Перейти к содержанию
Vadim Fedorov

Цепная реакция

Recommended Posts

Vadim Fedorov

Ознакомился с записью в дневнике одного из сотрудников Dr.Web -

http://blogs.drweb.com/node/424

Интересная тенденция:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Автодятлы находили страшное? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Ознакомился с записью в дневнике одного из сотрудников Dr.Web -

Интересная тенденция:)

Так этому экситпроцессу уже лет сто. Он использовался в качестве заглушки во многих малварных линках и названия получал от названия сэмпла даунлоадера или готового детекта другими. При лечении нужно же его подчищать тоже, но вот отдельный детект оного - вопрос качества создания правил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Автодятлы находили страшное? :)

Заржавели роботы - пора подкручивать гайки:)

Так этому экситпроцессу уже лет сто.

А упакованному <notepad.exe> ? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Мдя....

http://www.virustotal.com/ru/analisis/7618...5166-1245759452

Только вчера писали здесь:

http://www.anti-malware.ru/forum/index.php...ost&p=69456

вчера было 2,а сегодня 4.

Сам файлик приложил.

Сразу видно у кого как вирлаб работает.

Ппц. :D

StupidAV.txt

StupidAV.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Шо за херня вообще? Поражаюсь просто! Это там написана строка плохих слов? А на саму тему ту авира не жалуется? Я ж там сделал копипаст статьи..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Детект на ВТ как раз приложенного тут .тхт файла... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

В чем тут суть - обьясните мне. Если речь о фолсах, то они бывают у всех... Пока из прочтеного я лишь понял что здесь подразумевается плохое качество работы вирлаба у Avira (хотя делается это весьма в утонченной манере)... :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

В этом топике не про авиру разговор,а про то,что другие вендоры тупо ставят детект на файл даже не проверяя его.

Типа- вот народ детектит и мы будем,а что файл безвредный они и не знают...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Интересно, что реакция идет именно на эту последовательность слов, чуть поменять, стереть, например, последнее слово - и все, чисто. Может, случайное совпадение в последовательности знаков с вредоносным кодом? - см. http://www.microsoft.com/technet/security/...n/MS05-013.mspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Интересно, что реакция идет именно на эту последовательность слов, чуть поменять, стереть, например, последнее слово - и все, чисто.

Может, случайное совпадение в последовательности знаков с вредоносным кодом? - см. http://www.microsoft.com/technet/security/...n/MS05-013.mspx

Эксплойт соотв. уязвимости здесь, на мой взгляд, имеет не совсем прямое отношение : )

Т.е. продектетить, возможно, хотели. Реализация сего, однако, соотносится с детектом эксплойта под MS05-013, не вполне прямо:

последовательность строк содержится в тегах <META name='...' ряда кряковарезных-туторных и т.п. сайтов (crackspider, freeserials и т.д.) - простой поиск в гугле даст вам примерную картину (результы запроса, само собой, детектятся так же).

imo,

все это напоминает не слишком придирчивое гадание на шаре и поголовье тушканов в Мекcике

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×