# Форум на русском языке  > Аналитика  > Тестирование  >  Оффтоп из "Исследование антивирусов"

## HATTIFNATTOR

По свежеприсланным Alexey P ссылкам

AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found not a virus Joke.KeyPin  
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
VBA32  Found nothing 

---------------------------------------------------------
AntiVir  Found TR/Dldr.Small.agq.1  
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
Dr.Web  Found Trojan.DownLoader.2489  
F-Prot Antivirus  Found unknown virus (probable variant)  
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found Win32 (probable variant)  
NOD32  Found probably unknown NewHeur_PE (probable variant)  
Norman Virus Control  Found nothing 
VBA32  Found nothing 

--------------------------------------------------

AntiVir  Found DIAL/Generic dialer  
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found BehavesLike:Trojan.HangUp (probable variant)  
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found Sandbox: W32/Dialer; [ General information ]

* File length: 11504 bytes.

[ Changes to system settings ]
* Enumerates RAS connections.
* Set dialer properties to dial ( ) 0.
* Attempts to dial out.

[ Network services ]
* Opens URL: http://217.73.66.1/minilog.php.
* Opens URL: http://217.73.66.1/mds.html?did=.

[ Process/window information ]
* Attemps to open iexplore http://217.73.66.16/md.php?data=.  
VBA32  Found Dialer.Porno.24 (probable variant)  

------------------------------------------------------------------

AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found BehavesLike:Trojan.Downloader (probable variant)  
ClamAV  Found Trojan.Downloader.Small-518  
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found Win32 (probable variant)  
NOD32  Found nothing 
Norman Virus Control  Found nothing 
VBA32  Found nothing 

---------------------------------------------------------------------


AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found Exploit.ADODB.Stream.Gen  
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found probably modified JS/TrojanDownloader.Psyme.X (probable variant)  
Norman Virus Control  Found nothing 
VBA32  Found nothing 

-----------------------------------------------------------

AntiVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found Trojan.Downloader.Istbar-145  
Dr.Web  Found Trojan.Isbar.267  
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
mks_vir  Found nothing 
NOD32  Found probably unknown NewHeur_PE (probable variant)  
Norman Virus Control  Found nothing 
VBA32  Found nothing 

--------------------------------------------------------

Antivirus Version Update Result 
AntiVir 6.30.0.15 05.28.2005 no virus found 
AVG 718 05.28.2005 no virus found 
Avira 6.30.0.15 05.28.2005 no virus found 
BitDefender 7.0 05.28.2005 no virus found 
ClamAV devel-20050501 05.28.2005 no virus found 
DrWeb 4.32b 05.28.2005 no virus found 
eTrust-Iris 7.1.194.0 05.28.2005 no virus found 
eTrust-Vet 11.9.1.0 05.27.2005 no virus found 
Fortinet 2.27.0.0 05.27.2005 Adware/BDSr 
Ikarus 2.32 05.27.2005 no virus found 
Kaspersky 4.0.2.24 05.28.2005 no virus found 
McAfee 4501 05.27.2005 potentially unwanted program Adware-BDSearch 
NOD32v2 1.1112 05.27.2005 Win32/Adware.Toolbar.Baidu 
Norman 5.70.10 05.27.2005 no virus found 
Panda 8.02.00 05.28.2005 Adware/BDSToolbar 
Sybari 7.5.1314 05.28.2005 no virus found 
Symantec 8.0 05.27.2005 no virus found 
VBA32 3.10.3 05.28.2005 no virus found 

------------------------------------------------------------------------

Antivirus Version Update Result 
AntiVir 6.30.0.15 05.28.2005 no virus found 
AVG 718 05.28.2005 no virus found 
Avira 6.30.0.15 05.28.2005 no virus found 
BitDefender 7.0 05.28.2005 no virus found 
ClamAV devel-20050501 05.28.2005 no virus found 
DrWeb 4.32b 05.28.2005 no virus found 
eTrust-Iris 7.1.194.0 05.28.2005 no virus found 
eTrust-Vet 11.9.1.0 05.27.2005 no virus found 
Fortinet 2.27.0.0 05.27.2005 no virus found 
Ikarus 2.32 05.27.2005 no virus found 
Kaspersky 4.0.2.24 05.28.2005 no virus found 
McAfee 4501 05.27.2005 no virus found 
NOD32v2 1.1112 05.27.2005 no virus found 
Norman 5.70.10 05.27.2005 no virus found 
Panda 8.02.00 05.28.2005 Spyware/CnsMin 
Sybari 7.5.1314 05.28.2005 no virus found 
Symantec 8.0 05.27.2005 no virus found 
VBA32 3.10.3 05.28.2005 no virus found

