karnics, пользуйся виртуалкой.

karnics, пользуйся виртуалкой.
У меня ХР, никак не могу с ней распрощаться...:swans:,жду когда "доблестные" зловреды ее добьют, но пока жива...
а если серьезно не люблю запускать шедов дефендер, чтобы потом не перезагружаться

Еще один свежий ncc.exe
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Каспер промолчал, зато сыграл ThreatFire :

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

---------- Добавлено в 03:25 ---------- Предыдущее сообщение было написано в 03:19 ----------

Файл отправил в вирлаб.

Еще один свежий ncc.exe
*** скрытый текст ***
Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Авира не детектит даже при запуске, а скуаред отлично справляеться:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Комодо как всега несколько алертов, после чего сам заблокировал:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Все таки неплохая хипса от PC Tools (в общих чертах). Вот еслиб у Авиры была хипса - был бы у нее суперский результат (если хипс будет нормальным)

Еще один свежий ncc.exe ссылка на VT не рабочая

Реакция NOD при распаковке 14.11.2009 10:41:25 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\ncc\ncc.exe модифицированный Win32/Kryptik.BBX троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

Как и обещал поставил себе Sunbelt (VIPER) , теперь потестим его =). При распаковке ncc.exe.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Не буду забивать картинками , та же реакция и на Install.exe , setup.exe и shestspont.exe

У меня каспер не промолчал при запуске ncc.exe, а сказал :14.11.2009 9:59:29 Завершен: PDM.Trojan.generic F:\ТЕСТЫ\НОВАЯ ПАПКА\NCC.EXE Действие выбрано пользователем COM Surrogate. Сработала проактивная защита , файл на автомате был помещен на карантин.

AlexM - это сигнатурный детект или что-то другое?

Это работа модуля PDM(проактивня защита). При сканировании после распаковки KIS молчал.

AlexM - это сигнатурный детект или что-то другое?

На распаковке архива срубило все. Получается сигнатурный, хотя давайте дальше его погоняем тогда точно скажу, одно плохо он на английском зараза =( . Я сейчас до комплекта еще и фаер их поставлю на тестировку -)

Это работа модуля PDM(проактивня защита). При сканировании после распаковки KIS молчал.
Ну это я понял. Я о другом антивирусе, который у AlexM стоит:kurim:

ссылка на VT не рабочая
Спасибо, ссылку поправил

AlexM, создал темку по СанБельту - [Ссылки могут видеть только зарегистрированные и активированные пользователи], как что будет - впечатления, ресурсоемкость, скрины, настройки - все скидывай туда:wink:

install.exe - Virustotal - Comodo Instant Malware Analysis setup.exe - Virustotal - Comodo Instant Malware Analysis

Black_N, есть ответ от вирлаба symantec?

Пришел ответ от Каспера:

Здравствуйте,


ncc.exe - Trojan-Spy.Win32.Zbot.aczi

Детектирование файла будет добавлено в следующее обновление.

Любопытно, сегодня Нортон уже детектирует один из двух вчерашних фейковых антивирей (наиболее тихий, setup.exe), определяет его как WiniGuard и дает понятную инфу о самом классе данных угроз. Второй по-прежнему проигнорирован.

Black_N, есть ответ от вирлаба symantec?
Ответ пришел тогда практически сразу, оба файла были оставлены для детального анализа...

MBAM ещё раз подтвердил своё звание, как лучший по определению фэйковых антивирей.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ответ пришел тогда практически сразу, оба файла были оставлены для детального анализа...

ок. Дело в том, что install.exe не так уж прост, как кажется: он блокирует установку и malwarebytes и запуск cureit и даже запуск cmd.exe
очень хочется увидеть, как его победят :)
P.S. в Safe mode malwarebytes и cureit запускаются, но уже интересно время реакции symantec

Burbulator, ну наверно можно запустить модифицированный АВЗ, включить AVZGuard и уже запускать как доверенные mbam, cureit и пр.

Rampant,не, мне очень интересно увидеть борьбу с активным заражением, которое реально сопротивляется антивирусам. Так что я еще подожду :)

Установил на Microsoft virtual PC DeefensaWallHIPPSv.2.56. Запустил Install.exe.Файл исчез,но через некоторое время появился интерфейс антивиря и начал сканировать,обнаружив при этом 48 угроз.
Остановить это безобразие можно было только опцией "Стоп атака". Программа резко завершалась, но продолжала сидеть на ПК. Ярлык висел на рабочем столе и при нажатии на него снова происходил запуск , с последующим сканированием,остановить которое можно было снова только опцией "стоп атака". В общем считаю DW провалила этот тест.

он блокирует ... запуск cureit
Burbulator, сейчас не могу проверить, 2 вопоса:
1. блокирует запуск даже с флешки?
2. в безопасном режиме - CureIt его вычищает полностью?

Burbulator, сейчас не могу проверить, 2 вопоса:
1. блокирует запуск даже с флешки?
2. в безопасном режиме - CureIt его вычищает полностью?

с флэшки не проверял, только с дэсктопа
CureIt в безопасном режиме не проверял, но MalwareBytes чистят отлично

проверил CureIt в безопасном режиме- он ничего не видит :(

Большой + mbam, то что он подчищает реестр, и довольно тщательно.

В нормальном режиме также ничего не видит. Вообще последствия работы install.exe устраняются средствами самой DW.

Очередной наборчик для тестов:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
apps1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
bot.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ebplugin.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ldr.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Black_N , вам нужно создавать собственную коллекцию, учитывая с какой скоростью вы находите и выкладываете действительно свежие вредоносы. Отчет по посту №2043 :15.11.2009 14:47:05 Удалено: Packed.Win32.Krap.ah WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\apps1.exe;15.11.2009 14:47:10 Удалено: Trojan-Spy.Win32.Zbot.gen WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\ldr.exe ;15.11.2009 14:48:04 Завершен: PDM.Trojan.generic bot.exe C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\BOT.EXE Действие выбрано пользователем ;15.11.2009 14:48:00 bot.exe Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности ;15.11.2009 14:48:47 EBPLUGIN.EXE Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности .

Очередной наборчик для тестов:
*** скрытый текст ***
apps1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
bot.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ebplugin.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ldr.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Итак начну по порядку установлена Авира 9 премиум, эвристик на среднем уровне, комбайн Комодо (только фаервол и проактивка) и МВАМ (с монитором)
1. При распаковке архива на два зловреда сработала Авира:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
2. При запуске Авира совместно с проактивкой Комодо прибила третьего:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
3. Далее срабатывал хипс Комодо и монитор МВАМ...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
4. Обратно Комодо и МВАМ, после всех разрешений на алерты Комодо, ему надоело и прибил автоматически...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Все тестирование проводил в тени Шедов Дехвендера

apps1.exe - Virustotal - Comodo Instant Malware Analysis
bot.exe - Virustotal
ebplugin.exe - Virustotal - Comodo Instant Malware Analysis
ldr.exe - Virustotal - Comodo Instant Malware Analysis
Со всеми четырьмя справился Сонар. В папке остался пятый файл - bot_.exe. Что это такое, пока не понял.

Ага, насчет bot_. exe - комодовский анализатор пишет: неисполняемый файл (см. здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))
Вирустотал ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - 0. Короче, неопасен. Нортон справился на все сто.

1.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

2.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

3.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

4.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

bot_. exe отправил в вирлаб.

Сергей, а вот в 2-х алертах - "поведение, похожее на троян-дженерик". И что, он заблокирован, или Каспер относит его в сильные ограничения? - т.е. что дальше?

Вот еще троица:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
coragob2c_b.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
pack.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Сереж, он его удалил.

1.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

2.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

3.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

coragob2c_b.exe - Virustotal - Comodo Instant Malware Analysis
pack.exe - Virustotal - Comodo Instant Malware Analysis
setup.exe - Virustotal - Comodo Instant Malware Analysis
Итак. Второй зловред Нортон срубил автоматической защитой при распаковке.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Два других - та же сладкая парочка вчерашних фейковых антивирусов, которые можно уже группировать в семейство AntiAid - Security Tool, или Фейковые Антивирусы Блэк Эна (сокращенно - ФАБНы)))))))))))
Corago, кажется, сам по себе ничего видимого не делает (проверил второй раз) и работает в связке с setup

Второй - setup - помпезно распаковывается, солидно предлагает выбор языка, называет себя AntiAid, красиво устанавливается, в трее выкидывает значок фальшивого Центра Безопасности Винды (см. в сравнении с настоящим, открытым там же), начинает сканирование, определяет кучу заразы, уговаривает удалить, а потом... смотрите сами:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

"Защитничек" на первый взгляд вроде бы охотно удаляется из системы собственным деинсталлятором:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

А потом, когда мы подтвердим в запросе системы защиту от модификации файлов, начинается самое интересное - откуда ни возьмись, открывается окошко - узнали? Да, да!...))) Из-под сброшенной маски начинает кривляться все та же вчерашняя голубая страшилка Security Tool! И все поехало по новой:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Нортон пока не обучен воевать против такого класса обманщиков.

у ума сойти(( :die2:

Ответ ESET Чемберлену

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вот еще троица:
*** скрытый текст ***
coragob2c_b.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
pack.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Скринов не будет, так как тестил в тени ШД и не добавил в искл. папку со скринами...:die2:
Авира задетектила один из зловредов, при распаковке, что в принципе соотвествует данным по вирустоталу...МВАМ сканом детектит все три зловреда, а скуаред сканом детектит лиш один..
При запуске оставшихся двух зловредах Авира молчит и никаких действий не предпринимает, отлично показал себя Комодо, выдал 5-6 алертов на запуск..., но я позиционируя себя, как "домохозяйка" постоянно ему разрешал...изменять защ. реестр, выход в интернет и т.д. ждал когда он прибьет эту "гадость" сам...в итоге один из фейковых антивирусов запустился и все мой скрины... пропали:die2:, пришлось ребутится...
Вывод по Авире, без хипса сейчас никуда и сигнатурный детект со временем станет дополнением хипсы, а не наоборот...

Ответ ESET Чемберлену

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

все.. срочно переходим на НОД)) :sdaus:

все.. срочно переходим на НОД)) :sdaus:
Да уж посмеялся от души.... Нод впереди планеты всей:die2:

Ребят, вдогонку.
Пока пост правил-писал, висела фоном у меня виртуалка с торчащими оттуда мордами обманщиков. И вдруг проснулся Нортон:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

И даже удалил что-то:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Оказывается, антивирусный сканер определил код XP-Antivirus:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Но, естественно, он срубил только маску (или обманулся ею, так точнее).
Потому что тут же поехало: "голубая, голубая, не бывает голубей":

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Тестим. Еще никто незнает
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

senyak, уже определяет:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Удален.

Тестим. Еще никто незнает
*** скрытый текст ***
Итак скачал драйвер - Авира, Комодо, МВАМ все молчок, при запуске Комодо сделал следующие алерты:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
далее драйвер запросил установку... разрешаем
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
после чего еще один алерт Комодо
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
и все финита ля комедия :crzswans: драйвер? успешно запустился, правда никаких изменений я не заметил, если это троян...то Авира, Комодо, МВАМ успешно тест провалили...:die2:

Ответ ESET Чемберлену
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Странно другое, я не увидел какие версии сравнивались, актуальны ли они на данный момент?*:kurim:
Так что непонятно...:mat:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Не кто не знает! :monstr:
Обновляется часто!

Black_N, Сергей, можно даже не заморачиваться - маркетинг есть маркетинг... кстати, все начинается с обесцвечивания коробок конкурентов и придания им неопределенного цвета.

