Перейти к содержанию
SuperBrat

Dr.Web не хочет добавить в базу вирус Virus.Win32.Small.x

Recommended Posts

SuperBrat

При изучении коллекции в разделе "Анализ вредоносных программ (malware)" встретил знакомый вирус Virus.Win32.Small.x (KAV) или Mal/Behav-043 (Sophos), включенный в детект 18 апреля и 26 апреля 2007 соответственно. Зная, что при прошлой встрече с ним его не ловил Dr.Web Cure-IT, решил послать зловреда в лабораторию. Посылал 4 раза ( :!: ). Проверки через Virustotal и др. сервисы показали, что вирус в базу Dr.Web добавлять отказывается. Сделав сутки назад 5-ю контрольную "посылку", открываю тему на форуме с единственным вопросом:

"Почему опасный вирус спустя 2 месяца не добавлен в базы антивируса Dr.Web?"

untitled1bm4.th.png

kav.txt

drweb.txt

kav.txt

drweb.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Лично мне это тоже очень не понятно, как, видимо, и многим на форумах доктора.

Там уже точно пара-тройка, а может и больше подобных тем есть.

Человек хочет помочь, и компании, да и себе, а ему отказывают.

В таких случаях отторжение может возникать на подсознательном уровне.

Человек -животное общественное. И взаимопомощь у многих в крови. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Н-да. Интересно, а что скажут на эту тему представители Dr Web Или просто промолчат?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Интересно, а что скажут на эту тему

Ответы от них (живые) последнее время не приходят, но вирье вроде добавляют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

все в отпуске!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
все в отпуске!

Вы прекрасно осведомлены.

http://live.drweb.com/

Today virus requests* report

Analyst In work Done

Mikhail Kasimov 0 106

Eduard Moskalchuk 0 43

Alexey Tkachenko 0 19

Cyrill Presnyakov 0 11

Igor Daniloff 0 11

Aleksey Olendar 0 9

Igor Zdobnov 0 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Valery Ledovskoy, еще не все вернулись из отпуска? Третий месяц пошел недобавления Virus.Win32.Small.x.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Третий месяц пошел недобавления Virus.Win32.Small.x.

Архив взял, попробую разобраться.

Добавлено спустя 30 минут 31 секунду:

Кстати, этот сэмпл ещё многие не детектят. Например:

McAfee;

Microsoft;

Panda;

Symantec.

Тоже не хотят?

Добавлено спустя 1 минуту 4 секунды:

Странно, что у нода детектится как Win32/Small.X. Паразитирует на Касперском? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Кстати, этот сэмпл ещё многие не детектят.

Ваши аналитики работают исключительно по вердиктам главных "тормозов" индустрии? ;)

Вердикты Sophos, AVG, AVIRA, AVAST не в счет?

Странно, что у нода детектится как Win32/Small.X. Паразитирует на Касперском?

Ну, придумайте имя с числами.

P.S. Зверь действительно опасный и работоспособный под Windows, создает несколько тысяч зараженных exe-файлов за несколько минут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Я просто привёл тут свою интерпретацию того, что мне выдал virustotal, пока аналитики думают :)

То, что вирус опасный - понятно. Почему не добавили - непонятно. Пробую поднять вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Кстати, этот сэмпл ещё многие не детектят. Например:

McAfee;

Microsoft;

Panda;

Symantec.

Тоже не хотят?

Вероятно, их отдел маркетинга решил, что добавление этого сэмпла в базы лишено смысла, так как не увеличит объём продаж компаний...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вероятно, их отдел маркетинга решил, что добавление этого сэмпла в базы лишено смысла, так как не увеличит объём продаж компаний...

Интересная интерпретация :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Так добавил Доктор Веб уже этот вирус в базы или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Так добавил Доктор Веб уже этот вирус в базы или нет?

Win32.Silly - http://info.drweb.com/virus_description/162503

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
File WINDOWS.exe- received on 07.24.2007 18:53:13 (CET)