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Andrey

Не хочу встревать, но: всегда можно найти (подобрать) "зверя", которого не знает тот или иной антивирус  :Sad:   + не стоит забывать о ложном срабатывании из-за некачественно написанных сигнатур (этим грешат многие антивирусы, даже весьма известные  :Sad:  ). 
Ошибки были, есть и будут.   :Sad: 

*AntiVir*  Found nothing 
*Avast*  Found *Explosion-L3* 
*AVG Antivirus*  Found nothing 
*BitDefender*   Found nothing 
*ClamAV*   Found nothing 
*Dr.Web*   Found nothing 
*F-Prot Antivirus*  Found nothing 
*Fortinet*   Found nothing 
*Kaspersky Anti-Virus*  Found nothing 
*mks_vir*  Found nothing 
*NOD32*   Found nothing 
*Norman Virus Control*  Found nothing 
*VBA32*  Found nothing

Данный пример не показатель, т.к. avast! часто грешит ложными срабатываниями, но и для других AV программ можно поискать что-то подобное  :Smiley:  .

----------


## HATTIFNATTOR

Идея была не подбирать, выкладывать свеженайденное, которое определяют мало антивирусов (или определают эвристиком). Из того что я привел надо "вычеркивать" КАВ, т.к. у меня стоит КАВ и то что он определяет я не проверяю.
Правда это не было поймано на компьютере а собрано в интернет..

----------


## Andrey

А смысл, если через пару часов (дней) большинство AV компаний будут  :Smiley:   (или не будут  :Sad:  ) этого зверя знать в лицо. И не факт, что конкретный пользователь заразится данным вирусом.
"Защита" все равно не успеет за "нападением". Вечная проблема "пули" и "брони".

Не обращай внимание на моё "ворчание", просто начитался Криса Касперски  :Sad:   (http://www.i2r.ru/static/449/out_16512.shtml , http://www.i2r.ru/static/449/out_16513.shtml ).

----------


## Geser

Отделил потому что не понятно что проверялось в первом посте, флейм, и потом - условие такое. В оригинальную тему постить только то что не было поймано изначально каким-либо антивирусом. Т.е. то что было найдено ручками, и не на какм-то сайте, а реально живое на компютере.

----------


## Geser

> Не хочу встревать, но: всегда можно найти (подобрать) "зверя", которого не знает тот или иной антивирус   + не стоит забывать о ложном срабатывании из-за некачественно написанных сигнатур (этим грешат многие антивирусы, даже весьма известные  ). 
> Ошибки были, есть и будут.


Идея в том, что бы постить результаты проверок именно "зверей" которые были выловлены живыми на компьютерах. Так что ложных срабатываний здесь быть практически не может.

----------


## Andrey

Твой форум (к тому же отличный) - твои правила (смирюсь).   :Smiley:

----------


## Geser

> Твоий форум - твои правила.


Дело не в том чей форум. Каждый пытается оценить эффективность антивируса как может. Если у тебя есть другие идеи - орткрой тему с описанием.

----------


## Sanja

>Dr.Web Found not a virus Joke.KeyPin 
А кто то еще совсем недавно доказывал что дрвеб не вносит шутки в базы  :Smiley: )))

----------


## pig

Видимо, посчитали, что эта шутка может привести к инфаркту -> Riskware   :Smiley:

----------


## Shu_b

> This is a report processed by VirusTotal on 08/16/2005 at 08:06:47 (CET) after scanning the file "___1052" file.


DrWeb ответил что файлы битые.

----------


## ALEX(XX)

> DrWeb ответил что файлы битые.


Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
Его детектирование будет включено в очередное обновление антивирусных баз. 
Благодарим за оказанную помощь.
---------
С уважением, Алексей Маланов
Вирусный аналитик
ЗАО "Лаборатория Касперского" 

И вовсе они не битые, а Trojan-PSW.Win32.LdPinch.sx

----------


## Shu_b

Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
[drweb.com #113171] Обработано: New suspicious file submitted
Ваш запрос был проанализирован. Это был разрушенный файл.
Спасибо за сотрудничество.
-- 
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

----------


## ALEX(XX)

> Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
> [drweb.com #113171] Обработано: New suspicious file submitted
> Ваш запрос был проанализирован. Это был разрушенный файл.
> Спасибо за сотрудничество.
> -- 
> С уважением,
> Служба вирусного мониторинга ООО "Доктор Веб"


Да, было такое сообщение и мне. Да вот только я когда запустил этот файл, то получил массу неприятностей  :Smiley:  в виде процесса [email protected]>>l.exe, два ключа в автозапуске, бинарник в корне С: и исходящее соединение 
8:37:56	sрооl32.exe	ИСХ БЛОКИРОВАНО 	TCP	m0dix.h15.ru	HTTP	Заблокировано Контролем Компонентов

Да простят мне администраторы флейм.

----------


## Shu_b

> Да простят мне администраторы флейм.


Это не флейм, это исследование работы другой стороны работы антивируса...
Со второй посылки прошло  :Smiley: 



> Michael Kharlamov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
> [drweb.com #113487] Обработано: New suspicious file submitted
> Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
> Trojan.PWS.LDPinch.479
> Trojan.PWS.LDPinch.478
> Спасибо за сотрудничество.



PS пославшему файлы, просьба отсылать в архиве с паролем, последний посланный зарезан по дороге - Trojan.PWS.LDPinch.478

----------


## userr

*Geser*, я думаю если отличную картинку *Shu_b* разрешить "гостям" скачивать, это пойдет сайту только на пользу. Может, переместить ее куда-то?

----------


## Geser

> *Geser*, я думаю если отличную картинку *Shu_b* разрешить "гостям" скачивать, это пойдет сайту только на пользу. Может, переместить ее куда-то?


Угу, не плохо-бы. Дать разрешение на одну картинку не могу. А переместить можно, конечно. Хоть и на ФТП заливать. Вопрос захочет-ли Shu_b с этим возиться  :Smiley:

----------


## userr

> А кто-нить пробовал эти виры запустить еще раз на следующий день.


Очень правильная мысль! Предлагаю завести отдельную тему, где будут результаты повторной проверки файлов через 1 или напр. 3 дня. Я думаю, все, кто пишет сюда сохраняют вирусы в своих коллекциях.

----------


## ALEX(XX)

> Очень правильная мысль! Предлагаю завести отдельную тему, где будут результаты повторной проверки файлов через 1 или напр. 3 дня. Я думаю, все, кто пишет сюда сохраняют вирусы в своих коллекциях.


Вряд ли в этом есть смысл. Разве что посмотреть на скорость реакции аналитиков антивирусных компаний.Если не ошибаюсь, вирустотал рассылает во все лабы образцы которые сканились. Но разные компании по-разному воспринимают присланное. По личному опыту, ЛК впихивает в базы чуть-ли не всё, что попадётся, а ESET(NOD32) может Вам сообщить, что присланный образец является куском вредоносной программы, который сам по себе не является опасным и не включат её в базы ибо полную заразу эвристик ловит, а вот полный рабочий образец добавляют в течении нескольких часов(проверено лично). Да, кстати, на вирустотале Drweb расширенные базы не использует или нет?

----------


## userr

> Разве что посмотреть на скорость реакции аналитиков антивирусных компаний.


Вот именно. Имхо, важный показатель.

----------


## psi-x

Я от туда сюда и попал. Там написано "в данном разделе зарегистрированным пользователям предоставляются более ранние графики" где они?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## jerkol

