Перейти к содержанию
SuperBrat

Dr.Web не хочет добавить в базу вирус Virus.Win32.Small.x

Recommended Posts

SuperBrat

При изучении коллекции в разделе "Анализ вредоносных программ (malware)" встретил знакомый вирус Virus.Win32.Small.x (KAV) или Mal/Behav-043 (Sophos), включенный в детект 18 апреля и 26 апреля 2007 соответственно. Зная, что при прошлой встрече с ним его не ловил Dr.Web Cure-IT, решил послать зловреда в лабораторию. Посылал 4 раза ( :!: ). Проверки через Virustotal и др. сервисы показали, что вирус в базу Dr.Web добавлять отказывается. Сделав сутки назад 5-ю контрольную "посылку", открываю тему на форуме с единственным вопросом:

"Почему опасный вирус спустя 2 месяца не добавлен в базы антивируса Dr.Web?"

untitled1bm4.th.png

kav.txt

drweb.txt

kav.txt

drweb.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Лично мне это тоже очень не понятно, как, видимо, и многим на форумах доктора.

Там уже точно пара-тройка, а может и больше подобных тем есть.

Человек хочет помочь, и компании, да и себе, а ему отказывают.

В таких случаях отторжение может возникать на подсознательном уровне.

Человек -животное общественное. И взаимопомощь у многих в крови. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Н-да. Интересно, а что скажут на эту тему представители Dr Web Или просто промолчат?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Интересно, а что скажут на эту тему

Ответы от них (живые) последнее время не приходят, но вирье вроде добавляют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

все в отпуске!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
все в отпуске!

Вы прекрасно осведомлены.

http://live.drweb.com/

Today virus requests* report

Analyst In work Done

Mikhail Kasimov 0 106

Eduard Moskalchuk 0 43

Alexey Tkachenko 0 19

Cyrill Presnyakov 0 11

Igor Daniloff 0 11

Aleksey Olendar 0 9

Igor Zdobnov 0 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Valery Ledovskoy, еще не все вернулись из отпуска? Третий месяц пошел недобавления Virus.Win32.Small.x.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Третий месяц пошел недобавления Virus.Win32.Small.x.

Архив взял, попробую разобраться.

Добавлено спустя 30 минут 31 секунду:

Кстати, этот сэмпл ещё многие не детектят. Например:

McAfee;

Microsoft;

Panda;

Symantec.

Тоже не хотят?

Добавлено спустя 1 минуту 4 секунды:

Странно, что у нода детектится как Win32/Small.X. Паразитирует на Касперском? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Кстати, этот сэмпл ещё многие не детектят.

Ваши аналитики работают исключительно по вердиктам главных "тормозов" индустрии? ;)

Вердикты Sophos, AVG, AVIRA, AVAST не в счет?

Странно, что у нода детектится как Win32/Small.X. Паразитирует на Касперском?

Ну, придумайте имя с числами.

P.S. Зверь действительно опасный и работоспособный под Windows, создает несколько тысяч зараженных exe-файлов за несколько минут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Я просто привёл тут свою интерпретацию того, что мне выдал virustotal, пока аналитики думают :)

То, что вирус опасный - понятно. Почему не добавили - непонятно. Пробую поднять вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Кстати, этот сэмпл ещё многие не детектят. Например:

McAfee;

Microsoft;

Panda;

Symantec.

Тоже не хотят?

Вероятно, их отдел маркетинга решил, что добавление этого сэмпла в базы лишено смысла, так как не увеличит объём продаж компаний...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вероятно, их отдел маркетинга решил, что добавление этого сэмпла в базы лишено смысла, так как не увеличит объём продаж компаний...

Интересная интерпретация :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Так добавил Доктор Веб уже этот вирус в базы или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так добавил Доктор Веб уже этот вирус в базы или нет?

Win32.Silly - http://info.drweb.com/virus_description/162503

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
File WINDOWS.exe- received on 07.24.2007 18:53:13 (CET)

