Перейти к содержанию

Recommended Posts

Пит

Предыстория такова:

Мной 30.10 был обнаружен зловред, который не ловил никто. Я по старой традиции скинул его касперу. Ответ не заставил себя ждать, в присланном файле вирус Trojan.MSIL.KillWin.l Касп его успешно задетектил. Сегодня от балды опять проверил этот файл, и удивился, каспер его опять не видит.

Интересное дельце. Повторно посылать его не стал, в лом.

Что Вы думаете по этому поводу?

P.s. Файл от 30.10 лежит в ветке Анализ вредоносных программ (malware)

Complete scanning result of "ByFly site.zip", processed in VirusTotal at 11/23/2008 09:23:31 (CET).[ file data ]* name..: ByFly site.zip* size..: 28973* md5...: 34d02e410b863b7b2dd2f9dce8e08cf7* sha1..: 2769f28019169f9ba9c05c1bd0d9a91f04586ca9* peid..: -[ scan result ]AhnLab-V3 2008.11.21.0/20081122 found nothingAntiVir 7.9.0.35/20081121 found [TR/MSIL.KillWin.L]Authentium 5.1.0.4/20081122 found nothingAvast 4.8.1281.0/20081122 found [Win32:Trojan-gen {Other}]AVG 8.0.0.199/20081122 found [Generic12.CIA]BitDefender 7.2/20081123 found nothingCAT-QuickHeal 10.00/20081121 found [Trojan.MSIL.KillWin.l]ClamAV 0.94.1/20081123 found nothingDrWeb 4.44.0.09170/20081123 found nothingeSafe 7.0.17.0/20081119 found nothingeTrust-Vet 31.6.6222/20081122 found nothingEwido 4.0/20081122 found nothingF-Prot 4.4.4.56/20081122 found nothingF-Secure 8.0.14332.0/20081123 found nothingFortinet 3.117.0.0/20081122 found nothingGData 19/20081123 found [Win32:Trojan-gen {Other}]Ikarus T3.1.1.45.0/20081123 found [Virus.Trojan.MSIL.KillWin.l]K7AntiVirus 7.10.531/20081122 found [Trojan.MSIL.KillWin.l]Kaspersky 7.0.0.125/20081123 found nothingMcAfee 5442/20081122 found nothingMcAfee+Artemis 5442/20081122 found [Generic!Artemis]Microsoft 1.4104/20081123 found nothingNOD32 3632/20081121 found nothingNorman 5.80.02/20081122 found nothingPanda 9.0.0.4/20081122 found nothingPCTools 4.4.2.0/20081122 found nothingPrevx1 V2/20081123 found nothingRising 21.04.60.00/20081123 found nothingSecureWeb-Gateway 6.7.6/20081123 found [Trojan.MSIL.KillWin.L]Sophos 4.35.0/20081123 found nothingSunbelt 3.1.1823.2/20081122 found nothingSymantec 10/20081123 found nothingTheHacker 6.3.1.1.160/20081123 found nothingTrendMicro 8.700.0.1004/20081122 found nothingVBA32 3.12.8.9/20081122 found [Trojan.MSIL.KillWin.l]ViRobot 2008.11.18.1474/20081118 found nothingVirusBuster 4.5.11.0/20081122 found nothing

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Что-то мне подсказывает что ЛК действительно задетектили файл, а через какое то время решили, что задетектили зря и детект удалили.

А всё что вы видите в отчёте вирустотала, это результат воровства детекта, причём даже вместе с именем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Привет.

Это была фалса. Мы ее пофиксали.

С уважением, Сергей Прокудин

Вирусный аналитик Лаборатории Касперского.

e-mail: [email protected]

http://www.kaspersky.com/

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.

http://www.kaspersky.com/helpdesk.html - техническая поддержка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
это результат воровства детекта

:lol:

причём даже вместе с именем.

Зачем придумывать название, когда уже его придумали? ;)

ps сначала касперский вставил в базу, а потом убрал... Интересно... Интересно...