Тестим. Еще никто незнает
*** скрытый текст ***
При загрузке драйера всплыло предупреждение Download Insight о нежелательности этой загрузки:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

При разрешении - работает уже Сонар:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Информация:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Он, как всегда - на высоте! :yahoo:

Ivaemon,
Меня поражает эффективность сонара 2, гонял его недели 2 назад, но он мне надоел, тем что все определял...и как то скучно стало, теперь тестирую Авиру, жду когда у нее хипс появится...

karnics, кроме Сонара, у Нортона очень интересно работают облачные службы. Только их работа не так видна снаружи.

Кстати, заметьте, в новой версии по-другому стали выглядеть алерты Download Insight: раньше они были маленькие в трее (желтые, зеленые, красные), а вот теперь, очевидно, так, как на первом скрине поста 2066.

Похоже эксплоит:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
DRs.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

охоже эксплоит: Скрытый текст требуется (0 сообщение(ий), сейчас у вас 119): [Ссылки могут видеть только зарегистрированные и активированные пользователи] Пароль: infected

Нортон - ноль реакции, в т.ч. Сонаром

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

и он спокойно открылся

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

файл с расширением pdf - что вредоносного он может нести системе?
Виртуальный анализатор комодо - вердикт ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
MD - никакой реакции на запуск.

DRs.pdf - Virustotal

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

файл с расширением pdf - что вредоносного он может нести системе?

exploit в pdf позволяет выполнить произвольную команду на ПК, например, закачать и запустить другой вредонос

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Burbulator (**********:insertnick('Burbulator');) На всякий в лабораторию отправил - интересно что на vt он его не видит, и у меня он видит! :kurim:

Ребят, вдогонку.
Пока пост правил-писал, висела фоном у меня виртуалка с торчащими оттуда мордами обманщиков. И вдруг проснулся Нортон:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

И даже удалил что-то:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Оказывается, антивирусный сканер определил код XP-Antivirus:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Но, естественно, он срубил только маску (или обманулся ею, так точнее).
Потому что тут же поехало: "голубая, голубая, не бывает голубей":

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

G DATA тоже не пискнул идинственное запретил ей внести изменения в систему !! Вот гадость то какая не устанавливал сама влезла)))
А удалил с помощью командера в скрытой папке! Единственное рабочий стол обои почикала и всё!!

exploit в pdf позволяет выполнить произвольную команду на ПК, например, закачать и запустить другой вредонос

Запускал его с включенной MD, он висел у меня тут какое-то время, и она никак не отреагировала. Никак он себя не проявляет вроде.

Вот этот OLOLO:)) :
%OLOLO
%PDF-1.2
%OLOLOLO
290 0 obj
<</Length 0000000/Filter/#46#6c#61#74#65#44#65#63#6f#64#65>>
stream
xњнXio9эћ_˜Ѓ4rНЈGоШЧ$O6‡Џ$–±PдцYцКRмЊ‘яѕхЉ’|ыuwќАlЄкХБ"YUаіэЩx8=:?яsрсbЈэс8їШZi.Я4'ќ«‹ГЈQI«Јf|0=ьM*НyLнfьйэ|6i¦іЙшyДћПѕћO'Gгѓ¶?Є^Єa–¦./ЮЯ¶;WЯ“з_>oЏ/ІOE»ХџBлюМз6йПґHD&
зыіDшtQфgІpуPЧвЉґК—˜R“¬+ k<(6h’2!!zҐJ‰QЅ*АMjИeQ‚‡хФXТ™Ct‡№УС:фhнHЏРрКШљрО‚+ґа‚’¤EJЈ4LЃџЪЦu–WўR’†ZixоЎ*Ё є(±Љћ°W:Зкњ©a«ЄИџda‹¤¬-4в}K<"oK-@O"Т“6Si„©–т®дU;x˜“¬мzCRuFшL;‚№ѓ¶PХ4П}BtUYтЗyЊЦДЩ¦¤'˜ы`)V©Ї(Ц#¶І$eUaE–ђ¶p¤Н$–<с|URБnU,г/RЅ8д?пыхоЉчK;Т¬eЎЈmhSµР†УсZcuЖс^xи©«”нr”иЖ њ“*Q°?v©Б%рЬ мљЄuА\a]5Ц⧱F^iЙ#GЙj¬zN)/mЊ!цСГCН~кТТIPcФ–¤єd»?›bmsЕ>8џЋ¤`nЅАhЛ§QА®q®`ORш ‹N;‡Ы
БЈ]’јЧ‚юЕ±Хйб†ѕ-¶яuћ)Ў¤ґRx¦нm®7M¶іЛ?Ћg‡›пІD¦ ЭY¦јЇѕьc3г«ЅLМаlђ±А‹6ЈєвRыh?“З"¤"q$7"з~†b±СaШgmvуЕЬ‹ОK¶СЫ?ќґЃЇЧ—ПDЏїk,зЭnзЉіГ?wcBлІл”І ыЗV}ІЅpKЕ0ЋдVМЏМџ/s-IRЈ:LкfьйMЏОW‡§ЈСалЗйй¤Й
ћ3©N«“БСихxяґ}EyушчVkедьаw–эy+mNЦ‡у¤Щ„УlЬ\<“ЙаG»У[BЮ|Юhoo+Ї>7‹фM?Ї“7У‰ТНh Э4bv+cщzћС#nkпSF%вя^8ю¶Hў}{1yсeЈ$EЗО‹њGЃд[г2W
И*зdз…Y\ы˜t|Ћ+]ЦH”
9q`¬t 1еCњ(¤Ъ8·UеЂDв‹©3ву+=ё2 Йє?‘rЎ9kЃ„”s@Z#Y1FЦчђ„)ђR$t§J¶^ЮC"HQ+ЦйY›Оп"kNЊ)њ3ј"•ЮF†є&ЩТбЄ§Aбb[‰и№#iOqЛeЕHЩ¤ЂЕњ1”гAЙ‘ю\`+g+6YШт.§±6eЉH.^ёе^XЊ”эHVЛ©РІ'ђ*jР%Ї:ву…я„фюз¶ўXеL®f¤Ї®WЉ“ |
Y
J!S¤EЏ4M«Ђ‡!]кOѓјЖxB\cЁЇэч†Ѕr•_Ш*Д'/Р:H‘XE@Йoz®ЩуpЧуўXh¦U˜;юД})пъSЯуЗ&ђЄл‡эЇnаCЕю—9|ЁёXЮ5v$7с.`EўФRЇЋBіMшFёҐ]a]сЬ¦Я¬¤¤y-Sn˜у<•(н)џ–k,P‚U·2 81Є|®„L±.C;(ЛТ°-Т¦$ЉSUT
»#й<И
ҐWК2As яОgВ^™№Eґ)
UҐЈ‡
нхJ”sмVyDІ”T8Ґe®8zёі№а›‹;ћуNќ“х c‚ь?(уr^ж/Iп%нЫшќ7ѓЅ·Єэ»QИЁ"Ь®фTE2ѕhчFЌGБyЁВѓ~іx1шГ·Y›JПuU'ЌЛљт-Єи4®_ФrЄЊ;4ЭEUл’Sу~p:МZJ9ЪSкz5'm'¬k±:т?TСё&µ§РКHЄ›µ’)™MЏF«gT!§ынЦ/‰Ўин·Vp«BoѕnЏяи<»ў1ЈїХIs6›цЛќ~Wоѕ<XiaµqsУGёљ№юnВ\чЧ0Ч>ВµМ5Џps“Gёћ№ъnК\хW0W¶–ќ
nu;зЫџцжэО›ЌЛЧЗOЗSЗсФq<uOЗaЗЎo>,,џ.©АЯлћЖяЅ±Хйr
п}ЩX°я«яz“кј^
Юg4пТЙ˜ч“уW\ј±¦C?»
Ѕх0Вчц
zVо1®•ј`LTMИ9µKФ5q™аxv Ђюєш#+Ѕп{Їрв…~сЭaIэ"ЌkТу—єEbпРl—eИ}о`O¦У,2¶Д›Я¶ішbCдОEDљ+zvEАЁjси$ДаюШBл9K:h¦Ї‡§г6Iv[я|»ъu6Ю5ЊЂeф·іqs>њ5+е‡уlpv¶ъэЁ№h&[НдњЪ*ХййЗҐОКжЮјGџцыGэsRRу}0jУ¤У;Ъo“’5O®ОџтЙN$ю-уїю
fJL~°ZІЦ2¦Е¶®чуЯ›
8
endstream
endobj
104 0 obj
<</Pages 499 0 R/StructTreeRoot 614 0 R>>
endobj
499 0 obj
<</Count 1/Type/Pages/Kids[272 0 R]>>
endobj
614 0 obj
<</S/**********/JS 290 0 R>>
endobj
272 0 obj
<</Parent 499 0 R/Resources 272 0 R/Type/Page/AA<</O 614 0 R>>>>
endobj
xref
trailer
<</Root 104 0 R>>
OLOLO

Нортон - ноль реакции, в т.ч. Сонаром
Запускал его с включенной MD, он висел у меня тут какое-то время, и она никак не отреагировала. Никак он себя не проявляет вроде.
Конечно будет ноль реакции. Этот эксплоит для Акробата, а не для Фоксит Ридера в котором вы запускали. Фоксит Ридер его (сам код, скрипт) не запустит.

Всем привет! Интернета небыло (вылетал каждую минуту), только сейчас починили.

G DATA тоже не пискнул идинственное запретил ей внести изменения в систему !! Вот гадость то какая не устанавливал сама влезла)))
А удалил с помощью командера в скрытой папке! Единственное рабочий стол обои почикала и всё!!

Отпровлял в лабораторию G DATA пришёл ответ что это Trojan-Spy.Win32.Zbot.aczi и добавлено в базы!!!

Попробовал ещё раз запустить не даёт G DATA рубит его как вирус))))

Запускал его с включенной MD, он висел у меня тут какое-то время, и она никак не отреагировала. Никак он себя не проявляет вроде.

Я думаю, работа данного эксплоита может быть проверена в он-лайн режиме, это когда открывается данный документ при веб-серфинге, в таком случае (по-умолчанию, обычно) подгружается Reader в окно браузера и вероятно происходит эксплуатация уязвимостей продукта...
Поэтому предупреждающей мерой от данного типа угроз может быть:
1) отключить показ pdf в окне браузера;
2) в самом pdf-reader (Foxit Reader, Adobe Reader...) отключить Java Script в настройках...
P.S. Практика показывает, что не всегда переход на альтернативные просмотрщики pdf спасает от эксплоитов.

Razboynik, с возвращением!
а не для Фоксит Ридера в котором вы запускали.
Если точнее, у меня для таких файлов STDUViewer:Laie_99:
Я думаю, работа данного эксплоита может быть проверена в он-лайн режиме, это когда открывается данный документ при веб-серфинге, в таком случае (по-умолчанию, обычно) подгружается Reader в окно браузера и вероятно происходит эксплуатация уязвимостей продукта...

Сергей, были схожие мысли - попробовать через браузер. Сегодня вечером попытаюсь реализовать задумку. Очень любопытно.

Эксплоит сработает только если на компе установлен Акробат Ридер, только он сможет его запустить.

Это примерно как MS Office и бесплатный OpenOffice. В MS Office есть собственная среда программирования VBA (визуал-бэйсик для приложений). На VBA можно писать макросы и более серьезные вещи - копирование, создание, изменение, управление другими приложениями и т.п. Именно так появились макро-вирусы. Открываете документ в MS Office и запускается на выполнение макрос. В бесплатном OpenOffice (и других аналогичных продуктах) встроенного VBA нет - нечем запустить код на выполнение. Документ откроется, но макрос не сработает.

Так же и здесь, эксплоиту нужен Акробат для запуска.