Файл desktop.ini получен 2010.07.28 06:14:42 (UTC)
Текущий статус:   закончено 
Результат: 0/42 (0%) 
 Форматированные 
Печать результатов  Антивирус	Версия	Обновление	Результат
AhnLab-V3	2010.07.28.00	2010.07.27	-
AntiVir	8.2.4.26	2010.07.27	-
Antiy-AVL	2.0.3.7	2010.07.28	-
Authentium	5.2.0.5	2010.07.28	-
Avast	4.8.1351.0	2010.07.28	-
Avast5	5.0.332.0	2010.07.28	-
AVG	9.0.0.851	2010.07.27	-
BitDefender	7.2	2010.07.28	-
CAT-QuickHeal	11.00	2010.07.28	-
ClamAV	0.96.0.3-git	2010.07.28	-
Comodo	5564	2010.07.28	-
DrWeb	5.0.2.03300	2010.07.28	-
Emsisoft	5.0.0.34	2010.07.28	-
eSafe	7.0.17.0	2010.07.27	-
eTrust-Vet	36.1.7743	2010.07.27	-
F-Prot	4.6.1.107	2010.07.28	-
F-Secure	9.0.15370.0	2010.07.28	-
Fortinet	4.1.143.0	2010.07.24	-
GData	21	2010.07.28	-
Ikarus	T3.1.1.84.0	2010.07.28	-
Jiangmin	13.0.900	2010.07.28	-
Kaspersky	7.0.0.125	2010.07.27	-
McAfee	5.400.0.1158	2010.07.28	-
McAfee-GW-Edition	2010.1	2010.07.27	-
Microsoft	1.6004	2010.07.28	-
NOD32	5318	2010.07.27	-
Norman	6.05.11	2010.07.27	-
nProtect	2010-07-28.01	2010.07.28	-
Panda	10.0.2.7	2010.07.27	-
PCTools	7.0.3.5	2010.07.28	-
Prevx	3.0	2010.07.28	-
Rising	22.58.02.03	2010.07.28	-
Sophos	4.55.0	2010.07.28	-
Sunbelt	6652	2010.07.28	-
SUPERAntiSpyware	4.40.0.1006	2010.07.28	-
Symantec	20101.1.1.7	2010.07.28	-
TheHacker	6.5.2.1.326	2010.07.27	-
TrendMicro	9.120.0.1004	2010.07.27	-
TrendMicro-HouseCall	9.120.0.1004	2010.07.28	-
VBA32	3.12.12.6	2010.07.27	-
ViRobot	2010.7.23.3956	2010.07.28	-
VirusBuster	5.0.27.0	2010.07.28	-

Что это за фигня? Что за файл? на флехе сидит

----------


## ALEX(XX)

desktop.ini — это файл конфигурации, который содержит данные настроек внешнего вида системной папки в ОС Microsoft Windows: значок, цвет текста, фоновый рисунок и т. д.

----------


## jerkol

> desktop.ini — это файл конфигурации, который содержит данные настроек внешнего вида системной папки в ОС Microsoft Windows: значок, цвет текста, фоновый рисунок и т. д.


Чего? А зачем он на флешке? Как то аутпоуст его удалял, ничего! :Cheesy:

----------


## ALEX(XX)

его можно смело удалить

----------


## grobik

VirusTotal обновил интерфейс  :Wink: 
Всех желающих просят помочь переводами (языковыми).
 Можно оставлять комменты на странице с файлом :Roll Eyes (Sarcastic): .
Ссылки на результаты предыдущих тестов,видимо,недоступны.

----------


## Iron Monk

Судя по единому имени - *Killav* (убийца антивируса?) - сигнатурник.

----------


## antanta

*Iron Monk*, ЛК обзывает так любого, кто пытается мешать антивирю работать. Если сигнатура, то поведенческая, а не байтовая.

----------


## ak_

Если отправлялся на Вирустотал, то был отослан в разные вирлабы. Не исключен и вариант обмена семплами между вирлабами.

----------


## Iron Monk

> Если отправлялся на Вирустотал, то был отослан в разные вирлабы.


Вирустотал рассылает образцы?

----------


## ak_

Да. Я думал, что это общеизвестная информация.

----------


## Iron Monk

> Да. Я думал, что это общеизвестная информация.


А если это FalseAlarm? Кто берет ответственность на кривой детект?

----------


## ak_

А это уже проблемы каждого конкретного вирлаба - провести самостоятельный анализ файла, на который ругается кто-то из коллег или просто автоматически добавить детект "по доверию".

----------


## antanta

> Вирустотал рассылает образцы?


http://wasm.ru/forum/viewtopic.php?pid=435007
 На ВАСМе этот вопрос часто затрагивался. Народ склонен считать, что семплы таки сливаются. Для меня непонятен алгоритм принятия решения о сливе/несливе.

----------


## akok

VT честно заявляет, что отсылает образцы в случае если они их признали вредоносными, а вот алгоритм действительно непонятен.

----------

