Перейти к содержанию
SpasitelofMoney

Самый новый McAfee VSE8 - ПРОПУСКАЕТ вирусы Доказательство!

Recommended Posts

SpasitelofMoney

MCAFEE VIRUSSCAN 8I ENTERPRISE + PATCH 11A+ ANTISPYWARE MODULE + ENGINE 4400(ПОСЛЕДНИЙ ОФИЦИАЛЬНЫЙ) + НОВЕЙШАЯ НА СЕГОДНЯ АНТИВИРУСНАЯ БАЗА - ПРОПУСКАЕТ ВИРУСЫ

+ фаервол Windows XP

Как я проводил тестирование:

На свежеустановленную систему была установлена вышеупомянутая поставка.

Заходим на сайт

www.cracks.am

Нажимаем на любую букву алфавита на экране. Например M.

Выбираем из списка любой понравившийся крек. Например M&I CD-Register v3.3

В открывшемся окне нажимаем Download the file кнопку.

Открывается окно c предложением сохранить или выполнить файл activate_crack.exe.

Выбираем - Выполнить. В появишемся окне - опять соглашаемся.

Далее ждем когда антивирус начинает разбираться с потоком вирусов.

В результате получаем проблему со стартовой страницей Internet Explorer

и невозможностью включения брандмауэра XP.

На другой системе этот тест привел к выходу из строя этого антивируса, проблемам с визуализацией и зараженим системы (по показаниям SAV9 в дальнейшем)

SAV 10.1(самый последний билд) - прошел тест без проблем.

Тест был проведен по наводке администратора банка. Он утверждает что человека который поставил в одном из подразделений этот антивирус и с cracks.am который пропустил вирус nechta.b - понизили в должности. Порекомендовал не связываться с VSE8.

ГОВОРИТ ЛИ ЭТО О ТОМ ЧТО VSE8 - НЕХОРОШИЙ АНТИВИРУС?

ОЧЕНЬ ВАЖНО ЧТО ДЛЯ ТЕСТОВ С CRACKS.AM ИСПОЛЬЗОВАЛСЯ ПОСЛЕДНИЙ ОФИЦИАЛЬНЫЙ

ДВИЖОК 4400, А НЕ BETA 5000!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле по одному случаю может не стоит судить так категорично, другие антивирусы тоже лажаются, пропускают разных зверей.

На таких сайтах вредоносы модифицируются очень быстро, сейчас одна версия, которая детектиться, а через час уже другая, которая не детектируется.

Вот тут как раз эвристику хорошо проверять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Боюсь, как бы не оказалось так, что несовершенство текущего

движка 4400 и неготовность официального релиза 5000 -

является истинной причиной, почему эти вирусы пропускаются.

То есть возможно что обновлением баз здесь не отделаешься.

(один человек сегодня ночью провел этот тест, но с бетой движка 5000 и пропусков не было)

Если это так - VSE8 для меня - нехороший антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Числа эдак 5-го, если не ошибаюсь, марта пошла очередная версия Beagle. Так вот VSE8 - увидел его эвристикой, хотя справедливости ради - до конца не убил (но у меня задач была именно проверить и я запускал и открывал всё что там было). На следующий день были обновлены базы и машина была вычищена, до этого- благодаря закрытому VSE8 25-му порту, было видно что зараза недобита но и не вредит дальше. На второй машине у меня стоял SAV10.0.2 - эвристика ничего не увидела, молчал ещё 3 дня!!!!

И что теперь? SAV- фигня. VSE8 - форева?

P.S. А вот человека зашедшего на www.cracks.am и мало того - запустившего что-то оттуда, я бы уволил однозначно :lol: ! Кстати сам я там был неоднократно, стоит у меня VSE8 и проблем нет. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

А заявление уже написано? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Попробовал полазить по этому сайту.(на системе установлен Каспер и Аутпост), файл activate_crack.exe не появлялся(видимо в Аутпосте дело :) ), а вот Каспер матюгался на эксплоит (и тот старый, действующий на SP1-основан на джава скрипт) и предлогал его кокнуть, что я и делал.