Эксплоит сработает только если на компе установлен Акробат Ридер, только он сможет его запустить.
Без проблем, установим ради такого случая Акробат на виртуалку... :girl_sigh:

Без проблем, установим ради такого случая Акробат на виртуалку...
А вот это уже будет интересно :yahoo:
В Нортоне вроде есть защита от эксплоитов, посмотрим на что она способна.

---------
Возможно защита Нортона не сработает, т.к. эксплоит может использовать не уязвимость, а просто выполнять код. Не знаю как в Акробате, но в MS Office на VBA можно делать интересные вещи - даже создать необходимые отдельные файлы и запустить. Поэтому интересна будет реакция MD (на Акробате MD не обучать). Посмотреть что Акробат будет делать после запуска эксплоита - возможно создаст и запустит файл, возможно полезет в сеть. Интересна реакция MD на сам Акробат.

В Нортоне вроде есть защита от эксплоитов, посмотрим на что она способна. --------- Возможно защита Нортона не сработает, т.к. эксплоит может использовать не уязвимость, а просто выполнять код.

Заодно и проверим нортоновскую защиту от уязвимостей программ:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Небольшая видео зарисовка, на тему фэйковых антивирей, с #1977. В обоих случаях mbam установился и удалил супостатов) Смотрим раз ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), смотрим два. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

К посту 2008:

Файл благополучно распаковался, сигнатурно не детектится, но при запуске сработала проактивка

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Прогнал его через MD, алертов было много больше сотни наверное, одно из первых что он делает - создает все тот же sdra64.exe в system32 - причем в этот раз точная копия исходного файла:
Сравнение файлов sdra64.ex_ и SHESTSPONT.EX_
FC: различия не найденыПрактически каждый 2й алерт - удаление файлов из "c:\System Volume Information" - (в основном, sys, dll, exe и drv)
после наверное сотни алертов надоело это и под прикрытием AVZGuard запустил MBAM:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
При удалении попросил перегрузиться для удаления "lowsec" и на этом все, т.к. сидел под тенью...
Странно, при повторном запуске этого же файла удаления из "System Volume Information" прекратились, возможно не его рук дело было, а винда сама что-то подчищала, уточнить сейчас уже не могу т.к. скрины не сохранились...

К посту 2016:
срублен был F-SIS 2010 при распаковке

К посту 2043:
Файлы:
1) apps1.exe 73216
2) bot.exe 98816
3) bot_.exe 83456
4) ebplugin.exe 155648
5) ldr.exe 83968
2 и 5 удалены при распаковке архива

Запускаем оставшиеся 1, 3, 4(пропущены антивирем - проактивная защита не сработала) -
1 - все тот же sdra64 - прописывается в реестр на автозапуск, создается сам файл, добавляется скрытый атрибут, модифицируется содержимое и понеслась - дальше алерты идут один за другим десятками
3 - "программа не умещается в памяти" :crzswans:
4 - почти тоже самое что 1, только начинает уже с удаления существующего sdra64, а дальше все похоже...
Итог по посту 2043 - тест провален (((

Отпровлял в лабораторию G DATA пришёл ответ
На какой адрес отправлял?

К посту 2048. Пришел ответ с вирлаба:

Hello,

bot_.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Валерий, замечательное видео! и MBAM, действительно, справился.
Вот только, пока возился с ними, создалось устойчивое впечатление, что оба как-то связаны друг с другом и используют друг друга. Правда, в-основном на примере вчерашней пары. А по видео, получается, что независимы друг от друга?

Итак, обещанный тест сэмпла:
Похоже эксплоит: Скрытый текст требуется (0 сообщение(ий), сейчас у вас 5269): [Ссылки могут видеть только зарегистрированные и активированные пользователи] Пароль: infected DRs.pdf - Virustotal

Цель: выяснить,сможет ли засечь подозрительную активность MD (версия 2.4.0) и NIS последней версии при запуске сэмпла в Adobe Acrobat Reader и через браузер.

1 часть. Запуск оффлайн.
На виртуальную машину установлена последняя русская версия Adobe Acrоbat Reader (9.2), загруженная с оффсайта. При установке MD была переведена в обучающий режим, после установки - переведена в нормальный.

В качестве контрольных быди взяты pdf-файлы, взятые с сайта AV-comparatives ([Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])) - methodology.pdf, avc_report23.pdf и symantec_corp09.pdf.

Контроль.
Первый из них запускался, и фиксировались алерты MD. Всего их было 10:
- семь - при открытии файла (запуск нового процесса - 3, управление окном другого процесса, доступ к COM-интерфейсу, отправка сообщения другому процессу и изменение параметра реестра);
- три - при закрытии окна Ридера (создание файла - 2 и запись в файл).

При каждом запросе создавалось правило по умолчанию, без расширения полномочий, и делался выбор разрешить. Ни один процесс не добавлялся в доверенные, в инсталляторы или в другие группы. Таким образом, любая другая активность Ридера, кроме той, которая возникает при открытии "доброкачественных" файлов, осталась доступной для алертирования хипсом (в том числе и любые запросы на сетевую активность).

После этого для проверки открывались и закрывались два других файла. Ни единого алерта со стороны MD не последовало.

Опыт.

Запускался и закрывался файл DRs.pdf. Ни единого окна MD не последовало:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

2-я часть. Запуск через IE

Контрольная часть по смыслу аналогична предшествующей: открытие и закрытие methodology.pdf через браузер и отслеживание алертов MD. Их было 5: запуск нового процесса - 3 и запись в файл - 2. Разрешения выставлялись так же. После так же открывались 2 других контрольных файла.

Опыт - запуск DRs.pdf с помощью IE. Алертов нет:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

3-я часть - онлайн открытие сэмпла

Не выполнена, поскольку тестовая страница на момент проведения теста уже не существовала:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Но с учетом результатов 2-й части необходимость этой проверки, очевидно, отпала.

Другие результаты: NIS 2010 предупреждений не выдавал.

Выводы: MD 3.4.0 и NIS 2010 не выявили вредоносной или подозрительной активности проверяемого файла.:yahoo:

получается, что независимы друг от друга?
Получается так, первый самоудалился, после запуска, второй что то скачивал с внешки, G Data при этом, заблокировала офсайт этого "антивиря". Связи между ними, я не увидел никакой.

Странно. у меня были совсем другие результаты запуска этого setup`а - не было окна установки... а вчера также 2 запуска не были похожи один на другой. Не первый раз сталкиваюсь с такой странной работой виртуалки.

Сегодняшние ответы от Авиры
ncc.exe >>>>> TR/Spy.ZBot.aczi.1
shestspont.exe >>>>> TR/Spy.ZBot.10803.2
coragob2c_b.exe >>>>> TR/Fakealert.IS
pack.exe >>>>>>> ADSPY/Adware.Gen
setup.exe >>>>>>> TR/Dldr.FakeAler.B

Еще наборчик для тестов:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
572.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - ComodoInstant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
bh.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
op.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - ComodoInstant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - ComodoInstant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


P.S. И на последок ссылка на супер-пупер-антивирус:swans:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Не могу антивирус скачать

Не могу антивирус скачать
Видать акция уже закончилась:kurim:
Кстати там можно в поддержку написать...:drinks:

Классно. Чтобы скачать такую каку, еще надо акции ждать) Ну это их дело. Я хотел скачать, а мне не дали :)

Ответ вирлаба ESET на файлы apps1.exe / bot.exe / ebplugin.exe
Здравствуйте.
Присланные Вами вирусы определяются с версией базы данных сигнатур вирусов № 4613
кроме:
bot_.exe - данный файл не является вирусом и соответственно не опасен.

и на файл setup.exe
Здравствуйте.
Присланные Вами вирусы определяются с версией базы данных сигнатур вирусов № 4613

Black_N (**********:insertnick('Black_N');) Касперский детектит все кроме [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Black_N ([Ссылки могут видеть только зарегистрированные и активированные пользователи]**********:insertnick('Black_N');) Касперский детектит все кроме [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Спасибо, интересно а как он определяет - op.exe?
---------- Добавлено в 12:32 ---------- Предыдущее сообщение было написано в 12:29 ----------
bot_.exe - данный файл не является вирусом и соответственно не опасен.
Извините, что не отписал раньше bot_.exe - это действительно мусор который случайно попал в архив.. я только сейчас обратил внимание... Извините...

Итак KIS2010 v9.0.0.736:17.11.2009 12:21:42 Обнаружено: not-a-virus:FraudTool.Win32.WinSpywareProtect.bfc C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\572.exe WinRAR archiver ; 17.11.2009 12:22:58 Обнаружено: HEUR:Trojan.Win32.Generic C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\op.exe WinRAR archiver ; 17.11.2009 12:24:25 SETUP.EXE Помещено в группу Слабые ограничения Имеет высокое значение эвристически рассчитанного рейтинга опасности и далее по этому файлу: 17.11.2009 12:28:19 PDM.Trojan.generic C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\SETUP.EXE Действие выбрано пользователем SETUP.EXE Файл pdf запустился, попал в слабые ограничения, открылся пустой . PDM по файлу setup.exe среагировал на 4 мин позже контроля программ, поместившего его в слабые ограничения. Он начал установку , затем что-то скачивать начал и тут же его активность срубил PDM каспера.

Black_N Вот так!!! :kurim:
21450

Вот очередная сомнительная парочка:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
update.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
windefenderup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

windefenderup.exe Касперский словил эврестиком ! :kurim:

По файлу windefenderup.exe ---- каспер сразу поместил в недоверенные и доступ к нему запретил на автомате. Файл update.exe:17.11.2009 13:10:32 Завершен: PDM.Trojan.generic File System Conversion Utility C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\UPDATE.EXE Действие выбрано пользователем --поместил на автомате на карантин.

Alexander196431, если не влом - удобнее читать будет если пост разбит на абзацы, а то все сливатся, особенно при широком экране, по времени это должно занять пару секунд, а народу будет приятно! :wink::JC_ThankYou:

2ALL, по поводу фейкового антивиря из поста #2094
Так и не нашел ссылок на него.
Но понравилась таблица с офсайта...
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Нортон отдыхает рядом с этим чудным продуктом :crzswans:
И вот это еще, обычно оплата идет через более-менее известные процессинговые центры, а здесь перевод на некий theBillingSystem com, весьма подозрительный, вполне вероятно что помимо выброшенных денег (50usd) лишишься всего содержимого карты, сдается мне ребята с thebillingsystem занимаются кардингом, хотя не могу утверждать 100% - проверять на своих картах не буду :crzswans:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Хотя, уверен на 99%, нет, все-таки на все 100% что ребята куют железо не отходя от кассы...)))

См. скрины ниже...
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Типичный скрин киберсквоттерского сайта, датирован месячной давностью, т.е. еще месяц назад домен был "свободен", а точнее занят киберсквоттерами, а вот теперь он понадобился чтобы срубить лавэ... Так что скорее всего введенные через него данные по банковским картам прямиком попадают к злоумышленникам!
Да, кстати, а через форму Support пополняют коллекцию своей спам-базы )))

Очередная троица:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
socks.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
uk.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
P.S. При анализе setup.exe заметно обращение на сайт:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
собственно вероятно для загрузки очередного поддельного продукта (уже ранее нам знакомого) из серии AntiAID...:kurim:
....
А вот и сам поддельный антивирус который удалось мне достать из этого сайта:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вчера скачала Shadow Defender отсюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи])будучи в линуксе, перекинула архив в винду.Перегрузилась в нее, открыла архив, жму инсталлер, а F-Secure тут же убивает 2 трояна.
Кейген есснно уже не запустить... и что это было не посмотреть..

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ljubava, а зачем ты качаешь с неизвестных сайтов? Тем более программу безопасности.
Вот оф.сайт ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), остальное здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) смотри (у нас на форуме).