Сам лично отправил в Vba и они тоже вставили в базу, странно как-то... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

K7AntiVirus 7.10.531/20081122 found [Trojan.MSIL.KillWin.l]

Kaspersky 7.0.0.125/20081123 found nothing

Второй Каспер,что не берёт детектом - устаревший,а K7AntiVirus 7.10.531 новая версия - детектит.Я просто думаю,что в Kaspersky 7.0.0.125 смысла нет,поэтому он и не детектит,т.к. разработчики хотят,чтобы народ садился на K7AntiVirus 7.10.531,поэтому её проталкивают.

Может я ошибаюсь,но в Avira Antivir точно такой же расклад по детекту и точно такой же детект по зловредам.Просто Апдейт делаем,но...когда читаем инфу по вирусу,то там пишется,что такая-то вот версия детектит такого-то зловреда.

И я думаю,что логика в этом естьyes.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Ух неправильно это. Толкать и пихать новые продукты во что бы то ни стало. :angry::angry::angry::angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Я может неправильно выразился,извиняюсь.Предложу другие примеры.

Хоть Dr.Web CureIt утилита антивирусная и бесплатная,но не антивирус и в ней нет апдейта,а значит её нужно качать заново и конечно пойдём куда?Конечно к Доктору по пути узнав,что у него оказывается есть ещё продукты.Раз антивирусная утилита такая хорошая,значит кого-то и антивирус докторский заинтересует.

Не убидил?Поехали дальше.

AVZ - это бесплатная утилита,не антивирус,но в ней есть хотя бы апдейт,но всеравно рекомендуется скачать версию новую заново,т.к. что-то новое может быть добавлено.По пути вспоминаем,что разработчик работает с Каспером.Хотя тут тоже понять нужно что человеку тоже надо где-то работать зарабатывать деньги на жизнь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Производители специально не добавляют вирусы в базы для старых версий продукта?? :blink: Что за бред?! Разве 7я и 8я версии Каспера используют разные базы сигнатур? И неужели для седьмой версии Avira выпускают отдельно "дырявые" обновления баз?

Сказано же: детект убрали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Базы сигнатур для разных версий одиннаковые,вот только по инфе вируса,я подчеркнул

Может я ошибаюсь,но в Avira Antivir точно такой же расклад по детекту и точно такой же детект по зловредам.Просто Апдейт делаем,но...когда читаем инфу по вирусу,то там пишется,что такая-то вот версия детектит такого-то зловреда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

.когда читаем инфу по вирусу,то там пишется,что такая-то вот версия детектит такого-то зловреда.

Где это? Версия чего, VDF?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Так версия VDF это и есть версия конкретной сборки базы вирусных сигнатур, а не продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
K7AntiVirus 7.10.531/20081122

Это японское "чудо"к касперу отношения не имеет никакого, имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин
K7AntiVirus 7.10.531/20081122 found [Trojan.MSIL.KillWin.l]

Второй Каспер,что не берёт детектом - устаревший,а K7AntiVirus 7.10.531 новая версия - детектит.Я просто думаю,что в Kaspersky 7.0.0.125 смысла нет,поэтому он и не детектит,т.к. разработчики хотят,чтобы народ садился на K7AntiVirus 7.10.531,поэтому её проталкивают.

K7AntiVirus никакого отношения к нашим продуктам не имеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
K7AntiVirus никакого отношения к нашим продуктам не имеет.

Кстати ... когда первый раз я на вирустотале обнаружил его, то действительно подумал, что там две версии Касперского.

Не думали подавать в суд на китайцев? ((-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Получается,что японский сектор работает оперативней российского.Интересно.

А если на Украине появится K7TBAntivirus и обгонит всех касперов и антивирусов других обгонит.TB - это Тарас Бульба,а потом станет ясно,что K7 Antivirus вовсе не каспер,а Кобзарь7 smile.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
    • SQx
      Приветствую,

      Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
      https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/ Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
      Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
      http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

      Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?
    • SQx
      Приветствую Дмитрий,
      Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.
×