Current status: finished

Antivirus Version Last Update Result

AhnLab-V3 2007.7.25.0 2007.07.24 no virus found

AntiVir 7.4.0.44 2007.07.24 Worm/Agent.26624

Authentium 4.93.8 2007.07.23 no virus found

Avast 4.7.997.0 2007.07.24 Win32:Delf-ETA

AVG 7.5.0.476 2007.07.24 Worm/Generic.BGJ

BitDefender 7.2 2007.07.24 Trojan.Hacdelmi.A

CAT-QuickHeal 9.00 2007.07.24 no virus found

ClamAV devel-20070416 2007.07.24 no virus found

DrWeb 4.33 2007.07.24 Win32.Silly

eSafe 7.0.15.0 2007.07.23 Virus.Win32.Small.x

eTrust-Vet 31.1.5003 2007.07.24 no virus found

Ewido 4.0 2007.07.24 no virus found

FileAdvisor 1 2007.07.24 High threat detected

Fortinet 2.91.0.0 2007.07.24 W32/Small.X

F-Prot 4.3.2.48 2007.07.23 no virus found

F-Secure 6.70.13030.0 2007.07.24 Virus.Win32.Small.x

Ikarus T3.1.1.8 2007.07.24 Virus.Win32.VB.bb

Kaspersky 4.0.2.24 2007.07.24 Virus.Win32.Small.x

McAfee 5080 2007.07.23 no virus found

Microsoft 1.2704 2007.07.24 no virus found

NOD32v2 2417 2007.07.24 Win32/Small.X

Norman 5.80.02 2007.07.24 W32/P2PWorm

Panda 9.0.0.4 2007.07.24 Generic Malware

Sophos 4.19.0 2007.07.17 Mal/Behav-043

Sunbelt 2.2.907.0 2007.07.24 no virus found

Symantec 10 2007.07.24 no virus found

TheHacker 6.1.7.152 2007.07.23 Trojan/Small.gen

VBA32 3.12.2.1 2007.07.23 no virus found

VirusBuster 4.3.26:9 2007.07.24 no virus found

Webwasher-Gateway 6.0.1 2007.07.24 Worm.Agent.26624

Additional information

File size: 26624 bytes

MD5: c377d6873b4bac434c69f2e5dc99f721

SHA1: 23cd7d06579eff2d6333a373f864ddc205cc7c34

Спасибо всем кто посодействовал! Dr.Web можно пожелать быть чуточку расторопней. 3 месяца - это очень долго. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры...

Будем надеяться, что их ISO9001 не даст пропасть посланному образцу. Глядишь через месяц добавят. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Глядишь через месяц добавят. ;)

... и очень тщательно вылечат компы заразившихся за этот месяц юзеров =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Ни Symantec ни McAfee так не добавили вирус в свои базы. Такие уважаемые вендоры...

Будем надеяться, что их ISO9001 не даст пропасть посланному образцу. Глядишь через месяц добавят. ;)

а насколько опасен сей малварь? Кто оценил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
а насколько опасен сей малварь? Кто оценил?

В том числе и работники вашей компании, слава богу. Пост на предыдущей странице.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
а насколько опасен сей малварь? Кто оценил?

В том числе и работники вашей компании, слава богу. Пост на предыдущей странице.

описание то его и сподвигло на написание моего поста :) Уровень опасности весьма вызывает сомнения. Он то вредонос - понятно. А вот уровень его опасности? Явно не "красный" и не "оранжевый" по терминологии Пентагона :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

alexgr, вы заняли неправильную позицию в этом вопросе. Пользователей вашего продукта надо защищать, а не оправдываться, метя зловредов цветами "вероятного противника". Очень жаль, что вы этого не понимаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

будем поднимать историю с "цветами"? :D

Добавлено спустя 6 минут 11 секунд:

пометим главными негодяями вендоров, которые до сих пор не добавили сей вредонос, отметим иным цветом до сих пор не внесших Parite.2 и Plastix..... а еще отдельно отметим не создавшим процедуры удаления серьезных троянов, которые "укладыают" систему... Детект есть и ладно... а если прорвался - то... Исходя из перечисленного для меня в целом странен изначальный пост... Дать более развернутый список более серьезных вредоносов, которрые по 3 месяца не включали в списки, и посейчас не всегда корректно детектят и дезактивируют?или важны только те, которые не Dr.Web не внес? Или те "большие" вендоры просто проигнорируют такие "наезды"? :) несерьезно как минимум, а в целом выглядит весьма необъективно, сорри

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Исходя из перечисленного для меня в целом странен изначальный пост...

Суть его в том, что надо добавлять файло, присланное юзерами всегда, что-бы не было таких постов. В смысле всегда отвечать юзеру.

Об этом уже скоро год как форумах доктора трындится множеством юзеров.

А те которые не добавляют 3 месяца Parite.2 и Plastix... Ну дык значит не от юзеров получили, а так бы 99,5 процента, что давно добавили бы.

Потому что понимают важность отсутствия подобных изначальных постов. :)

Так что просто банально не надо подставляться. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Исходя из перечисленного для меня в целом странен изначальный пост...

Суть его в том, что надо добавлять файло, присланное юзерами всегда, что-бы не было таких постов.

Об этом уже скоро год как форумах доктора трындится множеством юзеров.

А те которые не добавляют 3 месяца Parite.2 и Plastix... Ну дык значит не от юзеров получили, а так бы 99,5 процента, что давно добавили бы.

Потому что понимают важность отсутствия подобных изначальных постов. :)

Так что просто банально не надо подставляться. :)

Dexter, не занимайтесь политикой двойных стандартов - по меньшей мере, это недостойное занятие для образованных людей. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×