Результат KIS2010v.9.0.0.736 по посту №2107 от Black_N :18.11.2009 8:28:34 -1-- Удалено: Backdoor.Win32.Dreamy.bh WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\socks.exe;
2--18.11.2009 8:28:40 Удалено: Trojan-Banker.Win32.Bancos.iqj WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\uk.exe ;
3--файл setup.exe помещен каспером на автомате в недоверенные и соответсвенно в доступе к файлу отказано.

Результат KIS2010v.9.0.0.736 по посту №2107
Уже добавили в базы? Детект - это неинтересно. Рано или поздно все будут эти файлы детектить. Интересна работа технологии защиты когда детекта еще нет :wink:

По файлу setup.exe детекта не было , сработал HIPS,поместив файл сразу в недоверенные приложения.

Что-то у нас часто косяки на форуме с "базой данных"
Бывает по пару часов не мог достучаться, вот и сейчас опять было, правда, пока я отходил, все заработало...
Я так понимаю, это не у меня одного?
Ljubava, качнул твой архивчик - проверим, но скорее всего ФСекура просто удалил его как кряк, а не как вирус, каспер у меня промолчал. Посмотрим что MD покажет... Сейчас разгребу немного дела и проверю )))

Ljubava, скачал твой архивчик. Распаковываю и

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Жмем в окошке "Подробнее" и смотрим какой именно файл был заблокирован

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


------------------------
Кейген, возможно, действительно является вирусом. Детект сигнатурный.

Детект сигнатурный.
Razboynik, именно поэтому вряд ли это вирус - добавили в базы из-за того, что кейген, что делается сплошь и рядом. Вот если бы его Сонар срубил за подозрительное поведение...:wink:

Ivaemon, вполне возможно что реакция на кряк.

Я когда себе Shadow Defender впервые устанавливал проделал так:

установил Shadow Defender (он полнофункционален в течение пробного периода)
русифицировал
запустил, на запрос о вводе кода - указал пробный период
включил режим "тени"
запустил кейген и нагенерил ключей - сохранил ключи в текстовом формате
в Shadow Defender указал сохранить этот текстовый файлик
перезагрузил компьютер
в Shadow Defender ввел ключик

До сих пор теми ключами пользуюсь. Сейчас у меня кейгена нет, а ключи подходят :kurim:

Кстати, подобные мемуары - имхо, как раз для персональной темы...:wink::wink::wink:

Razboynik, сколько полезной информации :JC_Hi-Five:

Ljubava
Вот что у меня G DATA при загрузке выкинула!!

Антивирусная проверка веб-контента

Адрес: eu136-get.uploadbox.com
Вирус: Gen:Trojan.Heur.GM.01E0014002 (Engine A), Win32:Malware-gen (Engine B)
Статус: Доступ запрещен.

Ответ вирлаба ESET на файл DRs.pdf ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Здравствуйте.
Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо

Вот занятная статейка по методике тестирования антивирусов:.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Еще подборка, для тестов и рассылки для пополнения баз:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
iTunes.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - очевидно, очередной загрузчик уже знакомого нам поддельного антивируса
svchost.exe*- Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) -*вероятно, кража паролей - обращение на сайт поддельный-вконтакте
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ljubava, по поводу твоего кейгена - кейген как кейген )))
Ничем особо не примечательный )))
При запуске выбрасывает порядка 10 одинаковых алерта (см. ниже) и благополучно запускается.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тоже самое происходит и с другими к.г., которые воспроизводят музыку при запуске. Ничего деструктивного кроме ущерба кошельку правообладателя искомого софта такой кейген не производит )))
Так что пользуйтесь наздоровье!
Ну и всегда остается такой вариант как предложил Razboynik, я себе именно так и устанавливал ШД ))) Главное не забыть директорию с сохраненным ключиком внести в исключения, либо сохранить изменения на диске через контекстное меню! С патчами сложнее, но это уже другая история...

Первые два iTunes.exe и setup.exe - VIPRE срубил сигнатурно, а по поводу этого svchost.exe*:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

а у меня setup.exe не тронуло. остальное задетектило

Вот, еще один, интересный:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
derce2.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

KIS 2010v9.0.0.736. С файлами iTunes.exe и svchost.exe все довольно просто:
1--iTunes.exe 18.11.2009 15:52:05 Удалено: Trojan-Spy.Win32.Zbot.gen C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\iTunes.exe WinRAR archiver
2--svchost.exe 18.11.2009 15:52:05 Обнаружено: HEUR:Trojan.Win32.Generic C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\svchost.exe WinRAR archiver
3-setup.exe . Весьма непростой файл. В начале каспер заносит его в слабые ограничения. При запуске он начинает инсталяцию. В процессе инсталяции закачивет дополнительно файл , размером примерно 1мб в папке темп:
18.11.2009 15:55:06 Завершен: PDM.Trojan.generic C:\DOCUMENTS AND SETTINGS\ALEXANDR\LOCAL SETTINGS\TEMP\60J2GDC9.EXE Действие выбрано пользователем Microsoft Corporation.
После чего исходный файл setup.exe обнаруживается PDM:
18.11.2009 15:55:07 Обнаружено: PDM.Trojan.generic C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\SETUP.EXE Действие выбрано пользователем SETUP.EXE
Файл derce2.exe был нейтрализован также PDM:
18.11.2009 16:13:26 Завершен: PDM.Trojan.generic C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\DERCE2.EXE Действие выбрано пользователем DERCE2.EXE

Ответ вирлаба ESET на файлы update.exe/windefenderup.exe пост 2103 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Здравствуйте.
Присланные Вами вирусы определяются с версией базы данных сигнатур вирусов № 4616

Подборка из поста 2122:Avira Premium Security Suite 9 при распаковке архива:
В файле 'C:\Documents and Settings\Admin\Local Settings\Temp\Rar$DR00.953\svchost.exe'
был обнаружен вирус или вредоносная программа 'TR/Spy.41984.122' [trojan].
В файле 'C:\Documents and Settings\Admin\Local Settings\Temp\Rar$DR00.953\iTunes.exe'
был обнаружен вирус или вредоносная программа 'TR/Crypt.ZPACK.Gen' [trojan].

Кому интересно, порно информер, осторожно!!!
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)) ::.
Ничего страшного, довольно посредственный информер, отрубается в надстройках IE, что бы установить, надо подтвердить несколько запросов. Блин и как умудряются их устанавливать, я балдею от юзеров))

Кому интересно, порно информер, осторожно!!!
А как ролики смотреть? Поставил я информер, а ролики смотреть не могу. Хотя они написали, что можно будет ролики смотреть. Обманули! Гады :monstr:

--------------
В Опере при нажатии согласия дальше можно только "сохранить" (если "открыть" - на странице появляется бессмысленный код программы)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Сохранил, запустил - скрипт успешно выполнился, Нортон не реагировал...

Открываем IE - там есть информер. Ходим по ссылкам куда предлагает зайти информер, везде зеленый значок Нортона.
Открываем Firefox - тоже есть информер. И тоже гуляя по данным ссылкам везде зеленый Нортон (плагин Нортона для IE и Firefox).

Вот зашел в Файрфоксе на страницу установки данного порноинформера - на странице загрузки Нортон тоже просигналил зеленым типа в Симантек страницу проверили и все ОК (серым Нортон помечает если страница Симантеком не проверялась)

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Открыл страницу загрузки в IE, все также как и на рисунке выше... Как видно, порноинформер у меня уже есть, но на странице загрузки это мало кого волнует. Предлагают установить (еще один?). Нажимаю "согласен" и снова выплывает примерно окно как на первом скрине, только здесь не Опера, а IE. Нажимаем "установить" (а не "загрузить") всплывает сообщение от винды - файл не проверен, действительно хотим установить? Подтверждаю, установка (поверх?) прошла без проблем.


------------------
P.S. Порноинформер установился только в IE и Файрфокс. В Опере порноинформер не установился, Опера после установки оказалась не тронутой порноинформером... Также как антивирусные программы делают свои плагины только для IE и Файрфокса... Обидно :greedy:

Этот информер ещё ничего,но бывают такие случаи,когда информер на весь экран поверх всего и не убирается и не удаляется.

У меня надстройка IE - Макстон, но информера нет) я так понял вирлабы этот скрипт, не добавляют в базы, можно попробовать отправить им.

У меня надстройка IE - Макстон, но информера нет
А вот интересно, с надстройкой Макстон, смогут свои плагины установить антивирусы (например, Каспер или Нортон) в IE ?

Каспер также 0 эмоций , лишь занес в слабые ограничеия. Расчехлил Malwarebytes Anti-Malware, обновил базы --тоже 0 эмоций, все чисто.Похоже никто всерьез этот информер не воспринимает .

Razboynik, установить то можно, но вот в Макстоне они не появятся) Это я про вторую версию, в первой была поддержка плагинов и расширений IE, посмотрим что нам предложат в 3 версии.

------------------
P.S. Порноинформер установился только в IE и Файрфокс. В Опере порноинформер не установился, Опера после установки оказалась не тронутой порноинформером... Также как антивирусные программы делают свои плагины только для IE и Файрфокса... Обидно :greedy:
На компьютере должна быть установлена Java, и в Опере тоже должна быть быть включена поддержка Java. Этот файлик помещается трояном в папку пользовательских Java-script и оттуда уже запускается информер. Я специально экспериментировал: установил Java, включил её поддержку в Опере, вручную скопировал этот файл .js в папку пользовательских Java-script, но всё равно информер появлялся только иногда. Закономерность не выявлена. Возможно, поэтому в Avira упорно отказываются добавлять его в базы. Наверное, троян создаёт несколько записей в реестре, без которых информер не будет корректно работать.
Этому "медиамодулю" уже в обед сто лет, просто его, видимо, постоянно модифицируют, чтобы сбить сигнатурный детект. А интерфейс, предлагающий установить кодек, позволяет обмануть HIPS, поскольку без интерфейса этому файлу был бы присвоен больший рейтинг опасности.

Я делал сравнительные снимки реестра перед и после установки этого информера, записей довольно много, поэтому и не стал здесь выкладывать.

Каспер также 0 эмоций , лишь занес в слабые ограничеия. Расчехлил Malwarebytes Anti-Malware, обновил базы --тоже 0 эмоций, все чисто.Похоже никто всерьез этот информер не воспринимает .
Интересно, пользуясь случаем, может кто проверит, справится ли с ним SUPERAntiSpyware?:kurim:
*

Мужчины... а что делать со ссылками на программы (у нас, на кадете), в которых лежит троян?
Скачала отсюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), при открытии архива Ф-Секьюре тут же убил , программу не пропатчить. Перекачала по новой, скрыв папку от антивиря, открывала уже отключив , улов вот такой)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А вот VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Программа так и не пропатчилась...

Ljubava, хм..., тут похоже что в патче доунлоудер, я бы сделал полный скан системы, неизвестно что он упел тебе накачать, я вижу там ещё кейген, может им лучше воспользоваться, хотя...)

Ljubava, хм..., тут похоже что в патче доунлоудер, я бы сделал полный скан системы, неизвестно что он упел тебе накачать, я вижу там ещё кейген, может им лучше воспользоваться, хотя...)
Да, Keygen не лучше (который тоже есть в данном архиве):
Keygen.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Patch.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Правда ссылки по которым они обращаются вродь как уже не живые... по крайней мере на скачивание "дополнения" pcdef.exe

Rampant, с системой все в порядке, в тени была (спасибо за науку)
Вышла из тени, перегрузилась, ни программы, ни трояна. А кейген левый, включает окошко с рекламой и направляет на сайт о котором вот такие отзывы.
... оппа... а нет картинки)))) в тени осталась))) ну в общем отправляет на нехороший сайт

... оппа... а нет картинки)))) в тени осталась))) ну в общем отправляет на нехороший сайт
Странно, ссылка на нехороший сайт у меня в Опере тоже не захотела работать, не повезло мне сегодня с картинками ))))
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Black_N, вот как раз эту красную картинку я и хотела показать)

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

в тени была ай маладца! Ты и сейчас скрытая))) А автору топика с той прогой, можно высказать фи))

.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Вот по этой теме:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

71 вирус нешел VIPRE

Скрин тут:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А вот проверка Др.Вебом того же архива, найдено 3696 вирусов:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Очередная подборка, может кому пригодится для пополнения баз:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)) ::.
annonce.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup_1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup_2.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup_3.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup_4.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Видео ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) по SunBelt, надо попробовать нормальную сборку вирей, наверно скоро соберу всё (или почти всё) что здесь выкладывали.

