-
Надо ли добавлять в базу "пустышки"?
Пример:
File: unppc.exe
Status: INFECTED/MALWARE
Packers detected: UPX
AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender BehavesLike:Trojan.StartPage (probable variant) (0.44 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web Trojan.StartPage.362 (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus No viruses found (0.67 seconds taken)
mks_vir No viruses found (0.29 seconds taken)
NOD32 No viruses found (0.50 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]
* File length: 26624 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\system\ppc.rem.
[ Changes to registry ]
* Deletes value "Guard" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\po licies\Explorer\Run".
* Modifies value "Start Page"="about:blank" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Modifies value "Start Page"="about:blank" in key "HKCU\Software\Microsoft\Internet Explorer\Main".
[ Process/window information ]
* Attemps to open regsvr32.exe /s /u C:\WINDOWS\system\ppc.dll. (0.60 seconds taken)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Надо ли добавлять в базу "пустышки"?
Не понял что такое "пустышка".
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
Geser
Не понял что такое "пустышка".
Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...
Я специально привел информацию из Sandbox:
Она прописывает about:blank в стартовую страницу.
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...
Я специально привел информацию из Sandbox:
Она прописывает about:blank в стартовую страницу.
А зачем? Её об этом разве просили?
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
Geser
А зачем? Её об этом разве просили?
В принципе да. Это uninstall-ер от Trojan-Clicker.Win32.Delf.bc. Причем сам троян dr.web не находит
Dr.Web ® daemon for FreeBSD, version 4.32.2 (2004-11-01)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32b
Total 64177 virus-finding records.
>ppc.dll - Ok
Ну полный дебилизм.
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
В принципе да. Это uninstall-ер от Trojan-Clicker.Win32.Delf.bc. Причем сам троян dr.web не находит
Ну полный дебилизм.
Бывает. Значит надо его им послать
-
-
Re:Надо ли добавлять в базу "пустышки"?
Значит надо его им послать
Ломает, но так как я VirusTotal использую, по идее должны получить...
-
-
Re:Надо ли добавлять в базу "пустышки"?
Geser
А на основной вопрос то не ответил....
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
Geser
А на основной вопрос то не ответил....
Ну не хватает у них людей разбираться. Посмотрели что лезет в реестр и что-то там меняет, вот и добавили. Не трагедия.
-
-
Re:Надо ли добавлять в базу "пустышки"?
Вопрос глубже, такого добра навалом везде.
Причем когда не профи начинают сравнивать антивирусы, то кричат - "а вот этот вирус не лечит", хотя иногда это и не вирус вообще. Это касается и поврежденных файлов и дропов и любого хлама. Получается надо добавлять всем или выкидываить этот мусор из всех....
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
Вопрос глубже, такого добра навалом везде.
Причем когда не профи начинают сравнивать антивирусы, то кричат - "а вот этот вирус не лечит", хотя иногда это и не вирус вообще. Это касается и поврежденных файлов и дропов и любого хлама. Получается надо добавлять всем или выкидываить этот мусор из всех....
Повреждённые файлы лучше детектить. Так меньше криков что мол пропускает. Дропперы ясное дело что нужно детектить. А остальное вопрос вкуса. Например, тот же анинсталлер. Если уж сам троян удалён, то зачем анинсталлер нужен на диске? Я за то что бы мусор удалять.
-
-
Re:Надо ли добавлять в базу "пустышки"?
Но тогда его надо всем добавлять....
Просто вот например еще вариант:
VirTool.Magazine
Точно вообще никакого отношения к деструктивным программам не имеет....
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
Но тогда его надо всем добавлять....
Просто вот например еще вариант:
VirTool.Magazine
Точно вообще никакого отношения к деструктивным программам не имеет....
И детектируется только расширенными базами. Что очень хорошо для админов крупных сетей в разных фирмах. нефиг всякой фигнёй на работе заниматься. Или в университетах. Ну и т.д.
-
-
Re:Надо ли добавлять в базу "пустышки"?
вот представь, подхватил ты какую-нибудь хрень, скажем, тот же homepage replacer. Ну ладно, лезешь на эту пагу, внизу мелкими буковками написано "Uninstall", жмешь на линку, начинает качаться анинсталлер, но... не тут то было!
Воют сирены, мигают проблесковые маячки, антивирус орет - No pasaran, обнаружен вирус и хрен вы его скачаете!
Причем на сам replacer может орать, а может и не орать, причем даже если может орать, то вполне может не справлятся с удалением =)
Так что думайте сами, решайте сами.
P.S. описанная ситуация наблюдалась пару раз лично =)
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
Xen
вот представь, подхватил ты какую-нибудь хрень, скажем, тот же homepage replacer. Ну ладно, лезешь на эту пагу, внизу мелкими буковками написано "Uninstall", жмешь на линку, начинает качаться анинсталлер, но... не тут то было!
Анинсталлер дропает ещё парочку троянов тебе на комп
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...
Я специально привел информацию из Sandbox:
Она прописывает about:blank в стартовую страницу.
Вируслаб Касперского вставили его как Trojan.Win32.StartPage.tk
-
-
Re:Надо ли добавлять в базу "пустышки"?
Да не... это как то не принято. Вообще сейчас ведущие коммерческие поисковые системы ввели правила для своих рефов о недопустимости использования спайваря без возможности его удаления из Add/Remove Programs. Так что во многих случаях можно рекомендовать несчастным жертвам в первую очередь заглядывать именно туда. Хотя, конечно, остались и беспредельщики в плане спайваря, причем даже я содрогаюсь, бывает, от того количества всякой хрени, которые выкачивают их лоадеры ;-)
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
Xen
... Вообще сейчас ведущие коммерческие поисковые системы ввели правила для своих рефов о недопустимости использования спайваря без возможности его удаления из Add/Remove Programs ...
И самое смешное - некая пакость может или имень неработающий анинсталлер, или просто работает в невидимом для юзера режиме - как он догадается, что анинсталлить ?
-
-
Re:Надо ли добавлять в базу "пустышки"?
Сообщение от
kvit
File: unppc.exe
Status: INFECTED/MALWARE
Packers detected: UPX
Для того, чтобы услышать наше мнение об этом "звере" (или не звере) нужно заархивировать его с паролем virus и отправить на [email protected]. Тогда мы проведем его анализ - будет еще одно мнение ...
-
-
Re:Надо ли добавлять в базу "пустышки"?
Обнаруживать эти "безобидные" программы надо, тем более в сканере. Однако выделить их в отдельную группу "not-virus", что бы пользователь в каждом конкретном случае сам решал, удалять или нет. Хороший антивирус не должен принимать все решения за пользователя, а только предоставлять ему весь перечень возможностей для борьбы с инфекцией.