# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Вирус Win32.Polipos

## Синауридзе Александр

Всем здравствуйте!
Сегодня получил очередную рассылку от Dr.Web. В ней было сказано о начале распространения вируса Win32.Polipos. В частности писалось, что это очень опасный полиморфный вирус и определят его пока только Dr.Web. Так же было написано, что только Доктор может успешно лечить этот вирус благодаря высокому технологическому уровню антивирусного ядра. В связи с чем просьба ко всем у кого есть образец данной заразы слить для закачки, а также высказаться по данной теме (реакция других антивирусов, возможность лечения и др.). Есть предположение, что Dr.Web в очередной раз хвалится. :Stick Out Tongue:  
Заранее всем спасибо.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

Почитайте эту: http://forum.drweb.com/viewtopic.php?t=2810 тему.

Сам пресс релиз:


> *Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos* 
> _19 апреля 2006 года_ 
> 
> Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям. 
> 
> Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети. 
> 
> Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса. 
> 
> ...


*Описание* http://info.drweb.com/virus_description/102959


> *Win32.Polipos*
> ()
> 
> Сложный полиморфный вирус.
> 
> При запуске заражает скринсейвер (получает из реестра), заражает logonui.exe и logon.scr в системной директории, внедряет свой код во все процессы. 
> 
> Удаляет файлы:
> 
> ...

----------


## Синауридзе Александр

Спасибо за информацию! Правда она уже известна. Интересно посмотреть образцы заразы, а также реакцию других антивирей на нее.
Может кто писал в ЛК или еще куда? Что ответили?

----------


## Shu_b

> Может кто писал в ЛК или еще куда? Что ответили?


Вы тему то на форуме ( http://forum.drweb.com/viewtopic.php?t=2810 ) читали???




> На даный момент ситуация:
> 
> http://www.virustotal.com/
> CAT-QuickHeal 8.00 04.19.2006 (Suspicious) - DNAScan
> DrWeb 4.33 04.19.2006 Win32.Polipos
> Fortinet 2.71.0.0 04.19.2006 W32/Polipos.V12
> ------------------------------------------------------------------------------------
> http://virusscan.jotti.org/
> Dr.Web Found Win32.Polipos
> ...





> на каспере, скрепя сердце, признали в инфицированных файлах наличие Worm Win32.Plipos - цитирую - и то со второго раза, правда, в список всяческих зараз отчего то не занесли. Остальные противостолбнячные монстры молчат, как рыба об лёд......

----------


## Ilya_K

К сожалению до сих пор никто _(кроме Dr.Web)_ уверенно не детектирует.

Fortinet на www.virustotal.com детектирует, но на официальном сайте Fortinet онлайн сканер говорит
>The file calc.exe  appears to be clean

Лечение было создано для тех, кто всё же успел подхватить - для них есть cureit!.

----------


## ALEX(XX)

Кто что думает по этому поводу? Интересная ситуация... Какие данные в настоящее время? Кто из АВ-компаний ещё детектирует эту заразу?

----------


## kps

> Кто что думает по этому поводу? Интересная ситуация...


Т.е. если я правильно понял, получается, что другие антивирусы не могут не то что лечить от этой заразы, но даже детектировать ее ?! 
Вот это да. В пресс-релизе написано



> Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.


Это наводит на размышления...

----------


## Ilya_K

> Это наводит на размышления...


На какие же? :-)

----------


## Shu_b

> Это наводит на размышления...





> На какие же? :-)


 Во всех темах одно и тоже... :))))))
вспоминается: Сегодня читал SMS, много думал...

----------


## azza

> Это наводит на размышления...


Действительно, если учесть, что вирус сносит основную вирусную базу ДрВеба - drwebase.vdb.