Black_N, отдельное спасибо, за пополнение базы новых зловредов)

Всем доброго времени суток. Проверил архив с поста #2149 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Не тронуло только annonce.pdf

А как ролики смотреть? Поставил я информер, а ролики смотреть не могу. Хотя они написали, что можно будет ролики смотреть. Обманули! У меня тоже сегодня вылез-и не только этот.:kurim: Хорошо хоть денег не послал:sdaus::die2:НАВ никак не реагировал, МД-тоже.

KIS2010v9.0.0.736 сигнатурно задетектил 3 файла из 6:
1--21.11.2009 10:03:20 Удалено: Exploit.JS.Pdfka.aoy WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\annonce.pdf
2--21.11.2009 10:03:26 Удалено: Trojan.Win32.FraudPack.aaqd WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\setup_2.exe
3--21.11.2009 10:03:31 Удалено: Trojan.Win32.Scar.aphs WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\setup_3.exe
Остальные три setup.exe,setup_1.exe,setup_4.exe HIPS каспера поместил в недоверенные и запретил доступ. Довольно странный получился результат т.к. судя по данным ВТ каспер должен сигнатурно детектировать все файлы.

Сайт росийского представительства Eset взломан , новость отсюда :.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
При переходе на форум техподдержки перенаправляет на сайт Панды.

Панда ломает Есет?

К посту 2148 с архивом старых вирей. Результат 4 Аваста, найдено 3723 вируса.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Панда ломает Есет?
Скорее фанаты Панды...:kurim:
Вот, небольшой наборчик БОТов, для теста и пополнения баз:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)) ::.
bot.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
bot_1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis
bot_2.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis
bot_3.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis
P.S. На некоторых файлах анализ Comodo запнулся... если получится, добавлю чуть позже ссылки...

"Нартаныч"(NAV2010) даже распаковать как следует не дал всех прибил сигнатурно.Перешел временно на NAV2010. Глюки касперыча стали "невмоготу" .Буду ждать KIS 2010 SF3
Из поста 2149 NAV2010 определил сигнатурно 5 файлов из 6 , оставив только setup.exe.

"Нартаныч"(NAV2010) даже распаковать как следует не дал всех прибил сигнатурно.Перешел временно на NAV2010. Глюки касперыча стали "невмоготу" .Буду ждать KIS 2010 SF3
Да, данные "зловреды" определяются продуктами Symantec...
А вот с анализом Комодо устал ждать, до сих пор нет анализа*

Очередная подборка зверушек:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)) ::.
224-new.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
common.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
fuck.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (оригинальное название файла, как бы намекает о том, что он собирается сделать с моим ПК...)
install.48232.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
n-file.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
your_exe.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

при проверки архива из поста №2160 Panda IS 2010 Среагировала на 224-new.exe, fuck.exe и setup.exe, и определила, как подозрительные файлы... n-file.exe - был заблокирован после запуска... после внедрения в систему были деактивированы common.exe, install.48232.exe, а точнее их действия... а вот на действия your_exe.exe молчит...

Нортона бесполезно тестировать на обезвреживание поддельных антивирусов. Он их благополучно пропускает.Все файлы удалось запустить . Нортон никак не прореагировал .В диспетчере задач все процессы зловредов висят и жрут оперативку.Периодически появляются поддельные центры безопасности и левые предупреждения о нахождении на компе страшных вирусов. Запустил Curelt DrWeb , тоже ничего не нашел. Через 15 мин появилось первое предупреждение от нортона , что он обезвредил угрозу --tmp-шки , образуемые данными файлами , обозвав их TR/Fake.Av.Затем на рабочнм столе появились ярлыки со ссылками на порносайты, нортон 0-эмоций. Он в это время занимался блокированим тмп файлов , образуемых поддельным антивирусом , который уже что-то скачал и пытался установить.

Еще один образец, на момент анализа его не определял ни один из продуктов на ВТ:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
setup.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Блокер, и довольно неприятный)
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)) ::.
Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Нортона бесполезно тестировать на обезвреживание поддельных антивирусов. Он их благополучно пропускает.Все файлы удалось запустить . Нортон никак не прореагировал .
Ситуация действительно непонятная. И не то чтобы в Симантеке не знают о проблеме (см. [Ссылки могут видеть только зарегистрированные и активированные пользователи]), и вроде самые известные он детектит сигнатурно - а вот с новыми туговато... то ли просто запаздывают, то ли не определились, по какому ведомству с ними разбираться...
Хотя - потихоньку добавляют в базы. Вот только что открыл архив от 13.11. с нашими "друзьями" AntiAids и Security Tools - обе были срублены автоматической защитой Нортона:

На второй машине стоит KIS2010 v736 решил протестировать. Базы за 22.11.2009.13.33.00. И так по порядку: пост №2160
1--22.11.2009 15:15:04 Удалено: Trojan.Win32.Agent.dclf WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\2009-11-22\common.exe
2--22.11.2009 15:15:14 Удалено: Trojan-Dropper.Win32.Typic.aiq WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\2009-11-22\fuck.exe
3--22.11.2009 15:15:20 Удалено: Trojan-Downloader.Win32.CodecPack.kgs WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\2009-11-22\install.48232.exe
4--22.11.2009 15:15:25 Удалено: Trojan-Downloader.Win32.Genome.yid WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\2009-11-22\your_exe.exe
5--22.11.2009 15:18:00 Завершен: PDM.Trojan.generic 224-new.exe C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\2009-11-22\224-NEW.EXE Действие выбрано пользователем
6---n-file.exe помещено в слабые ограничения,но затем блокирует создаваемые тмп:
22.11.2009 15:17:57 Обнаружено: PDM.Trojan.generic 2a6f.tmp C:\DOCUMENTS AND SETTINGS\ALEXANDR\LOCAL SETTINGS\TEMP\2A6F.TMP
7--setup.exe--22.11.2009 15:20:54 Разрешено: PDM.Trojan.generic setup.exe C:\DOCUMENTS AND SETTINGS\ALEXANDR\РАБОЧИЙ СТОЛ\НОВАЯ ПАПКА\2009-11-22\SETUP.EXE . Несмотря на предупреждения ПДМ на автомате каспер этому файлу запуск разрешил и приходится вручную его блокировать, помещая в недоверенные.
Далее setup .exe из поста №2163:22.11.2009 15:11:15 : Доступ к критическим объектам системы Принудительное завершение процесса Доступ к критическим объектам системы Доступ к критическим объектам системы
И наконец файл из поста №2164:22.11.2009 15:10:12 Удалено: Trojan-Ransom.Win32.PogBlock.fe WinRAR archiver C:\Documents and Settings\alexandr\Рабочий стол\Новая папка\2009-11-22\avz00001.dta

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Trojan-Downloader.Win32.FraudLoad.fzr :kurim:

Вот небольшой ролик, по блокеру. Пока без звука, и немогу ещё разобраться, как лучше сжимать, смотрите с настройками хорошего качества, без масштабирования.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нортон срубил Сонаром зверька из поста 2163 :guns:

Из поста 2164 файл даже не скачивал, т.к. по вирустотал он Нортоном детектируется сигнатурно. Воспринимайте это как намек - не зря к постам ссылки на вирустотал добавляют :wink:

Панда ломает Есет?
Скорее фаны панды... :monstr: :crzswans:
Сейчас просто тупо перебрасывает в корень сайта

Вот по этой теме:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

71 вирус нешел VIPRE

Скрин тут:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А вот проверка Др.Вебом того же архива, найдено 3696 вирусов:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Как уже говорил, почти все вирусы из этого архива не просто старые, а очень старые :wink: Некоторых имел "счастье" получить на собственный комп в "диком виде", году если память не изменяет в 1993-4 OneHalf например, спас тогда помоему ДрВеб, он единственный мог тогда дешифровать содержимое хардов после ванхалфа ))) Большинство, если не все еще досовские, потому видимо некоторые вендоры их и не добавляют в базы. В частности - проверил на McAfee Total Protection - из 3732 файлов при распаковке 1467 были заблокированы и из оставшихся 2265 еще 23 были прибиты при сканировании. Итого получается что из этой коллекции 2242 файла были проигнорированы при сигнатурном сканировании, и соответственно их в базу не вносили ввиду неактуальности.

И к слову об упомянутом выше продукте "McAfee Total Protection" - незачетный комбайн - интерфейс русский присутствует, но в большинстве его конкурентов легче разобраться что к чему даже на абсолютно чуждом мне немецком языке. Что больше всего бесит - весь интерфейс перелопатить нужно чтобы найти где отключается резидентный мониторинг, короче - втопку! Вместо него поставил на тестирование тот самый VIPRE :drinks: Погоняем его на реальных зловредах, а не на "консервах"!

AlexM, спасибо что таким косвенным образом заинтересовал в санбелте ))) :drinks:

При проверке этого архива Avira Premium Security Suite 9 удалено 3710 файлов из 3732

При проверке этого архива Avira Premium Security Suite 9 удалено 3710 файлов из 3732

Ну собственно Авира и другие особо не мелочатся, включают все, в т.ч. и очень старые экземпляры, или скорее они были включены в базы еще тогда, когда данные вирусы были еще актуальны - просто раз уж они уже стоят в базах, кто же их будет удалять оттуда.
Разные продукты имеют разную "историю", кто-то на рынке уже не первый десяток лет, как тот же ДрВэб, продукты симентека и многие другие, а кто-то год, два, три как вышли на рынок, и пользуются чужими наработками по части баз, или как вариант унаследовали наработки других продуктов... Думаю именно этим и объясняется почему у одних есть в базах дос-вирусы, а у других любо совсем нет, либо единичные экземпляры...

Проверил на сигнатурный детект Вепря санбелта с обновленными базами на зловредах с поста 1914 по 2164:

1) 20091110_1914 +
2) 20091111_1936 +
3) 20091111_1959 +
4) 20091112_1966 +

5) 20091112_1968 +/-(4/6)
Проигнорировал:
exe.exe
rss_plugin.exe

6) 20091113_1977 +
7) 20091113_2008 +
8) 20091114_2016 +

9) 20091115_2043 +/-(2/4) [_bot.exe - если какие-то следы вирусного кода и содержит, то по крайней мере файл битый и исполняться не будет - исключен из сканирования]
Проигнорировал:
apps1.exe
ebplugin.exe

10) 20091115_2050 +/-(2/3)
Проигнорировал:
pack.exe

11) 20091116_2070 +
12) 20091117_2094 +
13) 20091117_2103 +
14) 20091117_21071 +
15) 20091117_21072 +
16) 20091118_2122 +
17) 20091118_2126 +

18) 20091120_2149 +/-(5/6)
Проигнорировал:
annonce.pdf

19) 20091121_2157 +/-(2/4)
Проигнорировал:
bot_1.exe
bot_2.exe

20) 20091122_2160 +/-(5/7)
Проигнорировал:
common.exe
install.48232.exe

21) 20091122_2163 -(0/1)
Проигнорировал:
setup.exe

22) 20091122_2164 -(0/2)
Проигнорировал:
avz00001.dta
avz00001.ini

Резюмируем:
Выпали из детекта Вепря 12 зловредных файлов из 62х зарелизеных в интервале дат 12-22 ноября(посути по сегодняшний день)
По остатком прошелся каспером(кав6) - были добиты все кроме avz00001.ini из 20091122_2164, но в нем собственно и бить нечего.

