На VirusTotal.com теперь новый Kaspersky 7.0.0.125 - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
Иван

На VirusTotal.com теперь новый Kaspersky 7.0.0.125

Recommended Posts

Иван

Вау, наконец-то Вирус Тотал воткнул Kaspersky 7.0.0.125 вместо допотопной четверки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вау, наконец-то Вирус Тотал воткнул Kaspersky 7.0.0.125 вместо допотопной четверки

Уже как несколько дней :) И DrWeb тоже новый, VBA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Вау, наконец-то Вирус Тотал воткнул Kaspersky 7.0.0.125 вместо допотопной четверки

Уже как несколько дней :)

Ага, а вот и результат! =)

http://forum.kaspersky.com/index.php?s=&am...st&p=442791

P.S. Это, кстати, пинч оказался.

P.P.S. Как?! Эмулятор КАВ детектит, а эмулятор НОД нет?! Не может быть!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
Вау, наконец-то Вирус Тотал воткнул Kaspersky 7.0.0.125 вместо допотопной четверки

Уже как несколько дней :)

Ага, а вот и результат! =)

http://forum.kaspersky.com/index.php?s=&am...st&p=442791

P.S. Это, кстати, пинч оказался.

P.P.S. Как?! Эмулятор КАВ детектит, а эмулятор НОД нет?! Не может быть!!!

наверно просто новый некриптованный еще :)

есть до кучи примеров где KAV молчит ичт0

а НОД и др. номальные антивири детектят (тупое забивание мусором до сих пор работает против каспера)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Dmitry Perets Как раз хотел задаться вопросом включен ли там эвристик и на каком уровне...

А у НОДа вроде с пинчами всегда проблема была

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
наверно просто новый некриптованный еще :)

Хм... так мега-эмулятор НОДа даже НЕКРИПТОВАННЫЙ пинч не смог опознать? Ужос...=)

(тупое забивание мусором до сих пор работает против каспера)

А против НОДа даже ничего забивать не надо! Смотрите как он некриптованный пинч пропустил =)

есть до кучи примеров где KAV молчит ичт0

Ничего. Просто иногда полезно говорить с людьми их же аргументами, чтобы они поняли, насколько эти аргументы несостоятельны.

P.S. Впрочем, я уверен, что люди ничего не поняли, и скоро мы опять услышим фразу в стиле "А вот НОД словил это, а КАВ нет => КАВ ацтой ваще".

P.P.S. Кстати, я всё ещё жду "сбитый мусором детект". Это не вы случайно gvs2000 с форума ЛК? Он тоже обещал показать... Но так и не сдержал обещания...

Добавлено спустя 1 минуту 59 секунд:

Dmitry Perets Как раз хотел задаться вопросом включен ли там эвристик и на каком уровне...

Говорят, на максимуме. Вроде чел один для проверки просканил файл, который только на максимуме детектится.

А у НОДа вроде с пинчами всегда проблема была

Да не, почему... Довольно часто детектит как "Possible variant of...". Но в последнее время всё реже, так как и за него взялись, видимо =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

хм новый пинч? а разве дамрай не закинул свой проект пока..

или уже сново возабновил..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
наверно просто новый некриптованный еще :)

При чем тут это? Эмулятор Касперского умеет распознавать криптованных троянцев

есть до кучи примеров где KAV молчит ичт0

а НОД и др. номальные антивири детектят

Чаще всего бывает наоборот. Вы не считаете КАВ нормальным антивирусом? Напрасно. Крайне некомпетентное мнение.

(тупое забивание мусором до сих пор работает против каспера)

Не забывайте что у Кава есть еще поведенческий анализатор, которого нет у "нормальных" антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

да ладно вам

есть то что не ловит каспер, а ловит нод. есть наоборот то что не ловит нод, но ловит каспер. По разному бывает.

А вот то что все разговоры про то что Есет один на ниве эмуляторов молодец теперь будут все менее актуальны - вот это правда

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
хм новый пинч? а разве дамрай не закинул свой проект пока..