А вот на компе без Каспера и фаера при попытке скачать крек выскакивало окно с предложением скачать ентого траяна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Народ, кто потестит, пожалуйста, не забудьте, в эту ветку отписать результаты исследования проверки излечения вирусов, инициируемых файлом activate_crack.exe. При тестировании важно, чтобы не произошло так, что VSE8 сразу удалит файл, не дав ему запуститься. Почему-то бывает что дает, а бывает что сразу удаляет.

Добавлено спустя 1 минуту 14 секунд:

**************************************************

Перечисляю, что сообщит McAfee но с бета движком 5000:

VSE-8+patch11+antyspyware module, dat-4731 engine-5000

Добавлено:

engine version = 5.0.00

01.04.2006 4:15:09 DAT version = 4731

01.04.2006 4:15:09 Number of virus signatures in EXTRA.DAT = None

01.04.2006 4:15:09 Names of viruses that EXTRA.DAT can detect = None

01.04.2006 4:17:04 Deleted activate_crack. C:kl1.exe Generic Spy.c (Trojan)

01.04.2006 4:19:19 Deleted activate_crack. C:tool2.exe Downloader-AFH (Trojan)

01.04.2006 4:19:52 Deleted activate_crack. C:Documents and Settings...Local SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:19:53 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:20 Deleted activate_crack. C:Documents and Settings..............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:20 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:36 Deleted activate_crack. C:Documents and SettingsGalinaLocal SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:36 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:43 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:43 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:53 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE58M1SULMUgxtliblfa[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:20:53 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:01 Deleted activate_crack. C:kl1.exe Generic Spy.c (Trojan)

01.04.2006 4:49:26 Deleted activate_crack. C:tool2.exe Downloader-AFH (Trojan)

01.04.2006 4:49:54 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:55 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:59 Deleted activate_crack. C:Documents and SettingsGalinaLocal SettingsTemporary Internet FilesContent.IE52QQ8I41Kjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:49:59 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:04 Deleted activate_crack. C:Documents and Settings................Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:04 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:21 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:21 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:34 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE58M1SULMUjjvlue[1].htm ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:35 Deleted activate_crack. C:country.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:50:42 Deleted activate_crack. C:Documents and Settings............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:50:42 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:06 Deleted activate_crack. C:Documents and Settings..............Local SettingsTemporary Internet FilesContent.IE5M1QA5MFEgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:06 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:11 Deleted activate_crack. C:Documents and Settings...........Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:11 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:16 Deleted activate_crack. C:Documents and Settings................Local SettingsTemporary Internet FilesContent.IE5M1QA5MFEgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:16 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:51:23 Deleted activate_crack. C:Documents and Settings.............Local SettingsTemporary Internet FilesContent.IE52QQ8I41Kgbjedba[1].htm StartPage-IH (Trojan)

01.04.2006 4:51:23 Deleted activate_crack. C:Program Filessecure32.html StartPage-IH (Trojan)

01.04.2006 4:53:27 Deleted activate_crack. C:toolbar.exe DollarRevenue (Trojan)

01.04.2006 4:53:33 Deleted activate_crack. C:tool1.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:53:47 Deleted activate_crack. C:tool3.exe Proxy-Agent.k.gen (Trojan)

01.04.2006 4:53:54 Deleted activate_crack. C:tool4.exe ProcKill-DJ (Potentially Unwanted Program)

01.04.2006 4:53:59 Deleted activate_crack. C:tool5.exe ProcKill-DJ (Potentially Unwanted Program)

*************************************************

Добавлено спустя 44 минуты 40 секунд:

Пользователь ogamy пишет:

Да действительно пропустил. Модификацией реестра занималась вот эта гнида - paytime.exe(в пропертях-модифицырованный EXPLORER.EXE), ms1.exe Trojan-Downloader.Win32.Small.cpa-этот он увидел только со второго раза когда я его носом ткнул. Было еще несколько. Это только те что я в корне диска нашел. Все отправил на AVERT - опознали толко ms1.exe и paytime.exe которого в сигнатурах еще нет.