Что имеем, достаточно высокий сигнатурный детект по "свежим" зловредам, но есть и упущения - первые из пропущенных были от 12 ноября, т.е. уже почти 2 недели как он попал к нам в лапы )))
И в базы их внесли на сегодня большинство вендоров, по Virustotal 32/41 и 33/41 соответственно exe.exe и rss_plugin.exe
Прогоняем exe.exe через MD:

1. Прописывает на автозапуск уже известный sdra64.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
2. Создает в систем32 этот самый sdra64.exe - точная копия самого exe.exe После этого куда-то у меня выпал один скрин - sdra64.exe был модифицирован и его размер с 73'728 стал 558'080 байт - на сегодня по VT определяется с вариациями как разновидность Zbot трояна с соотношением 23/41
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
3. Установка sdra64.exe атрибута скрытый
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
4. Доступ к памяти процесса winlogon.exe (данный алерт выпал 23 или 24 раза подряд - сбился со счета немного =) )
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
5. Создание винлогоном потока в процессе svchost.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
6. Доступ к памяти процесса smss.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
7. Сетевая активность на штатовский айпи
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
8. Опять доступ к памяти процесса smss.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
9. Снова сетевая активность на тот же штатовский айпи
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
10. Снова доступ к памяти процесса smss.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
11. Дублирование дескриптора из другого процесса lsass в services
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
12. доступ к памяти процесса lsass.exe
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
13. Сетевая активность туда же
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
14. Дальше все примерно повторяется, после сотни алертов ушел из тени...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
15.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
16.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
17.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
18.
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Собственно, не самые безобидные зверьки были пропущены сигнатурами, так что при явных плюсах и минусы жирные имеются...
Налицо нехватка работоспособной хипсы... Одним сигнатурным детектом сегодня сыт не будешь... (

Вот, предлагаю вашему вниманию Windows Enterprise Defender:
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.
И рейтинг лучших продуктов их глазами )))
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

А как его скачать, куда ни тыкаю, везде только картинки)

А как его скачать, куда ни тыкаю, везде только картинки)
Похоже, уже скачать не получится, если повезет отыскать его экземплярчик выложу.

Panda IS 2010 на файл из поста 2163 ругается и определяет как "Подозрительный файл" и тем самым автоматически переносит в карантин и отправляет в лабу :)

ThreatFire от PC Tools: через 3 минуты после запуска файла из поста 2163 ThreatFire поведал нам великую тайну... он нашел файл, название которого отображалось чуть ли не в иероглифах, который пытался внедрить скрытый, от диспетчера задач, процесс... вердикт его: действие похоже на руткит... я приказал убить его и закапать в карантине... в течение минуты он его убивал... и убил и все следы замел :) (все действия выполнялись из папки temp, в результате было убито 5 файлов)

Блин,не устали ещё рейтинги переписывать они?Творческий потенциал не спит,а прогрессирует.

Windows Enterprise Defender – вредоносное программное обеспечение, относящееся к той же семье, что и Virus Doctor После установки Windows Enterprise Defender будет запускаться автоматически вместе с Windows. Windows Enterprise Defender создаст фальшивые инфицированные файлы:

%UserProfile%\Recent\cb.sys
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\eb.sys
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\pal.sys
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\ppal.exe
%UserProfile%\Recent\tempdoc.tmp


После сканирования компьютера, Windows Enterprise Defender отнесет эти файлы в разряд вредоносных и выдаст сообщение о необходимости приобретения лицензии для того, чтобы удалить их. На самом деле эти файлы безвредны и не могут нанести вреда вашему компьютеру. Windows Enterprise Defender создает их для того, чтобы физически доказать существование вирусов на вашем компьютере и тем самым заставить поверить в то, что компьютер заражен. Как вы видите, у вас нет причин приобретать лицензию этой программы.

Во время работы Windows Enterprise Defender генерирует фальшивые системные сообщения, которые несут информацию о том, что компьютер атакован или существует вредоносное ПО на компьютере. Это другая тактика, которую применяет Windows Enterprise Defender для того, чтобы убедить пользователей в необходимости покупки лицензии. Windows Enterprise Defender использует вышеперечисленные приемы для того, чтобы убедить вас в том, что компьютер заражен и в необходимости покупки ПО, которое бы защитило компьютер - Windows Enterprise Defender. Если вы уже приобрели лицензию, свяжитесь с вашим банком и аннулируйте платеж. Если вы обнаружили Windows Enterprise Defender на компьютере, воспользуйтесь бесплатным мануалом по удалению.

vuk,
Тут подробнее:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вот, предлагаю вашему вниманию Windows Enterprise Defender:
*** скрытый текст ***
И рейтинг лучших продуктов их глазами )))
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

К посту #2094
Из отсюда ))) [Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Не находите сходства? :crzswans:

Dispater,как раз по теме - сравнительный анализ:girl_haha:

Выходит на сегодня два лидера в АВ-индустрии - это:
Windows Enterprise Defender и VIRUS PROTECTOR*:yahoo:

Выходит на сегодня два лидера в АВ-индустрии - это: Windows Enterprise Defender и VIRUS PROTECTOR*
А мужики-то (из ЛК) не знают! И все на Нортон косятся...
:girl_haha::girl_haha::girl_haha:

Новый набор для тестирования и добавления в базы:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
30855_7.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
6c412bd41e67b8d773d5651ed76c984e.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
93a4b4ee0ca79c5060ae88ef7b2faf70.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
cfosuw.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

KIS2010 прибил все файлы сигнатурно:nyam:

Принесли мне на работу сегодня на флешке файл с названием winnamp_cache_0001.xml. Ни авира, ни курица(всё 5-6 дневной давности) не увидели.
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 20 сообщение(ий)) ::.
Virustotal молчит полностью [URL="[Ссылки могут видеть только зарегистрированные и активированные пользователи]"][Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Прошу отведать, коллеги
Послал в аВИРУ-говорят, что всё чисто, но мне чтото не верится.
И паучку тоже закинул в сетку:swans:

У меня опера пишет, что документ не найден:confused:
Нашел, все нормально.

Virustotal молчит полностью [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Прошу отведать, коллеги
В принципе они правы что не увидели, файл действительно безобидный, если имел какое-то отношение к вирусам то сам он им не является!

А вообще, как-то он связан с плейлистами для плееров, как точно не понял - некогда сейчас гуглить.

Alexander196431, из ссылок нужно просто лишний хттп убрать

Обзор популярных антивирусов + обучающие видеоролики по версии 3DNews, ну про обучающие ролики они погорячились, а в остальном не плохо, хотя и отслеживается пристрастие) представленны: Антивирус Касперского", Eset NOD32, Norton AntiVirus, Dr.Web, Avast! AntiVirus, Avira AntiVir, AVG Anti-Virus и Panda Antivirus. смотрим. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

PC World опубликовал результаты новейшего теста антивирусных пакетов от немецкой лаборатории AV test (руководитель - Андреас Маркс): ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Кроме сигнатурного детекта, изучались возможности эвристика определять новые угрозы, способности удаления зловредов, выявление и удаление руткитов и т.д.

Таблица результатов:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Что-то Авира в этот раз начинает сдавать позиции (по детекту). Даже по эвристике Авира уже не первая - уступает ГДате...

Хорошие победители. Зав Нортона рад, так как им пользуюсь

Нортон в этом тесте также отлично справился с руткитами и удалением зловредов.
Касперский очень неплох. Было бы у него поменьше серьезных глюков...

-----------
Ну, а самый быстрый сканер - у Авиры (и у Аваста?).

Макафи в детекте показал отличный результат, в остальном - разочаровал...

Маленький "наборчик", многие уже определяются, но может кому-то пригодится для отправки с целью пополнения баз своего любимца:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
hamza.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ldr.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
promo.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
([Ссылки могут видеть только зарегистрированные и активированные пользователи])


([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Еще один для пополнения баз:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
file.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])- Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

P.S.*Из предыдущего поста SEP не детектил один файл - ldr.exe (он был отослан в Symantec Security Response, интересно, что в отчете машинный анализ ничего не обнаружил и файл был оставлен для человеческого анализа).
После очередного обновления он его определил, как Infostealer.Banker.C

Вот если б у Symantec работал вирлаб как у ЛК - цены бы ему не было

Вот если б у Symantec работал вирлаб как у ЛК - цены бы ему не было
Или как у Авиры...

---------------
В ЛК отправляют образец, а через полчаса он уже детектируется. Просто замечательно. Но... Сколько раз было, когда после обновления баз Каспера слетала Винда. Т.е. получается, что в базы добавляют, но качество не проверяют - а вдруг данная сигнатура среагирует на системные файлы?

---------------
У Авиры, перед обновлением, все файлы сигнатур VDF проходят тест/испытание на качество (на платформах Windows и Linux), прежде чем попасть на компьютер пользователя. Многие собранные, уже готовые, укомплектованные базы так и не были отправлены на компьютер пользователя - не прошли так называемый ОТК.
Смотрим ([Ссылки могут видеть только зарегистрированные и активированные пользователи]). (Смотрим ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) на русском).

Как видим, каждая VDF version перед получением разрешения попасть в качестве обновления на компьютер пользователя проходит два теста:
1) ITW-Test - сигнатуры проверяются на разных платформах, операционках с разными языками и т.п. на функциональность и отсутствие появления сбоев работы системы.
2) FP-Test - сигнатуры проверяются на отсутствие ложных срабатываний на критически важные файлы различных операционных систем.

Хорошо видно, что некоторые сборки обновлений не прошли контроль качества и не были отправлены на компьютеры пользователей.

---------------
Вывод: Скорость (отослали образец в лабораторию, а через полчаса антивирус уже детектирует) не всегда есть повод для гордости. Уж лучше обнову на детектирование образца получить через три часа, но быть уверенным, что после очередного обновления баз не слетит винда.

Еще один для пополнения баз:
вирлаб ESET ответил 27.11.2009 16:20:41 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\file\file.exe Win32/AutoRun.FakeAlert.DN червь очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

На растерзание. Пришел по спаму в аси
pohmelie.net/image/photo20.jpg
ВТ ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

NIS после проверки в облаке прибил файл, я его даже докачать не успел
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

senyak, при открытии Каспер сразу прибил. Не успел скрин даже сделать. Второй раз он у меня не открывает адрес.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Да, файл дважды не отдается. Хорошо, что NIS его в карантин запихнул

Кстати, по вчерашнему file.exe - уже определяется SEP, как W32.SillyFDC.
Оперативно, это радует...

А никто не сталкивался с subj?
На сменных носителях создает autorun, прописывает запуск в регистре и в системе стартует процессом из windows\system32.
DrWeb CureIt, McAfee VirusScan Enterprise v8.7i with Patch 2, a-squared4.5, Iobit 360, Avira Free, NOD32 4 ver. с обновленными базами не видят ничего.
Отправил в a-squared.

yuri-d, может выложите здесь?

Подобные файлы, упаковываем в архивы! Сейчас перезалью. .:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.

Что ВТ не работает) вот результаты анализатора Комодо ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Ни SEP ни ClamWin ничего подозрительного в spcsys.exe не обнаружили


Анализ Jotti's malware scan ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Результаты с ВС ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

Файл наверное не является вирусом, но лучше отослать в вирлабы

Серег, уже отослали. Ждем ответа.

Вот, экземплярчик для пополнения баз:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
75.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Серег, я в стороне. В дальнейшем, если Каспер по вирустотал будет определять, Каспер будет в стороне. Смысла нет тест проводить.