или уже сново возабновил..

Не знаю... вполне возможно, что кто-то старый образец "подковырял", может криптором каким спрятал... Но вот результат чуть попозже:

http://forum.kaspersky.com/index.php?s=&am...st&p=442973

Добавлено спустя 8 минут 46 секунд:

Кстати, на VirusWatch ЛК сей вирус числится добавленным ещё 5-го июля. Т.е. видимо действительно кто-то взял старого пинча и "перепрятал" его... Или что-то не честно в сервисе VirusWatch =)

viruswatch.jpg

post-198-1191500672.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
есть то что не ловит каспер, а ловит нод. есть наоборот то что не ловит нод, но ловит каспер. По разному бывает.

Однако соотношения ловли-промахов все же с каждым разом не в пользу НОД :(

П. С. Почитал ветку форума касперов. В который раз удивляюсь ответам суппорта. Неужели так сложно добавить в ответную подпись что-то вроде "Благодарим за сотрудничество" или "Спасибо, что помогаете сделать наш антивирус лучше" :( А то получается, что пользователь приславший вирус никакой благодарности не получает :( Не культурно как-то...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну вообще-то это уже сказано здесь

http://www.kaspersky.ru/newvirus

Бывает, что пользователи замечают распространяющиеся по сети вирусы раньше, чем антивирусные эксперты.

Вы нашли на своем компьютере вирус, который не обнаруживается Антивирусом Касперского (нашим онлайновым антивирусным сканером)? В таком случае мы будем признательны, если вы пришлете файл, вызвавший у вас подозрения, сопроводив его необходимыми комментариями.

Специально для этого мы создали электронный адрес, на который можно присылать подозрительные файлы: newvirus@kaspersky.com.

Спасибо вам, мы ценим ваш вклад в дело борьбы с компьютерными вирусами!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
хм новый пинч? а разве дамрай не закинул свой проект пока..

или уже сново возабновил..

не только дамрай в теме, исходники открыты.

Это не вы случайно gvs2000 с форума ЛК?

нет.

P.P.S. Кстати, я всё ещё жду "сбитый мусором детект"

ну вот, например http://slil.ru/24914948

При чем тут это? Эмулятор Касперского умеет распознавать криптованных троянцев

согласен, но если уж совсем ламер какой "прятал"

Вы не считаете КАВ нормальным антивирусом?

5050 (реакция, поддержка пакеров, база против его дыр багов ну и вообще сделано не как надо а как быстрее)

Не забывайте что у Кава есть еще поведенческий анализатор, которого нет у "нормальных" антивирусов.

это единственная причина, по которой у меня стоит 7.0

а не сканер из комплекта 4.5 Pro

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Иван

Хм, эту страницу не видел. Теперь понятно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

ОК. Спорить дальше по моему мнению не имеет смысла :off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
не только дамрай в теме, исходники открыты.

можно поинтересоваться откуда такая инфа, потому что насколько я знаю дамрай собирался дальше заниматься пинчем..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
ну вообще-то это уже сказано здесь

http://www.kaspersky.ru/newvirus

Бывает, что пользователи замечают распространяющиеся по сети вирусы раньше, чем антивирусные эксперты.

Вы нашли на своем компьютере вирус, который не обнаруживается Антивирусом Касперского (нашим онлайновым антивирусным сканером)? В таком случае мы будем признательны, если вы пришлете файл, вызвавший у вас подозрения, сопроводив его необходимыми комментариями.

Специально для этого мы создали электронный адрес, на который можно присылать подозрительные файлы: newvirus@kaspersky.com.

Спасибо вам, мы ценим ваш вклад в дело борьбы с компьютерными вирусами!

Здравствуйте.

Trojan-Downloader.JS.Agent.so

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

---------

С уважением,Xxxx Xxxxxxx

Вирусный аналитик

ЗАО "Лаборатория Касперского"

Здравствуйте.