=======================================

Analysis ID File Findings Detection Type Date Extra

2282768 ms1.exe new detection generic downloader.ab Trojan 03/31/06 Yes

2282696 paytime.exe heuristic detection new malware.j Trojan 03/31/06 No

2282690 activate_crack.exe inconclusive 03/31/06 No

=========================================

AVERT Labs - Beaverton

Current Scan Engine Version:4.4.00

Current DAT Version:4731

Thank you for your submission.

Analysis ID: 2282696

Name Findings Detection Type Extra

paytime.exe heuristic detection new malware.j Trojan no

heuristic detection [ paytime.exe ]

The file received may contain a potential virus or trojan threat identified heuristically. This potential threat was identified with our most powerful set of heuristic DAT drivers. Heuristic drivers can make false-positive identifications, as such, this issue is being escalated to AVERT for a thorough review. In the meantime, it is recommended that you update your DAT and engine files and scan your computer again. You will be contacted through e-mail with the results of our analysis.

=======================================

странно то что у меня то же Scan Engine Version:4.4.00,DAT Version:4731-но он ни хрена не словил.

Scan Engine Version:5000rc - ваааабще АТЦТОЙ

И еще така проблема, может кто сталкивался - svchost.exe выгружает mcshild.exe и останавливает сервис McAfee, при попытке рестартовать системма зависает навсегда.

....В том то все идело что все ГАВНО заливается в основном в корень или переменные.

C:toolbar.exe C:tool1.exe C:country.exe C:Documents and Settings..............Local SettingsTemporary Internet Files !!!!!!!х D:ACTIVATE_CRACK.EXE х!!!!!!!!

примечательно то что и после перезагрузки он ни ЧО НЕ видел пока НОСОМ не ткнул.

On-Demand Scan тоже ничего не показал.

VSE 8.5 ждем релиза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Провел эксперимент, зашел на этот варезный сайт, нажал на буковку "A"

модуль Веб-антивируса Касперского 6.0 выдал собщение, что страница заражена Exploit.Win32.MS05-013.gen и заблокировал доступ к ней. На этом все и закончилось :-)

Отключаю веб-антвирус на время, захожу на страницу, включаю веб-антивирус и нажимаю на первую попавшуюся программу.

Опять веб-антвирус начинает ругаться на троянскую программу Trojan-Downloader.Win32.Harnig.bd URL: http://216.65.38.226/activate_crack.exe/FSG

Так что по-любому с 6-й никая зараза от туда не проскочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

Кстати забавно что люди на разных форумах http://forum.ixbt.com/topic.cgi?id=7:26107

http://forum.sysadmins.ru/15/111611/

отреагировали на этот пост практически одинаково - без паники и шумихи :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SpasitelofMoney

Yurk

Теперь я знаю почему...

Сергей Ильин

На самом деле по одному случаю может не стоит судить так категорично, другие антивирусы тоже лажаются, пропускают разных зверей.

На таких сайтах вредоносы модифицируются очень быстро, сейчас одна версия, которая детектиться, а через час уже другая, которая не детектируется.

Вот тут как раз эвристику хорошо проверять.

*************

Но цель моя была - Проверить, может быть с McAfee даже пытаться связываться не стоит.

*************

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

уникальный тест, не чего не скажешь, не смеши народ,кстати скоа там не лазил не чего путного кроме вируосв не находил, смыс заходить тогда на эот сайт?, я лишь скажу маккафе можнодоверять, из моего опэта не чего лучше пока нет, любые плпытки сравнить его с нод каспером итд, безсмыслены,а такие посты как этот это даже не укус комара по мненнию о маккафе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

SAV 10.0.x пропустил, заражение произошло. На этапе закачки новых вирей стал детектить известные.