Current status: finished

Antivirus Version Last Update Result

AhnLab-V3 2007.7.25.0 2007.07.24 no virus found

AntiVir 7.4.0.44 2007.07.24 Worm/Agent.26624

Authentium 4.93.8 2007.07.23 no virus found

Avast 4.7.997.0 2007.07.24 Win32:Delf-ETA

AVG 7.5.0.476 2007.07.24 Worm/Generic.BGJ

BitDefender 7.2 2007.07.24 Trojan.Hacdelmi.A

CAT-QuickHeal 9.00 2007.07.24 no virus found

ClamAV devel-20070416 2007.07.24 no virus found

DrWeb 4.33 2007.07.24 Win32.Silly

eSafe 7.0.15.0 2007.07.23 Virus.Win32.Small.x

eTrust-Vet 31.1.5003 2007.07.24 no virus found

Ewido 4.0 2007.07.24 no virus found

FileAdvisor 1 2007.07.24 High threat detected

Fortinet 2.91.0.0 2007.07.24 W32/Small.X

F-Prot 4.3.2.48 2007.07.23 no virus found

F-Secure 6.70.13030.0 2007.07.24 Virus.Win32.Small.x

Ikarus T3.1.1.8 2007.07.24 Virus.Win32.VB.bb

Kaspersky 4.0.2.24 2007.07.24 Virus.Win32.Small.x

McAfee 5080 2007.07.23 no virus found

Microsoft 1.2704 2007.07.24 no virus found

NOD32v2 2417 2007.07.24 Win32/Small.X

Norman 5.80.02 2007.07.24 W32/P2PWorm

Panda 9.0.0.4 2007.07.24 Generic Malware

Sophos 4.19.0 2007.07.17 Mal/Behav-043

Sunbelt 2.2.907.0 2007.07.24 no virus found

Symantec 10 2007.07.24 no virus found

TheHacker 6.1.7.152 2007.07.23 Trojan/Small.gen

VBA32 3.12.2.1 2007.07.23 no virus found

VirusBuster 4.3.26:9 2007.07.24 no virus found

Webwasher-Gateway 6.0.1 2007.07.24 Worm.Agent.26624

Additional information

File size: 26624 bytes

MD5: c377d6873b4bac434c69f2e5dc99f721

SHA1: 23cd7d06579eff2d6333a373f864ddc205cc7c34

Спасибо всем кто посодействовал! Dr.Web можно пожелать быть чуточку расторопней. 3 месяца - это очень долго. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры...

Будем надеяться, что их ISO9001 не даст пропасть посланному образцу. Глядишь через месяц добавят. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Глядишь через месяц добавят. ;)

... и очень тщательно вылечат компы заразившихся за этот месяц юзеров =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры...

Будем надеяться, что их ISO9001 не даст пропасть посланному образцу. Глядишь через месяц добавят. ;)

а насколько опасен сей малварь? Кто оценил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
а насколько опасен сей малварь? Кто оценил?

В том числе и работники вашей компании, слава богу. Пост на предыдущей странице.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
а насколько опасен сей малварь? Кто оценил?

В том числе и работники вашей компании, слава богу. Пост на предыдущей странице.

описание то его и сподвигло на написание моего поста :) Уровень опасности весьма вызывает сомнения. Он то вредонос - понятно. А вот уровень его опасности? Явно не "красный" и не "оранжевый" по терминологии Пентагона :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

alexgr, вы заняли неправильную позицию в этом вопросе. Пользователей вашего продукта надо защищать, а не оправдываться, метя зловредов цветами "вероятного противника". Очень жаль, что вы этого не понимаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

будем поднимать историю с "цветами"? :D

Добавлено спустя 6 минут 11 секунд:

пометим главными негодяями вендоров, которые до сих пор не добавили сей вредонос, отметим иным цветом до сих пор не внесших Parite.2 и Plastix..... а еще отдельно отметим не создавшим процедуры удаления серьезных троянов, которые "укладыают" систему... Детект есть и ладно... а если прорвался - то... Исходя из перечисленного для меня в целом странен изначальный пост... Дать более развернутый список более серьезных вредоносов, которрые по 3 месяца не включали в списки, и посейчас не всегда корректно детектят и дезактивируют?или важны только те, которые не Dr.Web не внес? Или те "большие" вендоры просто проигнорируют такие "наезды"? :) несерьезно как минимум, а в целом выглядит весьма необъективно, сорри

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Исходя из перечисленного для меня в целом странен изначальный пост...

Суть его в том, что надо добавлять файло, присланное юзерами всегда, что-бы не было таких постов. В смысле всегда отвечать юзеру.

Об этом уже скоро год как форумах доктора трындится множеством юзеров.

А те которые не добавляют 3 месяца Parite.2 и Plastix... Ну дык значит не от юзеров получили, а так бы 99,5 процента, что давно добавили бы.

Потому что понимают важность отсутствия подобных изначальных постов. :)

Так что просто банально не надо подставляться. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Исходя из перечисленного для меня в целом странен изначальный пост...

Суть его в том, что надо добавлять файло, присланное юзерами всегда, что-бы не было таких постов.

Об этом уже скоро год как форумах доктора трындится множеством юзеров.

А те которые не добавляют 3 месяца Parite.2 и Plastix... Ну дык значит не от юзеров получили, а так бы 99,5 процента, что давно добавили бы.

Потому что понимают важность отсутствия подобных изначальных постов. :)

Так что просто банально не надо подставляться. :)

Dexter, не занимайтесь политикой двойных стандартов - по меньшей мере, это недостойное занятие для образованных людей. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×