-
Visiting Helper
- Вес репутации
- 73
Что делать?
При рассмотрении логов HijackThis частенько бросаются в глаза строки типа:
O16 - DPF: {175E5187-5F9D-19FF-940C-127E6F711D6F} - hттp://69.50.182.94/1/rdgUS1882.exe или
O16 - DPF: {5F4F9428-8B12-79C8-F7B0-33195169CD98} - hттp://69.50.182.94/1/gdnAT1862.exe
По ссылкам скачиваются Trojan.Downloader'ы, отличающиеся по контрольным суммам. Так как символы в именах троянов, начиная с четвёртой, могут меняться - буквы вроде произвольно, а цифры - до 2000, то навскидку получается более 5 миллионов вариаций. Кроме того, после скачивания какого либо одного из троянов примерно через пять минут на сервере его сигнатура видимо меняется (DrWeb перестаёт опознавать), так что вероятность заполучить диагностируемый антивирусом троян приближается к нулю.
Вопрос к аналитикам - возможна ли борьба с такого рода троянами с точки зрения антивируса?
P.S. Нашёл несколько серверов с подобной заразой.
Последний раз редактировалось azza; 20.06.2005 в 22:10.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А, блин загадка решена. Файлики эти упакованы Yoda crypter. Это полиморфный криптер. КАВ спокойно с ним справляется. Ну а ДрВеб... должны добавлять все модификации что бы детектить. Т.е. детектить всё в прнципе не может.
P.S. Вот яркая иллюстрация тому, что хороший антивирус должен знать паковщики/криптеры.
-
-
Visiting Helper
- Вес репутации
- 73
Antivirus Version Update Result
AntiVir 6.31.0.7 06.20.2005 no virus found
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.20.2005 no virus found
BitDefender 7.0 06.20.2005 Trojan.Dialer.GlobalAcces
ClamAV devel-20050501 06.19.2005 Dialer-306
DrWeb 4.32b 06.20.2005 no virus found
eTrust-Iris 7.1.194.0 06.19.2005 no virus found
eTrust-Vet 11.9.1.0 06.20.2005 no virus found
Fortinet 2.35.0.0 06.20.2005 suspicious
Ikarus 2.32 06.20.2005 no virus found
Kaspersky 4.0.2.24 06.20.2005 Trojan-Downloader.Win32.Small.ayl
McAfee 4517 06.20.2005 potentially unwanted program Dialer-269
NOD32v2 1.1145 06.18.2005 Win32/TrojanDownloader.Small.AYL
Norman 5.70.10 06.17.2005 W32/Downloader
Panda 8.02.00 06.20.2005 no virus found
Sybari 7.5.1314 06.20.2005 Trojan-Downloader.Win32.Small.ayl
Symantec 8.0 06.20.2005 no virus found
TheHacker 5.8.2.056 06.20.2005 no virus found
VBA32 3.10.3 06.20.2005 no virus found
Последний раз редактировалось azza; 20.06.2005 в 22:32.
-