Перейти к содержанию
AM_Bot

Немецкий истребитель - Avira Premium Secuiry Suite 9

Recommended Posts

p2u
Ай, яй, яй ребята (разработчики)! Некрасиво так.

Для того, чтобы немного расслабить обстановку, вот взгляд хакера Крис Касперски на это дело:

Rustock.C – секретные техники анализа. :)

P.S.: То, что многие антивирусы до этого обнаружили как Rustock.C - на самом деле лишь модификация A-B...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
P.S.: То, что многие антивирусы до этого обнаружили как Rustock.C - на самом деле лишь модификация A-B...

Если я понимаю правильно, то сначала появился Rustock.А, затем Rustock.В, а уже после них Rustock.С. Именно в такой последовательности (поправьте если не так).

Глянул, на сайте Авиры дату выхода сигнатур по вредоносу Rustock.В. Смотрим.

Для детектирования Rustock.В у Авиры появились сигнатуры в июле 2006 года.

Поэтому, рискну предположить, что в ноябре 2007 года сигнатуры Авиры пополнились информацией именно вредоноса Rustock.С (все четыре модификации).

Или в чем то подвох?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SFD

@Razboynik

уточнение на русском

14 июня 2006

удалить файлы обнаружены как RTKT_RUSTOCK.C.

ИМХО это в русле замечания Paul

Подсказка: можно детектить файл с Рустоком как таковым, но всё равно не обнаружить сам Русток, когда он уже установлен...

Если я не прав то, представители от разработчиков Trend Micro и Avira на форуме есть и если сочтут нужным, выскажут своё мнение.

Из сообщения #74 ваша точка зрения прояснилась, можно было мне и не спрашивать, если бы чуть подождал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Или в чем то подвох?

Для того, чтобы Rustock верно определить (A, B, или C) надо посмотреть на таблицу импорта функций. Но это сверхтехнический разговор. Я не берусь за это...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мне так думается, тут бы Слава Русаков свое веское слово вставил...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Мне так думается, тут бы Слава Русаков свое веское слово вставил...

Мне тоже так кажется, хотя я ему так верю. Я лично исключаю, что Dr.Web и ЛК решили бы 'пропиариться' на то, что другие якобы уже с 2006 г. обнаруживают...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Мне так думается, тут бы Слава Русаков свое веское слово вставил...

Бугага! По мне так кажется, что у Славы просто не окажется слов (во всяком случае не матерных точно :D ), чтобы ответить на весь бред выше.

Достаточно на этом же форуме по-искать темы о обсуждаемом рустоке и не делать глубокомысленных логических излияний.

Файл 00430470e6754f082b6c2c19d022caea_ получен 2008.05.07 16:41:51 (CET)Текущий статус: законченоРезультат: 3/31 (9.68%)Форматированные ФорматированныеПечать результатов Печать результатовАнтивирус     Версия     Обновление     РезультатAhnLab-V3     2008.5.3.0     2008.05.07     -AntiVir     7.8.0.11     2008.05.07     -Authentium     4.93.8     2008.05.07     -Avast     4.8.1169.0     2008.05.06     -AVG     7.5.0.516     2008.05.07     -BitDefender     7.2     2008.05.07     -CAT-QuickHeal     9.50     2008.05.07     -ClamAV     0.92.1     2008.05.07     -DrWeb     4.44.0.09170     2008.05.07     Win32.NtldrboteSafe     7.0.15.0     2008.05.07     -eTrust-Vet     31.4.5766     2008.05.07     -Ewido     4.0     2008.05.07     -F-Prot     4.4.2.54     2008.05.06     -F-Secure     6.70.13260.0     2008.05.07     -Fortinet     3.14.0.0     2008.05.07     -Ikarus     T3.1.1.26.0     2008.05.07     -Kaspersky     7.0.0.125     2008.05.07     -McAfee     5289     2008.05.06     -Microsoft     1.3408     2008.05.07     -NOD32v2     3082     2008.05.07     -Norman     5.80.02     2008.05.06     -Panda     9.0.0.4     2008.05.06     -Prevx1     V2     2008.05.07     -Rising     20.43.12.00     2008.05.07     -Sophos     4.29.0     2008.05.07     -Sunbelt     3.0.1097.0     2008.05.07     VIPRE.SuspiciousSymantec     10     2008.05.07     -TheHacker     6.2.92.302     2008.05.07     -VBA32     3.12.6.5     2008.05.07     -VirusBuster     4.3.26:9     2008.05.07     -Webwasher-Gateway     6.6.2     2008.05.07     Win32.Malware.gen!82 (suspicious)Дополнительная информацияFile size: 244448 bytesMD5...: 00430470e6754f082b6c2c19d022caeaSHA1..: 81b664a176b504728861ebdbda3b9414658fcf50SHA256: 7087c127680c6221fd24f79113ff011bf1808897bb110baa2e3a6c59e59588ebSHA512: e9574477714e69d5c0b21d5e7e04c75ba96f9454af016c5441c96e45a8984cf15dabe9c65edcc4fb751d62e2412643905de2b465cc84cd0243096187ade2ee1fPEiD..: -PEInfo: PE Structure information( base data )entrypointaddress.: 0x10200timedatestamp.....: 0x46e56224 (Mon Sep 10 15:26:28 2007)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x200 0x37c5f 0x37c60 8.00 e9a73f4226c6ce6c091666a8da47aa7a.reloc 0x37e60 0xa 0x20 0.60 c32e81cc1232ab53e037c0402db528d3.data 0x37e80 0x3c60 0x3c60 7.98 b9cca8f5d656317592c0b7c45ce5d7fc( 0 imports )( 0 exports )

