Перейти к содержанию
pROCKrammer

Zapchast or no?

Recommended Posts

pROCKrammer

Ну вот файл : http://www.gentee.narod.ru/revolt.dll.zip

Пароль для архива : virus

В этом архиве находится dll не бойтесь открывать не съест.

Ну я проверил на вирусы на Viirustotal

AhnLab-V3 2007.7.27.0 2007.07.26 Win-Trojan/Zapchast.22016

AntiVir 7.4.0.50 2007.07.26 TR/Zapchast.4

Authentium 4.93.8 2007.07.25 -

Avast 4.7.997.0 2007.07.26 Win32:Zapchast-M

AVG 7.5.0.476 2007.07.25 Generic.AXN

BitDefender 7.2 2007.07.26 Trojan.Zapchast

CAT-QuickHeal 9.00 2007.07.25 Trojan.Zapchast

ClamAV 0.91 2007.07.26 Trojan.Zachpast

DrWeb 4.33 2007.07.26 -

eSafe 7.0.15.0 2007.07.24 Win32.Banwor

eTrust-Vet 31.1.5004 2007.07.25 -

Ewido 4.0 2007.07.25 Trojan.Zapchast

FileAdvisor 1 2007.07.26 -

Fortinet 2.91.0.0 2007.07.26 W32/Banwor.A!tr

F-Prot 4.3.2.48 2007.07.25 -

F-Secure 6.70.13030.0 2007.07.26 W32/Zapchast.BB

Ikarus T3.1.1.8 2007.07.26 Trojan.Win32.Zapchast

Kaspersky 4.0.2.24 2007.07.26 -

McAfee 5083 2007.07.26 ZapChast.dll

Microsoft 1.2704 2007.07.26 -

NOD32v2 2422 2007.07.26 Win32/Zapchast

Norman 5.80.02 2007.07.25 W32/Zapchast.BB

Panda 9.0.0.4 2007.07.26 Trj/Zapchast.S

Rising 19.33.32.00 2007.07.26 Trojan.Zapchast.fa

Sophos 4.19.0 2007.07.26 -

Sunbelt 2.2.907.0 2007.07.26 Trojan.Zapchast

Symantec 10 2007.07.26 W32.Banwor

TheHacker 6.1.7.154 2007.07.26 Trojan/ZapChast

VBA32 3.12.2.1 2007.07.24 -

VirusBuster 4.3.26:9 2007.07.25 -

Webwasher-Gateway 6.0.1 2007.07.26 Trojan.Zapchast.4

---

Решил что вирус послал Касперу а они мне пишут

Hello,revolt.dllNo malicious code was found in this file.Please quote all when answering.

Потом послал в VirusBuster а они

Dear pROCKrammer,you are right that this file is detected by many scanners on VirusTotal, but I can't find any code that makes this malware, and it does not resemble the members of the Zapchast or Banwor families.This is a crack for Warcraft III, and I don't see other functions besides this. I think that maybe some versions of Zapchast were bundled with this DLL, and this is where the detection comes from, but I don't have any evidence.--Nagy Ferenc LászlóVirusBuster VirusLab

---

Ну послал самому самому самому Avire

А они

Dear Sir or Madam,Thank you for your email to Avira's virus lab.Tracking number: INC00066734.A listing of files alongside their results can be found below:File ID     Filename     Size (Byte)    Result1241636     revolt.dll     21.5 KB     MALWAREPlease find a detailed report concerning each individual sample below: Filename    Result     revolt.dll     MALWAREThe file 'revolt.dll' has been determined to be 'MALWARE'. Our analysts named the threat TR/Zapchast.4. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 6.31.01.230.

Ну что скажете Вудь многие антивиры сказалиже то это вирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Файл чист и насквозь пропитан варкрафтом. :)

К слову, вполне возможно что АВшники ругаются на нестандартный метод упаковки. Это UPX и поверху пройдено скрамблером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×