----------


## ALEX(XX)

Вот что на форуме НОД ответили

That's after a long time after ZMist one of the "best" viruses i've seen.
It's indeed highly complex - the encryption algo is medium difficult and the virus uses a lot of tricks. I've here some samples with nice antiemulation tricks, such as code performance speed tests (meaning the virus will know when it runs in a virtual environment) and registry dummy - writing tricks, such as trying to write a random value to the registry and trying to read it later and compare it. If not equ or if it doesn't exist the virus exits. The virus is able to act as space filler, same technic was used by the tschernobyl virus already (CIH). The virus is able to use EPO functionallity, it looks for common API calls after the entry point and hooks/redirects them. Means the virus does not execute its own code/decrypter at a fixed position after the entry point.

Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time.

----------


## diizii

описание поменялось 



> Win32.Polipos представляет собой сложный полиморфный вирус. 
> 
> Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции. 
> 
> При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов: 
> 
> savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp. 
> Таким образом, в памяти оказываются несколько копий вируса каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся обще доступными для участников этой сети. 
> 
> ...

----------


## Shu_b

> Вот что на форуме НОД ответили


а перевести... :))

----------


## ALEX(XX)

> а перевести... )


Перевод корявый получается... Счас посмеёмся.  :Smiley:  Кто знает толком английский, помогите. Но смысл таков: "Это - после долгого времени после ZMist один из "лучших" вирусов я видел. 
Это действительно очень сложно - шифрование algo среднее трудный, и вирус использует много уловок. Я имею здесь некоторые образцы с хорошими уловками антиэмуляции, типа кодовых тестов скорости работы (будет знать значение вируса, когда это бежит в действительной окружающей среде), и кукла регистрации - пишущие уловки, типа попытки написать случайную ценность регистрации и попытке прочитать это позже и сравнить это. Если не equ или если это не существует вирусные выходы. Вирус в состоянии действовать как космический наполнитель, та же самая техника использовалась tschernobyl вирусом уже (CIH). Вирус в состоянии использовать EPO functionallity, это ищет общие запросы программного интерфейса приложения после того, как вход указывает, и вербует/переадресовывает их. Означает, что вирус не выполняет его собственный code/decrypter в неподвижном положении после пункта входа. 

Очистка становится хитрой, поскольку доктор Веб уже заявил правильный, однако, уборщик будет доступен скоро через мой weblog так или иначе в течение этой недели, когда я имею некоторое время."

----------


## ALEX(XX)

В целом, из английского текста я смысл уловил, но вот самостоятельно дать перевод не могу  :Sad: 
Судя по постам на оф. форуме, сегодня образец этого зверя попал в лаборатории ESET. Посмотрим результат. Жаль образца нет  :Sad:

----------


## Синауридзе Александр

Здравствуйте!
Форум Dr.Web совсем скучный и его я читал. Чуть не уснул. У кого нибудь есть образец этой заразы  или нет :Huh:   Скиньте.

----------


## _HEKTO_

Вот, что у меня с переводом получилось



> После давнего ZMist это один из "лучших" вирусов, которые я видел.
> Он действительно крайне сложен - криптоалгоритм средней сложности, плюс вирус использует множество tricks (трюки, уловки). Я вижу нескоько примеров (не уверен: I've here some samples with) отличных антиэмуляционных трюков, таких как измерение скорости выполнения кода (это эзначает, что вирус будет знать, когда он запущен в виртуальном окружении) и обнаружения фиктивного реестра, такой как запись в реестр случайных значений, а затем попытка их прочесть и сравнить. Если они не совпадают или не удалось их прочесть, то вирус ничего не делает. Этот вирус "is able to act as space filler" - способен заполнять несипользуемое пространство файла (т.е. при записи в exe не увеличивается его длинна - прим. мое), аналогичную технику использовал "Чернобыль" (CIH). Вирус способен использовать "EPO functionality", он ищет типичные вызовы API после точки входа и подменяет/перенаправляет их. Т.о. вирус не начинает выполнение своего кода/расшифровщика с некоторой фиксированной позиции после точки входа ("entry point")
> 
> "Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."
> 
> Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог.

----------


## ALEX(XX)

*_HEKTO_* Огромное спасибо!  :Smiley:

----------


## Sanja

Касперы говорят - работают - Сегодня / Завтра все будет.

Интересно под "все" лечение тоже подразумавается?!