DoS.JS.Dframe.r

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

---------

С уважением, Xxxx Xxxxxxx

Вирусный аналитик

ЗАО "Лаборатория Касперского"

Hello,

sysfugw.exe_ - Trojan-Downloader.Win32.Small.ffp

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--

Best regards, Yyyy Yyyyyyyyyy

Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com

http://www.kaspersky.com/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В качестве оживление дискуссии. А какая вообще выгода вендорам давать свой движок VirusTotal?

Ну обновили версию до 7-ки, детект будет лучше, что это дает?

Каким образом VirusTotal влияет на продажи того или иного антивируса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tampon

Сергей Ильин

что это дает?

правильная маркетинговая политика в продвижении своего продукта, потом ни один антивирусный онлайновый сервис не заменит резидентную программу, достойный результат в онлайне - бОльшее доверие среди потенциальных покупателей, да вы и сами прекрасно это понимаете.

В общем минусов не вижу.

Во всяком случае это более правильней чем бухтеть типа:

что если панда будет участвовать в VB с их коллекцией (более трёх тысяч) которую, берут такие "субчики" которых и антивирусами язык не поворачивается назвать, то в антивирусной защите она продвинется вперёд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Полностью согласен с Tampon :) Лишний ПиАр не помешает, тем более, если антивирус хороший и показывает отличные результаты ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
ну вот, например http://slil.ru/24914948

Ок, а как к этому относится эмулятор? И насколько можно обобщить такой результат? Кстати, не подбросите сырец поиграться? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais
ну вот, например http://slil.ru/24914948

Ок, а как к этому относится эмулятор? И насколько можно обобщить такой результат? Кстати, не подбросите сырец поиграться? =)

никак :)

вечерком скину

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
никак Smile

Да ну? А как представляешь детект эмулятора на этой dll? Может проверял? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mais

ну а как еще можно представить, пораскинь

Dmitry Perets, в личке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
ну а как еще можно представить, пораскинь

Dmitry Perets, в личке

Спасибо. Да, сигнатура сбивается просто, причём практически у всех. См. скриншоты с virustotal'а, до и после "замусоривания". "Выжил" только VirusBlaster. Плюс Panda, но с ней другое - она его эвристически подозревает, а эвристические технологии как правило бессмысленные инструкции игнорируют успешно. Т.е. судя по всему, при обычном сигнатурном детекте перед прикладыванием сигнатуры код не "вычищается" от бессмысленных инструкций. Выходит, так? Народ из вир.лабов может прокомментировать?

Эмулятор молчит, но это как раз ожидаемо. Поведение "джойничества" не ловится =)

P.S. Видимо, пора открыть новую тему и перенести туда все посты про "замусоривание" сигнатур. Интересная тема назревает =)

after.JPG

before.JPG

post-198-1191684916.jpg

post-1-1191684916.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Это внеплановое обновление для разбора необычного случая с внедренными потоками, соответственно релиз задерживается. ---------------------------------------------------------
       5.0.RC2
      ---------------------------------------------------------
       o При обнаружении внедренного потока в процессе в лог печатается точное
         время создания потока и ТОП 10 наиболее вероятных виновников.
         (!) Только для потоков не имеющих привязки к DLL.
         (!) Функция требует активного отслеживания процессов. (Твик #39)

       o Изменен способ адресации мониторов при работе с удаленным рабочим столом.
         Теперь выбирается не логический номер монитора, а его порядковый номер,
         что позволяет избежать проблем при обновлении драйверов на видеокарту
         без закрытия окна удаленного рабочего стола.

       o В окно удаленного рабочего стола добавлена кнопка "Меню", она открывает
         на удаленном компьютере окно с кнопками быстрого доступа к часто используемым
         настройкам системы и системным утилитам.
         Утилиты из этого окна запускаются на удаленном компьютере под текущим пользователем.

       
    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
×