Вот как реагировал хипс Санбелта на spcsys, пока ничего не понятно, небыло фаера, что бы зрегестрировать сетевую активность. Смотрим. ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) А вот как среагировал ZA, сразу после установки:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

файлик пытается выйти сервером, в инет, очень подозрительно.

Вот как реагировал хипс Санбелта на spcsys
Вот это да!!! Столько инфы я еще никогда не видел!

Подобные файлы, упаковываем в архивы! Сейчас перезалью. *** скрытый текст ***
Авг антивирус 9 никак не отреагировал, ПС тулс фаервол выдавал такие алерты, что не заблокировать приложения было нельзя...алерт на контроль других приложений, алерт на выход в интернет, алерт на отправку чего то в интернет... все делал под тенью...мое мнение это троян, а фаер у ПС тулс то, что надо...
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
вот один скрин далее не сохранил

Ребята! Лучше будет конечно, когда Вы будете выкладывать скрины. Поверьте, это лучший способ подтверждения.

---------- Добавлено в 03:15 ---------- Предыдущее сообщение было написано в 03:08 ----------

Ответ:
Здравствуйте,


spcsys.exe - Worm.MSIL.Autorun.ae

Детектирование файла будет добавлено в следующее обновление.

Еще парочка:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
fole1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
hottiestar_installer.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysi ([Ссылки могут видеть только зарегистрированные и активированные пользователи])s

senyak, при открытии Каспер сразу прибил. Не успел скрин даже сделать. Второй раз он у меня не открывает адрес
У мну стоит на рабочей КАВ 6,0 для РабСтанций со свежими базами, скачался без вопросов - видимо у тебя проактивкой прибил!
Да, файл дважды не отдается. Хорошо, что NIS его в карантин запихнул
У меня он даунлоадером скачался как photo20.scr, а не жапег, а содержимое начинается с "MZ..." - явно не графический файл... :kurim:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)) ::.
Позже прогоню через МД - пока работы навалом, пришлось даже выйти в субботу работать ((

Еще парочка:
*** скрытый текст ***
fole1.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
hottiestar_installer.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysi ([Ссылки могут видеть только зарегистрированные и активированные пользователи])s
На данных зловредов АВГ 9 (антивирус) опять, никак не отреагировал, и даже если зверь в базах АВГ он позволяет ему (зверю) распаковаться и детектит лиш при запуске:sdaus:, что не очень хорошо...
МВАМ сканер данных зверей не детектит...
А скуаред детектит один из зверей
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ну и доблестный бесплатный фаервол ПС тулс опять на высоте с такими алертами, даже домохозяйка (продвинутая) должна зверя заблокировать:girl_sigh:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ну наконец то я увидел работу хипс (жёлтые алерты) от PC Tools!!! Какая версия фаера?

Ну наконец то я увидел работу хипс (жёлтые алерты) от PC Tools!!! Какая версия фаера?

Да как раз таки ничего удивительного, у этого фаера в порядке вещей выдавать окна с запросами =).

Ну если бы я не ставил этот фаер, то не писал бы, раньше действие хипсы, никак себя не проявляло, а алерты на сетевую активность и локальную, две разные вещи.

Сообщение от Black_N
Еще парочка:
fole1.exe - Virustotal - Comodo Instant Malware Analysis
hottiestar_installer.exe - Virustotal - Comodo Instant Malware Analysis


1. Гдата пропустил но сработал ThreatFire, после того как нажал 3 раза разрешить где то эта гадость прописалась =)

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

2. Гдата прибил

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Всё сделал, что бы поселить в систему порно-развленчения, ничего не вышло, как я не стрался)) Vipre непозволил) всё таки не плох этот антивирь. Смотрим. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ну наконец то я увидел работу хипс (жёлтые алерты) от PC Tools!!! Какая версия фаера?
Версия 6.0.0.84.... Я и не знал, что в PC Tools firewall интегрирован хипс...:yahoo:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Смотрим
.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

И я подобрал наборчик :wink::
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
cgi_plugin.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
feedback.php -Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - затем изменил расширение на .exe и прогнал на Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
file.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
flash-HQ-plugin.40013.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - очередной "флеш-плагин" для любителей клубнички*:kurim:
load.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
s2e481261109.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysi ([Ссылки могут видеть только зарегистрированные и активированные пользователи])s
setup16_v24.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ycz.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])*

При включённом Гварде Авиры 10 hottiestar_installer.exe просто не запускается. Выдаёт ошибку!
При отключении Гварда - запускается, появляется окно установки. Фаер Авиры реагирует на попытку доступа к сети. Блокирую. После этого окно установщика можно спокойно закрыть.
Неужели проактивка работает?

ak_
А ты попробуй фаер отключи,интересно,как без него справится проактивка:wink:

ak_
А ты попробуй фаер отключи,интересно,как без него справится проактивка:wink:

Точно так-же.
Похоже, что Проактивный модуль работает совместно с Гвардом. Это позволяет надеяться, что модуль ProActive после релиза будет не только в версии с файрволлом.

Смотрим
EAV среагировал при распаковке на оба файла

29.11.2009 18:37:53 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\111\111\__tmpsetupAProtectionTest.exe вероятно модифицированный Win32/Injector.V троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

29.11.2009 18:37:53 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\111\111\adobeupdater.exe вероятно модифицированный Win32/Injector.V троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

Black_N,ответ вирлаба ESET на три предпоследних архива. На файл photo20
29.11.2009 18:41:26 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\photo20\photo20.scr Win32/Qhost.NQI троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

на файл 75.exe
29.11.2009 18:43:33 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\75\75.exe Win32/Spy.Zbot.VZ троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

на файл fole1.exe
29.11.2009 18:44:44 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_27\fole1.exe Win32/IRCBot.NBH троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

а вот файл hottiestar_installer.exe - данный файл не является вирусом и соответственно не опасен.

*
а вот файл hottiestar_installer.exe - данный файл не является вирусом и соответственно не опасен.
Да, но "приятного" от него тоже мало)))
Очередной набор "зловредов"
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
1258736060.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
awawu.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
dog41.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])- Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
file_.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
file.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
get.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
m3.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
upx2.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
valid.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
SpP.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
sUt.pdf - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Смотрим
*** скрытый текст ***
Нортон оба файла прибил сигнатурно, ни одному не дал распаковаться.

AV-Comparatives представили результаты очередного тестирования - Proactive/Retrospective Test
В тестировании принимали участие следующие продукты:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Результат тестирования
Подробный
*
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Отображение в графическом виде
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Суммарный результат
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Ложные срабатывания
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Оценка результатов
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Скачать полный отчет о проведенном тестировании можно тут>>> ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Да, Авира фолсит, надо бы не количеством гнаться, а за качеством)

ответ вирлаба ESET на не определяемые файлы с набора 2009_11_28 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

30.11.2009 22:40:10 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\ycz.pdf PDF/Exploit.Pidief.OTZ троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:10 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\setup16_v24.exe Win32/Agent.QKI троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:10 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\s2e481261109.exe Win32/Agent.QKD троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:09 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\load.exe Win32/Oficla.BT троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:09 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\flash-HQ-plugin.40013.exe модифицированный Win32/Kryptik.BFZ троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:09 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\file.exe Win32/TrojanDownloader.Agent.PPD троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:08 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\feedback.php модифицированный Win32/Kryptik.BGL троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.
30.11.2009 22:40:08 Защита в режиме реального времени файл C:\Documents and Settings\Сергей\Рабочий стол\2009_11_28\cgi_plugin.exe модифицированный Win32/Kryptik.ASU троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\7-Zip\7zG.exe.

Фолсы:

Bitdefender had 4 false alarms
eScan had 4 false alarms.
F-Secure with default settings had 4 false alarms
Microsoft OneCare had 5 false alarms.
Avast had 5 false alarms.
AVG had 8 false alarms.
Kaspersky had 8 false alarms.
G DATA had 9 false alarms.
ESET NOD32 had 12 false alarms.
Symantec Norton Anti-Virus had 13 false alarms.
AVIRA had 21 false alarms.
Sophos had 26 false alarms with default settings.
McAfee with in-the-cloud had 41 false alarms. McAfee without in-the-cloud had 26 false alarms.
TrustPort had 42 false alarms.
Norman had 42 false alarms.
Kingsoft had 47 false alarms.

Скачать отчет AV-comparatives по фолсам (они теперь стали подробный отчет по ним отдельным файлом давать) можно здесь: [Ссылки могут видеть только зарегистрированные и активированные пользователи]

С учетом фолсов, порадовала F-Secure, Avast!, Bitdefender... А учитывая скорый выход Avast!5 хочется верить что будет достойная конкуренция многим продуктам..

На на этом "развлекательном" ресурсе, для просмотра видео, предлагают обновить флэш-плеер, как то подозрительно) проверяем "обновление"
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::. VT. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Выкладываю очередную подборку:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
P.S. Извините, не успел с анализом...:blush2:

Ну наконец то я увидел работу хипс (жёлтые алерты) от PC Tools!!! Какая версия фаера?Я тоже уже с неделю у себя наблюдаю прямо с радостью:yahoo:На пару с МД горланят:kurim:

На на этом "развлекательном" ресурсе, для просмотра видео, предлагают обновить флэш-плеер, как то подозрительно) проверяем "обновление"
*** скрытый текст *** VT. ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи]


[Ссылки могут видеть только зарегистрированные и активированные пользователи]

KIS2010v736 оставил без сигнатурного детекта только три файла из поста №2243 Black_N :setup,news,sdfg --все отальные задетектил по базам.
При запуске setup винда пишет , что "отказано в доступе". Посмотрел отчет киса , данный файл автоматически HIPS -ом занесен в недоверенные:01.12.2009 7:34:43 : Trojan-Downloader.NSIS.FraudLoad.aq SETUP.EXE Помещено в группу Недоверенные Trojan-Downloader.NSIS.FraudLoad.aq
Файл news --не открывается вообще.
Архив sdfg--поврежден.
На файл из поста №2242 от Rampant случилось нечто непонятное он обозвал его :01.12.2009 7:59:36 Запрещено: Password-protected-EXE Opera Internet Browser Mzg1NzY1NTo6MTI1OTY0NjUxNTo6ODAuOTQuMTYwLjIwNw==/Update_Flash-Player-10_build.9101.zip//Update_Flash-Player-10_build.9101.exe

Закрой вторую хиду слешем "/" перед ХИД

На файл из поста №2242 от Rampant случилось нечто непонятное он обозвал его :01.12.2009 7:59:36 Запрещено: Password-protected-EXE Opera Internet Browser
Такую же ерунду уже не раз замечал - каспер не дает скачать запароленные архивы, но помоему только зиперовские. А вообще это бред - нормальная практика паролить свои архивы при передаче по открытым сетям - что теперь отключать антивирус чтобы он дал скачать такой архив?

Очень занятный ресурс, открываем на виртуалках, анализируем:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи] Warning

In order not to compromise your security, this page will not be accessed

A virus or unwanted program was found in the HTTP data of the requested page.
Requested URL recognition pattern of the HTML/Agent.fka.65 HTML script virus
Generated by AntiVir WebGuard 10.0.9.0, AVE 8.2.1.88, VDF 7.10.1.149

Очень занятный ресурс, открываем на виртуалках, анализируем:
*** скрытый текст ***
Rampant, спасибо за отличную развлекуху :Laie_99:

Прогулялся туда Оперой и Мозилой. При этом есть некоторые различия.