----------


## Ilya_K

> Касперы говорят - работают - Сегодня / Завтра все будет.
> 
> Интересно под "все" лечение тоже подразумавается?!


updates.drweb.com
win32.polipos
For a period from 1  January 2006 till ...

drwtoday.vdb (2006-03-20 20:27:25, MD5: 2e664cec370e04dfd97e0a3e0ff31275)
...
Win32.Polipos
...

-------------------------
drwtoday.vdb (2006-04-20 00:20:38, MD5: 6424ec79e376ca4579310ebe2fb8d8f1)
...
Win32.Polipos(2)
...

судя по всему (2) - запись для лечения ;)

Когда же хоть кто-то проснётся?

----------


## serge

> Когда же хоть кто-то проснётся?


Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования. 

Думаю, после такого громкого пресс релиза drweb'а только мертвый не проснется и теперь каждый уважающий себя антивирус разберется с данным вирусом в самые кратчайшие сроки  :Smiley: 

PS. Похоже, drweb поймал того самого "неуловимого Джо"  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ilya_K

> Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.


Что ж, посмотрим ;-)




> PS. Похоже, drweb поймал того самого "неуловимого Джо"


Если бы на форуме и в тех.поддержку не писали не наши клиенты о неизвестном вирусе, то он был бы действительно неуловим... :-(

----------


## DaUzh

> Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования. 
> 
> Думаю, после такого громкого пресс релиза drweb'а только мертвый не проснется и теперь каждый уважающий себя антивирус разберется с данным вирусом в самые кратчайшие сроки 
> 
> PS. Похоже, drweb поймал того самого "неуловимого Джо"


Какая гнусная ложь! :-) Видимо в Минске имеется "уважающий себя антивирус".

----------


## _HEKTO_

> Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.


Почему только сегодня? Его уж сколько раз через Virustotal гоняли. Неужели они образцы с такой задержкой рассылают?

----------


## serge

> Почему только сегодня? Его уж сколько раз через Virustotal гоняли. Неужели они образцы с такой задержкой рассылают?


С virustotal каждый день валится большое количество вирусов. До этого именно он какое-то время валялся в очереди на вставку как неприоритетный и попал на анализ только вчера. Поступление самого первого файла с этим вирусом (с virustotal) по логам датируется 10 апреля.

----------


## Sanja

Вроде свершилось...

Здравствуйте.

Вирус внесен в антивирусные базы. 
Обновите базы, пожалуйста.

С уважением, Денис Назаров.
Вирусный аналитик, ЗАО "Лаборатория Касперского"
_______________________________________________
125363, Россия, г.Москва, ул. Героев Панфиловцев, 10.
Многоканальный телефон/факс: +7(095)797-87-00
E-mail: [email protected]
http://www.kaspersky.ru ; http://www.viruslist.com


> Attachment: mshearts_Vir.exe.3

----------


## User-Polipos

> Вроде свершилось...
> 
> Здравствуйте.
> 
> Вирус внесен в антивирусные базы. 
> Обновите базы, пожалуйста.
> 
> С уважением, Денис Назаров.
> Вирусный аналитик, ЗАО "Лаборатория Касперского"
> _______________________________________________


Собаки! DrWeb нашел у меня 158 Polipos, а Каспер только - 67. Касперы издеваются над своими пользователями? :-( Или они не умеют ловить такие вирусы? Ничего не понимаю :-(

----------


## незарег

> "Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."
> 
> Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог


"Лечение сложно, как уже правильно заявил Dr.Web, однако, лечилка скоро будет доступна через мой блог, где-то в течение этой недели, когда у меня будет время."

----------


## dapredator

Да, обоср*лся касперский по полной программе... Это вам не свистеть по телевизору фигню всякую, тут хотябы немного мозгов надо... Это вам не макровирусы пачками детектировать. Будет знать, где его место! 

P.S. Долго ему видимо ещё это припоминать будут. Наповерку каспер оказался пустышкой!  :Stick Out Tongue:

----------


## Ilya_K

> DrWeb нашел у меня 158 Polipos, а Каспер только - 67.


