит.    http://forum.kasperskyclub.ru/index.php?showtopic=43460

 

Ну и что с того, что вирус уже больше года - как на Вирустотале - https://www.virustotal.com/ru/file/8342875121ec7b9867b70bb7587a5e5afedfe9256437e4b9e8cf7647b1977662/analysis/

До сих пор вируса нет в базе ЛК.

 

http://whitelist.kaspersky.ru/advisor-ru#search/5b20dbe3cfe6c1a69f0368e8e96073df  Добавлен:   22.07.2014 12:26:00

Опасность: UDS:DangerousObject.Multi.Generic

 Инет дорогой, я сам при установке антивируса всегда отключаю КСН. Нечего трафик лишний жрать антивирусу.

 

 А есть ли связь между "отключен KSN"  и "Касперский его и не детектит" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kalibra666
Опасность: UDS:DangerousObject.Multi.Generic

 

Я читал это по той ссылке, которую предоставил.

Вот действительно парадокс - "опасность" на словах есть - т.е. в облаке, а детекта у Касперского нет.

 

Зайцев Олег, простите уж меня за назойливость, но логи с темы в ФКЛК, если я не ошибаюсь сделаны с компа с Windows7. Автозапуск с флешек в 7-ке изначально отключен.

Вы так и не пояснили, каким образом вирус попал на комп, при включенном Касперском.

По поводу указанного вами форума, то некто просто вытащил файл с вирусом с уже зараженного компа и просто поделился им, возможно. Очень сомневаюсь, что кто-то специально обошёл сотни компов и заразил их запуском файла .bat

Вы хоть время посмотрите - когда тема была в ФКЛК и дату поста на этом _ertir.com А по поводу статистики у ЛК по этому вирусу - инет очень дорогой для организаций, в то время вообще были космические цены. Абсолютное кол-во зараженных компов этим вирусом (которые я вручную чистил) были без доступа в инет. http://www.yaplakal.com/forum14/st/0/topic308067.html?hl=#entry6649431

 

 

Но даже если всё и так, как вы себе представляете - почему Касперский не должен удалять эту заразу из системы?

Зачем тогда вообще антивирус от него нужен? Если деньги пользователь заплатил, вирус отправил в Вирлаб ЛК, а там просто посмеялись выходит, типа дальше сами ..... Весело, друзья.

Я несколько ложных срабатываний в свое время отправлял в ЛК, когда не нужно заносили в детект незамедлительно. А что сейчас - потому что в Туркменистане КСН Касперского показывает всего 4 заражения в месяц - то и .... с ними?

Надоел наверное я уже с ФКЛК, но ведь там такая же ситуация. Как только получили команду не давать призы в Туркменистан - то сразу пошла грязь в адрес меня и других участников с Туркменистана.. Легче назвать троллем и сволочью, чем отдать честно заработанный приз в викторинах и конкурсах.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Kalibra666 , вы писали что у вас KSN отключен. Может касперский не детектит потому, что KSN отключен ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Kalibra666 забанен. Не нужно больше ему писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко
deltree на весь диск C:

 

Есть более конкретные вирусы, вроде BAT/Delwin, но что-то они не работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Нашел штук пять "вирусов" с таким детектом разных. Они как раз и используют указанные Олегом технологии - трут системные папки и файлы (или по крайней мере пытаются)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

 

deltree на весь диск C:

 

Есть более конкретные вирусы, вроде BAT/Delwin, но что-то они не работают.

 

Работали (на XP как минимум). На Win7 и последующих системах чтобы такой "вирус" сработал, нужно запустить его от имени админа и отключив UAC. Плюс если с уничтожением системных файлов есть надежда на защиту со стороны ОС (прав не хватит и т.п.), то в плане уничтожения данных юзера или данных на доступных на запись сетевых шарах вообще не проблема. Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Весело у вас там :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Периодически сталкиваюсь с такими "вирусами" в практике, пишут такое обычно обиженные сотрудники перед увольнение дабы отомстить работодателю (запихивают потом такое в планировщик и взводят дату запуска на +10 ... 100 дней от даты увольнения...

Жескач... :o

 

Интересно, а потом какая репутация у такого работника будет ? :lol: 

 

Хотя отмарозков хватает, иногда делают и по страшнее вещи, что-бы "Отомстить работодателю..." ! :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Если сотрудник имел хотя бы права на создание этого задания планировщика, то он мог и унести конфиденциальную инфу сотрудников, корпоративные секреты и т. д. Если просто мстить, то зависит от того, есть ли другой админ или замены придет через месяц только работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×