Ну и еще, чтобы немного задумались: русток, который как бэ Це, как файловый вирус - он заражает драйвер. И его нужно не просто детектить, а лечить. Да еще в активном состоянии.

Как кто лечит - был тест:

http://www.anti-malware.ru/malware_treatment_test_2008

Вот и смотрите - ху из ху

ЗЫ. тему в хумор, однозначна!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Ну и еще, чтобы немного задумались: русток, который как бэ Це, как файловый вирус - он заражает драйвер. И его нужно не просто детектить, а лечить. Да еще в активном состоянии.

Как кто лечит - был тест:

По поводу лечения не спорю, Авира здесь не является лидером. Но, Авира лучше других выполняет более важную функцию - не пропустить. А если не пропустил, тогда и лечить нечего.

Интересно получается: А что тогда за Rustock.С внесен в базы Авиры? Не для красоты же идет пополнение вирусных сигнатур.

Отредактировал Razboynik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Как кто лечит - был тест:

http://www.anti-malware.ru/malware_treatment_test_2008

Не слишком ли старый тест? У многих продуктов уже есть новее версии.

А на счёт проверки на VirusTotal'e то это не объективно. Во первых, обновление версий продуктов там происходит крайне редко, по этому сами версии продуктов не актуальны, во вторых, это реакция на файл, а как на счёт лечения в этой таблице не указано.

Razboynik,

Не переживайте, в данный момент картина совершенно другая =)

http://www.virustotal.com/analisis/7087c12...88eb-1240576132

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Мне так думается, тут бы Слава Русаков свое веское слово вставил...

Чессгря, я бы тут ребятам, которые несут бред вставил бы что-нибудь другое в то место куда солнце не заглядывает :lol: В следующий раз, мы назовем модификацию Rustock.Hren, пока остальные называют его Rustock.H

@p2u: Про таблицу импорта - зачот, давно я так не ржал :lol:

@Umnik: мы едем в гости, заходи в Japan во вторник :rolleyes:

P.S. Если по теме, то именования у разных вендоров разные и, например, .C (.D - .Z) вовсе не означает то, что это тот самый сложный руткит. Это очередная модификация какого-то предыдущего рустока, коих было не мало.

И еще раз указываю на то, что детектировать зараженный файл, лежащий мертвым на машине - мало, его еще надо обнаружить в активном состоянии и вылечить машину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Не слишком ли старый тест? У многих продуктов уже есть новее версии.

И чо? Юзверя год рассылали спам, пока кто-то выпустил новую версию?

А на счёт проверки на VirusTotal'e то это не объективно. Во первых, обновление версий продуктов там происходит крайне редко, по этому сами версии продуктов не актуальны, во вторых, это реакция на файл, а как на счёт лечения в этой таблице не указано.