Видимо кто-то не может нормально детектировать все заражённые файлы.

У нас всё детектируется одной записью.

----------


## Sanja

Ток неизвестно сколько вы потратили времени на ее написание Ж)

А вобще конечно наглость маленькая...


Нафик оно надо...нет никакой эпидемии.
нам бы еще с детекшеном по уму разобраться - у нас примерно 6-7% самплов не детектятся сейчас.
На выходных попробуем поправить.


-- 
Regards, Aleks Gostev
Senior Virus analyst, Kaspersky Lab.
Malware Research and Analysis Group

----------


## Ilya_K

Sanja, какая уже разница, сколько писали сигнатуру?

Полиморфик путешествовал по интернету и заражал файлы целый месяц, а кто-то утешает своих (и не только) пользователй, что файл попал в очередь и просто ждал там, или, к примеру, что детектируется какой-то процент файлов.
Посмотрим, что будет, когда почти все детектировать будут. Есть мнение, что лечения попросят многие, уж не очень хочеться расставаться со своими файлами.

Детектирование у нас писалось относительно не долго. Несколько часов работы аналитика.

----------


## serge

> Sanja, какая уже разница, сколько писали сигнатуру?
> 
> Полиморфик путешествовал по интернету и заражал файлы целый месяц, а кто-то утешает своих (и не только) пользователй, что файл попал в очередь и просто ждал там, или, к примеру, что детектируется какой-то процент файлов.


Так вот к этому-то и основные вопросы  :Smiley:  Полиморфик путешествовал и заражал файлы по вашей информации. Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза. Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки по вашим словам бушует в дикой природе уже месяц. По нашей информации эпидемии не было и на данный момент ее нет. Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.




> Посмотрим, что будет, когда почти все детектировать будут. Есть мнение, что лечения попросят многие, уж не очень хочеться расставаться со своими файлами.


Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей  :Wink: 




> Детектирование у нас писалось относительно не долго. Несколько часов работы аналитика.


Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком. Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным). Посмотрим, что будет дальше. Даже если у вас с этим вирусом прошло все легко, будут и другие. Например, может появиться следующая модификация того же самого вируса. У вас тогда не будет "форы" по времени на его анализ, вот тогда и посмотрим  :Smiley:  Не всегда все проходит удачно, за успехом может следовать и провал. Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.

----------


## saicat

Н-да, устроенным представителями Dr.Web пиаром относительно собственной гениальности в отношении борьбы с Polipos, могли бы гордиться  даже матерые обещатели "конца Интернета"  :Wink:   Куда там, ЛК отдыхает  :Wink:  Удивляюсь, как только вебовцы успевают расхваливать себя на все лады чуть ли не на всех более-менее известных форумах, посвященных безопасности в Сети? Что, господа Данилов с Шаровым поставили "в ружье" все резервы? Есть повод воспеть "неоспоримое технологическое превосходство" собственного движка только потому, что у аналитиков веба было больше времени на анализ? Раскопать и распиарить на весь Интернет полу-коллекционный вирус, пусть даже технологически сложный, считается теперь круто? Новые методы маркетинга пошли в ход? ;-) Западные компании, кажется, вообще не слишком озабочены "эпидемией" Polipos.

Того и гляди, аналитики конкурирующих фирм между собой переругаются      :Embarassed:  Не хотелось бы. Пусть лучше все живут в мире между собой и   каждый совершенствует свой продукт. Тогда каждый пользователь сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?

----------


## Shu_b

> Того и гляди, аналитики конкурирующих фирм между собой переругаются      Не хотелось бы. Пусть лучше все живут в мире между собой и   каждый совершенствует свой продукт. И каждый сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?