В вире который был закачен, есть своя особенность запускается он посредством наличия записи в ветке:

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell

Добавлено спустя 4 минуты 15 секунд:

уникальный тест

Да, уникального в этом тесте мало и смысла нет, но есть один факт версии вирей на исследуемом ресурсе меняются постоянно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
SAV 10.0.x пропустил

Предлагаю поменять тему... Нет управы у буржуев на cracks.am

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Lex

Был забавный случай.. Пользователь звонит по телефону и дрожащим голосом с надрывом сообщает, что антивирусная система никуда не годится и пропускает вирусы.

На поверку оказалось, что все пропущенные вирусы были закачаны с xxx ресурсов.

Возникает вопрос Антивирусная система плохая или политика работы интернетом????

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

При грамотном антивирусном шлюзе или правильной политике работы с интернетом с таких ресурсов вообще ничего не закачаешь :D :shock:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

А почему считается, что если вирусы с ресурсов xxx, то пользователь сам виноват?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А почему считается, что если вирусы с ресурсов xxx, то пользователь сам виноват?.

Точно, может так получиться, что ты кликнул на ссылку в гугле, а тебе открылась совсем другая страница (это назвается клоакинг) - xxx сайт с эксплойтом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

:) Достаточно часто пользуюсь этим сайтом для поиска кряков. На одной машине NOD32, на второй вообще нет антивируса. Ничего кроме нужных кряков с этого сайта ниразу не закачивал :)

Удачки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

не разу не чего там не качнул, вс етол бары, обрывает на закачке,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk
Достаточно часто пользуюсь этим сайтом для поиска кряков. На одной машине NOD32, на второй вообще нет антивируса. Ничего кроме нужных кряков с этого сайта ниразу не закачивал

Искренне рад! :D

А теперь открываем http://www.crack.am/cracks/m.html

И видим:

"The anti-virus scanner was triggered by this file. The file was not cleaned and has been removed.

Context: 'm.html'

Detection(s): 'Exploit-IEPageSpoof (trojan)' " :?: :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

08.02.07

McAfee VirusScan Enterprise Version 8.5i

За две недели пропустил в real-time 340 зараженных писем с вирусами 23 модификаций.

09.02.07

сегодня ночью пропустил еще двух гадов:

желатин.y и немецкий донлодер preis.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alx19

Mike

Если не секрет:

- А под какой ОС ?

- А это в каком-то тесте или в рабочем цикле твоей организации

(больше похоже, что в рабочем цикле - тогда непонятно почему у тебя было время запостить сюда свое сообщение)?

Просто я не верю в то что при выполнении работы по сопровождению системы, в параллель администратор может физически успеть посчитать сколько конкретно вирусов пропустил антивирус.

Следует ли по твоему мнению, что финальный McAfee VSE 8.5 в его текущем виде использовать вообще нельзя на данный момент ?

Интересно, а VSE 8.0 Patch 14 как бы ловил ?

Я тебе не верю. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Я тебе не верю.

А я верю Mike. Всех зловредов, что выкладывает Mike в теме "Анализ вредоносных программ (malware)" McAfee не детектировал (если судить по www.virustotal.com). Так что я бы посоветовал немецким друзьям переходить на другие западные антивирусы (Eset, Symantec, Sophos и др.).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

не знаю стоит ли переходить. вы Eset пробовали администрить в масштабах большой конторы?

Symantec же тоже ловит не ахти.

Я бы не спешил с переходом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
не знаю стоит ли переходить. вы Eset пробовали администрить в масштабах большой конторы?

Иван, но делать что-то надо. Если McAfee не может пройти не самый серьезный тест, не добавляет вовремя широкораспространенные зловреды. Eset в масштабах предприятия не имел чести ставить. В моей конторе был сначала SAV CE, теперь KAV5.

Symantec в данном случае показал себя неплохо. Зловреды присланные Mike детектируются семейством, что дает возможность находить новые модификации "зверья".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×