и как же детект standalone файла зависит от версии продукта? второе - как антивирус будет лечить, если он не детектит? :D

Не переживайте, в данный момент картина совершенно другая =)

И что - авира файлик предлагает вылечить? ;)

З.Ы. Модераторы, предлагаю создать у нас на форуме анти-малварный bash.org, куда будем помещать самые смешные перлы с форума, а особо активных помещать на доску почета :D

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Я, кстати, знаю самый быстрый способ детекта русток.цэ: надо посмотреть на имя файла, если имя файла "ya_rustock_ze.sys", "net_ya_rustock_ze.sys" или "vi_vse_vrete_ya_tot_samiy_rustock_ze.sys" - то это оно!!! Пользуйтесь способом на здоровье!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Я, кстати, знаю самый быстрый способ детекта русток.цэ: надо посмотреть на имя файла, если имя файла "ya_rustock_ze.sys", "net_ya_rustock_ze.sys" или "vi_vse_vrete_ya_tot_samiy_rustock_ze.sys" - то это оно!!! Пользуйтесь способом на здоровье!

Зря!! Патентовать нужно было!!!

А так терь авира украдет технологию :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik

Хорошо, господа профессионалы. Признаю, был не прав: Посмотрел таблицу на Virustotal. Оказывается Авира этот руткит детектит как TR/Rootkit.Gen.

Смотрим когда добавили в базы. В ноябре-декабре 2007 года. Очень странно, что Авира промолчала в мае 2008 года. Что скажете? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Хорошо, господа профессионалы. Признаю, был не прав: Посмотрел таблицу на Virustotal. Оказывается Авира этот руткит детектит как TR/Rootkit.Gen.

Да ну, шосерьезно? :lol:

Напишите письмо в Авиру и спросите: "А шотакоэ TR/Rootkit.Gen?" - мой вам совет.

Получите ответ: "Ну это всякая хрень, которую детектирует наш супермегоэвристик на руткиты". :lol:

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik

А что, эвристик разве обновляется через сигнатурную базу? Спасибо, не знал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

http://forum.drweb.com/index.php?showtopic...t=0&start=0

лучше над этим посмеяться. :rolleyes:

http://www.virustotal.com/ru/analisis/e013...4fb6-1243630284

http://www.virustotal.com/ru/analisis/4d4b...d608-1243630183

как оно в мегаэвристике 5 ки? ;)

авторанчики так и не ловят все....

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

2sww

Прояснить ситуацию. Помочь человеку, который только-только пришел на форум. Поддержать добрым словом и мудрой улыбкой профессионала. Это - достойно и красиво.

Сугубо имхо.

А вот насмехаться, я бы даже сказал - ... (но не буду) - это как-то... нехорошо, что ли ;)

Тоже сугубо имхо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Тут как бы не Институт благородных девиц, потому стоит ожидать не самый мягкий ответ, когда выставлено прямое обвинение во лжи. И вообще, "это Интернет...".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
И чо? Юзверя год рассылали спам, пока кто-то выпустил новую версию?

Нет, просто время идёт, и продукты меняются в ту или иную сторону.

И как же детект standalone файла зависит от версии продукта?

Прямым образом.. Хотите сказать что детект не будет отличаться, например, у касперского версии 7 и версии 9?

И что - авира файлик предлагает вылечить?

Ну это нужно проверить.. =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Да, кстати. Третье поколение Авира видит, но не лечит. Предлагает скачать какую-то их утилиту. Виртуальную машину удаляю и больше за такие тесты не берусь. Мое железо не тянет.

sww

Ух, главное не забыть. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Тут как бы не Институт благородных девиц, потому стоит ожидать не самый мягкий ответ, когда выставлено прямое обвинение во лжи. И вообще, "это Интернет...".

Ага, поэтому будем изгаляться?

В данном случае было просто заблуждение, основанное на неправильной интерпретации и путанице в версиях. А вот это от человека, мнящего себя профессионалом, совершенно неприемлемо на форуме профессионалов:

"Ну это всякая хрень, которую детектирует наш супермегоэвристик на руткиты".

Сугубо имхо.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
З.Ы. Модераторы, предлагаю создать у нас на форуме анти-малварный bash.org, куда будем помещать самые смешные перлы с форума, а особо активных помещать на доску почета

Уж извините,но не все такие умные как Вы.

Skeptic, +1 к Вашим постам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Нет, просто время идёт, и продукты меняются в ту или иную сторону.

А какое отношение это имеет к недетекту авирой в 2008 году активного рустока?

Прямым образом.. Хотите сказать что детект не будет отличаться, например, у касперского версии 7 и версии 9?

А причем тут Касперский? В 7 и 9 версии думаю вердикт будет одинаков -Virus.Win32.Rustock.a

И Вы не ответили - как же антивирус будет лечить файл, который не детектирует? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Мне кажется,надо посты перенести в другую тему.Т.к. название топика совсем не соответствует обсуждениям...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×