---------------
---------------
Часть I

Итак, полез я на "занятный ресурс" Оперой. Как видно - справа внизу Нортон заблокировал трояна-загрузчика

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Обратите внимание троян "opr054uu" - Нортон после блокировки отправил его в облако. Все записи выше (т.е. после блокировки) - отправка статистики, отправка образца...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Смотрим "Дополнительные сведения"

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


--------------
--------------
Часть II

А теперь прогуляемся Мозилой, уж очень интересно посмотреть плагины Нортона, которые позволяют определить опасность сайта: Если значок зеленый - сайт прошел проверку Симантеком (не пользовательским антивирусом), если значок серый - сайт не проверялся. В нашем случае Симантеком сайт проверен - угрозы не представляет

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Кстати, мне показалось, что Файрфокс вздрогнул (дернулся) открывая данный сайт. Опера открыла без проблем, а Файрфокс на долю секунды поменял размер окна и вернулся в прежнее состояние.

Предлагается загрузить файл (в Опере такого не выдало, там тоже было окошко, а при нажатии "ОК" это-же снова окошко но ничего не грузилось). Кроме того Оперу закрыл просто - остановил сценарий и закрыл Оперу. Файрфокс пришлось вырубить через диспетчер задач.

Итак, предлагается загрузить файл

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Файл мы конечно-же загружаем. Вот собственно, кому надо
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)) ::.


Смотрим журнал, что-же происходило после того как пошли на страницу Мозилой (и забегая немного вперед, запустили загруженный файл). Тоже видно, что Нортон работал с облаком

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Итак, файл загрузили, и естественно его запускаем. Винда выдала предупреждение, что файл не проверен, тыкаем разрешение на установку. И...

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Что за дела? Нам нужно установить этот экзешник, поэтому выбираем третий пункт - "Разрешить выполнение этой программы". Прошло пару секунд

[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


----------
Разное поведение в разных браузерах... Получается, Опера действительно более безопасный браузер?

Razboynik, вот результат с VS.
VirSCAN.org Scanned Report :
Scanned time : 2009/12/01 20:46:46 (MSK)
Scanner results: 5% Сканер(2/37) обнаружил зловред!
File Name : install0.rar
File Size : 27204 byte
File Type : RAR archive data, v1d, os
MD5 : 3fb6ea7241ebd0ace192aabbad097453
SHA1 : 31a77e5bd4deb55bf85e7c8efc3c04e6a89cd416
Online report : [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.8 20091202020146 2009-12-02 4.06 -
AhnLab V3 2009.12.01.01 2009.12.01 2009-12-01 0.95 -
AntiVir 8.2.1.88 7.10.1.151 2009-12-01 0.53 -
Antiy 2.0.18 20091201.3332096 2009-12-01 0.12 -
Arcavir 2009 200912011251 2009-12-01 0.06 -
Authentium 5.1.1 200912010319 2009-12-01 1.27 -
AVAST! 4.7.4 091201-0 2009-12-01 0.01 -
AVG 8.5.288 270.14.88/2538 2009-12-01 0.64 -
BitDefender 7.81008.4669987 7.29244 2009-12-02 3.99 -
CA (VET) 35.1.0 7149 2009-11-30 6.08 -
ClamAV 0.95.2 10100 2009-12-01 0.01 -
Comodo 3.12 3103 2009-12-01 0.71 Heur.Packed.Unknown
CP Secure 1.3.0.5 2009.12.02 2009-12-02 0.05 -
Dr.Web 4.44.0.9170 2009.12.01 2009-12-01 7.29 -
F-Prot 4.4.4.56 20091130 2009-11-30 1.21 -
F-Secure 7.02.73807 2009.12.01.08 2009-12-01 5.34 -
Fortinet 11.114- 11.114 2009-12-01 0.18 -
GData 19.9115/19.599 20091201 2009-12-01 5.91 -
ViRobot 20091201 2009.12.01 2009-12-01 0.43 -
Ikarus T3.1.01.74 2009.12.01.74631 2009-12-01 4.19 -
JiangMin 11.0.800 2009.12.01 2009-12-01 5.21 -
Kaspersky 5.5.10 2009.12.01 2009-12-01 0.14 -
KingSoft 2009.2.5.15 2009.12.1.19 2009-12-01 0.61 -
McAfee 5.3.00 5819 2009-12-01 3.36 -
Microsoft 1.5302 2009.12.01 2009-12-01 6.19 Trojan:Win32/InternetAntivirus
Norman 6.01.09 6.01.00 2009-12-01 2.03 -
Panda 9.05.01 2009.11.30 2009-11-30 1.81 -
Trend Micro 9.000-1003 6.664.02 2009-12-01 0.00 -
Quick Heal 10.00 2009.12.01 2009-12-01 1.29 -
Rising 20.0 22.24.01.09 2009-12-01 1.01 -
Sophos 3.02.0 4.48 2009-12-02 2.58 -
Sunbelt 3.9.2381.2 5537 2009-11-30 1.91 -
Symantec 1.3.0.24 20091201.006 2009-12-01 0.05 -
nProtect 20091127.01 6396533 2009-11-27 4.04 -
The Hacker 6.5.0.2 v00082 2009-11-30 0.85 -
VBA32 3.12.12.0 20091130.1546 2009-11-30 2.19 -
VirusBuster 4.5.11.10 10.114.6/2021099 2009-12-01 2.41 -

Валер, вот мой ответ:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Итак:

Авира заблокировала ссылку (пост 2249) с вердиктом HTML/Agent.fka.65 HTML script virus
Нортон на странице блокировал скрипт-троян, а скачанный фал прибил Сонаром
Касперский скачанный файл прибил эвристиком. А при заходе на страницу как себя ведет Каспер? (На страницу заходить в виртуалке или песочнице).


---------- Добавлено в 20:53 ---------- Предыдущее сообщение было написано в 20:44 ----------

Еще интересно (второй скрин в посте 2250): троян "opr054uu" - это файл кеша Оперы. Нортон этот файл задетектил сигнатурно и отправил в облако статистику об обнаружении. Далее, отправляет в облако образец другого файла "opr054w0", тоже из кеша Оперы.

Предпоследний скрин: instal0.exe - Источник: Недоступно
Хотя скачивание файла было в Мозиле, а Нортон при скачивании в Мозиле запоминает источник. А здесь...

По идее Симантек получил инфу об этом сайте (не зря отравлялась статистика и прочие данные в облако). И за это время значок уже должен был стать красным. Но значок до сих пор зеленый (смотрим ([Ссылки могут видеть только зарегистрированные и активированные пользователи])).

Серег, Каспер вообще не пустил. Работал на виртуалке.

Валер, вот мой ответ
На что? Сам доунлоудер, который скачивает фэйк, что выложил Разбойник, каспер не детектит, а эксплойт и джидата мочит, вот очередное видео, по запуску этого фэйка, смотрим ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

На что? Сам фэйк, который выложил Разбойник, каспер не детектит, а эксплойт и джидата мочит
Ага, верно! Сразу не рассмотрел - эвристик Каспера возмутился на саму страницу и не дал ее открыть. Именно эвристик.

Сам фэйковый антивирь, скачивается в папку Common Files, оттуда устанавливается "антивирь" который и прибил VIPRE, но самое интересное осталось за кадром) в папке фэйка остались файлы, и в том числе унисталер, запустив который, фэйк себя удалил!!! запросил перезагрузку, и после я не нашёл даже папки от него, а вот исходники остались.

---------- Добавлено в 01:20 ---------- Предыдущее сообщение было написано в 01:12 ----------

Может у кого есть виртуалка без защиты, запустите его под тенью, как он себя ведёт, я для теста подготовил, сносить неохота)

Очень занятный ресурс, открываем на виртуалках, анализируем:
Интересно, что онлайн-сканер Dr.Web ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) ссылку на занятный ресурс проверяет достаточно долго, а затем пишет - Вирусов не обнаружено!

Этот ресурс [Ссылки могут видеть только зарегистрированные и активированные пользователи] при проверке сайта тоже пишет - Вирусов не обнаружено!

И этот [Ссылки могут видеть только зарегистрированные и активированные пользователи] тоже ничего не видит.

Вот, нашел весьма интересный экземплярчик - TrojanDownloader
Результат проверки VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 50 сообщение(ий)) ::.
--------
Итак, запускаем файлик под названием file.exe и Нортон срабатывает два раза:

Первый раз

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


И второй раз

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Как видим на сам файл file.exe Нортон не матерился, а только на то, что этот файл пытался установить/запустить. Угрозы были не удалены, а заблокированы поэтому в карантин ничего не попало. В папке windows\temp тоже ничего нет. Троян пытался именно туда загрузить эти файлы но Нортон заблокировал. (Нортон интересно блокирует - например, при распаковке архива Нортон просто не дает разархивировать. И в данной ситуации Нортон тоже поступил примерно также).

Сам файл виновник, TrojanDownloader - file.exe так и остался нетронутым. Он спокойно и ныне продолжает лежать в папке

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


А что-же зафиксировал журнал событий? Оказывается, когда было два обнаружения была отправлена статистика в Симантек (смотрим последовательность снизу вверх). Но самое интересное, что какой-то файл MCUI32.exe пытается получить доступ к интернету (вверху скрина). Нет, в интернет его Нортон не пустил, но и ничего с ним не сделал. Никакой инфы в журнале больше по этому файлу нет. В диспетчере задач тоже ничего лишнего. Что это было?

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


А до этого, еще раньше, еще до двух алертов, когда я только запустил file.exe

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


И Нортон даже не проинформировал. Конечно, в режиме по умолчанию Нортон принимает решения на автомате. Он просто создал разрешающее правило выхода в сеть для этого файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


Но загадка в другом. В справке написано, что в автоматическом режиме Нортон выпустит в интернет только ту программу, которую Симантек считает безопасной. Т.е. если программа прошла по белому списку Симантека (или я не так понял?). Остальные программы или должны предупреждать, или блокироваться. А в примечании не рекомендуется отключать автоматику, т.к. можно принять неверное решение из-за чего можно заразить комп

[Ссылки могут видеть только зарегистрированные и активированные пользователи]


-------------
Уж сколько раз говорилось, что в автоматическом режиме Нортон в сеть выпускает все. Оказывается не все - файл MCUI32.exe в сеть выйти не смог (правда не знаю куда он делся после этого, алертов никаких не было). Но выпускает в сеть на автомате Нортон многое. И справка вводит в заблуждение, особенно начинающего.

-------------
PS. Отправил файл Авире, Касперу и в Симантек.

PS. Отправил файл Авире, Касперу и в Симантек.
Получил ответ Авиры:
The file 'file.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Waledac.C.90. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.06.129.

От Каспера пока почты нет. Нортон тоже пока не детектирует.

-------------
Новый результат анализа VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Как видим Авира, Каспер и Нортон (а так-же многие другие) уже определяют. Быстро вирлабы работают.

Только странно, у меня Нортон этот файл (этот самый, который сейчас отправил проверить на VT и выложил ссылку) не детектирует. Даже когда принудительно его просканил, уже после VT - Нортон пишет, типа угроз не обнаружено. И файл продолжает лежать в папке :scratch_head:

Вот интересный ресурс :.:: Скрытый текст (вы должны зарегистрироваться или войти под своим логином) ::.

Небольшой наборчик для тестов и пополнения баз:
.:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 30 сообщение(ий)) ::.
1259705165.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Google_WebToolKit_DW9680SK.scr - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
ldr.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
sample.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
sss4.exe - Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) - Comodo Instant Malware Analysis ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Google_WebToolKit_DW9680SK.scrЭтого фортинет прошляпил.
ldr.exe - sample.exe - этих нортон прибил при распаковке(почему не понятно, вроде в виртуалке пускал:sdaus:).
1259705165.exeЭтот похоже запустился с переименованием.
sss4.exeэтого заблокирован:yahoo:.Скрины завтра приложу.Может не во всё въехал:kurim:
Правда после перезагрузки Google_WebToolKit_DW9680SK.scк исчез