 На 100%

----------


## good goo

Простите мне моё невежество, но я правильно понимаю, что Polipos отчасти использует rootkit (модификация низкоуровневых API функций), с которыми касперский и прочие антивири не умеют работать без серъезных изменений движка? http://z-oleg.com/secur/articles/rootkit.php

----------


## незарег

> Так вот к этому-то и основные вопросы  Полиморфик путешествовал и заражал файлы по вашей информации. Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза. Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки по вашим словам бушует в дикой природе уже месяц. По нашей информации эпидемии не было и на данный момент ее нет. Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.
> 
> 
> Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей 
> 
> 
> Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком. Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным). Посмотрим, что будет дальше. Даже если у вас с этим вирусом прошло все легко, будут и другие. Например, может появиться следующая модификация того же самого вируса. У вас тогда не будет "форы" по времени на его анализ, вот тогда и посмотрим  Не всегда все проходит удачно, за успехом может следовать и провал. Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.


все получают сэмплы с одного источника, только не все способны в них разобраться. вот собственно что эта история показывает. не нужно мне говорить что вы их не получали с онлайновых сервисов.

----------


## Tengu

> Простите мне моё невежество, но я правильно понимаю, что Polipos отчасти использует rootkit (модификация низкоуровневых API функций), с которыми касперский и прочие антивири не умеют работать без серъезных изменений движка? http://z-oleg.com/secur/articles/rootkit.php


Зачем вирусу rootkit? Ладно трояну или бэкдору. И в описании про это ни слова. А перехваты API у него просто для поиска очередной жертвы

----------


## Ilya_K

> Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза.


Пользователи начали писать, что имеет место ложное срабатываение, хотя это было вовсе не так.
Была бы тишина, всё бы спали спокойно и мы бы не предупреждали никого.




> Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки по вашим словам бушует в дикой природе уже месяц.


Пытаются найти и уже нашли - это разное.
Законы Мёрфи, однако  :Smiley: 




> По нашей информации эпидемии не было и на данный момент ее нет.Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.


Про эпидемию речи не шло.
Неконтролируемое распространение такого вируса способно породить эпидемию при стечение некоторых обстоятельств (как, например, массовое недетектирование). Увы, как эксперт, вы должны это понимать.




> Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей


:-) Ваш Антивирус, ваше право




> Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком.


С ним разбирались не месяц, а всего-лишь пару часов (детектирование) :-)




> Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным).


Имхо, известно, чем коллекционный образец отличается от живого - коллекционный, обычно, не заражает компьютеры пользователей.

----------


## Ilya_K

> На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?


На личности переходить не будем :-). К чему это нужно? (риторически)
Вам детектировани и расторопность вирусной лаборатории вашего антивируса, как пользователю этого антивируса принесёт прямую пользу. Не подцепите заразу.

----------


## serge

Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):

http://virusscan.jotti.org
AntiVir  	Found nothing
ArcaVir 	Found nothing
Avast 	Found nothing
AVG Antivirus 	Found nothing
*BitDefender 	Found Win32.Polipos.A*
ClamAV 	Found nothing
*Dr.Web 	Found Win32.Polipos*
F-Prot Antivirus 	Found nothing
Fortinet 	Found nothing
*Kaspersky Anti-Virus 	Found P2P-Worm.Win32.Polipos.a*
NOD32 	Found nothing
Norman Virus Control 	Found nothing
UNA 	Found nothing
VirusBuster 	Found nothing
*VBA32 	Found Virus.Win32.Polipos.A*

http://www.virustotal.com
AntiVir	6.34.0.24	04.20.2006	no virus found
Avast	4.6.695.0	04.21.2006	no virus found
AVG	386	04.21.2006	no virus found
Avira	6.34.0.56	04.21.2006	no virus found
*BitDefender	7.2	04.22.2006	Win32.Polipos.A*
*CAT-QuickHeal	8.00	04.21.2006	(Suspicious) - DNAScan*
ClamAV	devel-20060202	04.22.2006	no virus found
*DrWeb	4.33	04.21.2006	Win32.Polipos*
*eTrust-InoculateIT	23.71.136	04.22.2006	Win32/Polipos!Worm*
eTrust-Vet	12.4.2171	04.21.2006	no virus found
Ewido	3.5	04.21.2006	no virus found
*Fortinet	2.71.0.0	04.22.2006	W32/Polipos.V12*
F-Prot	3.16c	04.21.2006	no virus found
Ikarus	0.2.59.0	04.21.2006	no virus found
*Kaspersky	4.0.2.24	04.22.2006	P2P-Worm.Win32.Polipos.a*
McAfee	4746	04.21.2006	no virus found
NOD32v2	1.1501	04.21.2006	no virus found
Norman	5.90.16	04.21.2006	no virus found
Panda	9.0.0.4	04.21.2006	no virus found
*Sophos	4.04.0	04.21.2006	W32/Polipos-A*
Symantec	8.0	04.22.2006	no virus found
TheHacker	5.9.7.132	04.21.2006	no virus found
UNA	1.83	04.21.2006	no virus found
*VBA32	3.11.0	04.19.2006	Virus.Win32.Polipos.A*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## K_Mikhail

> Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):
> 
> http://virusscan.jotti.org
> AntiVir      Found nothing
> ArcaVir     Found nothing
> Avast     Found nothing
> AVG Antivirus     Found nothing
> *BitDefender     Found Win32.Polipos.A*
> ClamAV     Found nothing
> ...


 Вот и остальные подтягиваются...  :Smiley:

----------


## _HEKTO_

Вот такое получается соревнование  :Smiley: 

DrWeb идет вне конкурса, а на остальных можно посмотреть. Тут тебе и скорость реакции на новые угрозы, и способность разбираться со "сложными" случаями.

Что-то вроде теста антивирусов от DrWeb(R)  :Smiley: 

Во всем можно найти положительную строну.

----------


## _HEKTO_

> Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):


А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию? Были, например, высказывания, что после заражения система сразу же рушится.

----------


## Iceman

> А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию? Были, например, высказывания, что после заражения система сразу же рушится.


поддерживаю вопрос. интересно услышать мнение "незаинтересованной" стороны :Smiley:

----------


## Sanja

>Вот и остальные подтягиваются... 

Это все к теме что "Ни один антивирус неспособен" и "Только у дрвеба движок высокотехнологичный". Хотя на самом деле все сводится к тому что вирус нераспространен и не попал на стол аналитикам по (значимости или как обьект).

----------


## Sanja

DrWeb 4.33 04.21.2006 Win32.Polipos
Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a

Ж))) В выходные базы не выпускам?

----------


## Ilya_K

> DrWeb 4.33 04.21.2006 Win32.Polipos
> Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a
> 
> Ж))) В выходные базы не выпускам?



По необходимости выпускаем.

Можно даже посмотреть на updates.drweb.com :-)

----------


## Ilya_K

"Если не видно разницы, то зачем платить больше?" (с) реклама  :Wink: 





> Complete scanning result of "c.exe", received in VirusTotal at 04.22.2006, 15:45:08 (CET).
> 
> Antivirus	Version	Update	Result
> AntiVir	6.34.0.24	04.20.2006	no virus found
> Avast	4.6.695.0	04.21.2006	no virus found
> AVG	386	04.21.2006	no virus found
> Avira	6.34.0.56	04.22.2006	no virus found
> BitDefender	7.2	04.22.2006	Win32.Polipos.A
> CAT-QuickHeal	8.00	04.21.2006	no virus found
> ...


:-(

----------


## serge

> А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию?


Если к нему в следующей модификации приделают 'крылья', т.е. массовую e-mail рассылку, то эпидемия вполне возможна. Будет ли такая модификация? Не знаю.  Дело в том, что люди, способные написать вирус такой сложности, обычно не совсем отморожены  :Smiley:  Они понимают, что в случае эпидемии и больших сумм ущерба все чревато проблемами с правоохранительными органами. Если поймают, мало не покажется. Поэтому высокотехнологичные вирусы обычно не рассчитаны на массовое распространение и размножаются только в специально созданных условиях, т.е. представляют из себя концепт-вирусы и оседают в коллекциях.




> Были, например, высказывания, что после заражения система сразу же рушится.


Такое встречается сплошь и рядом. Очень многие поделия содержат множество ошибок и некорректно инфицируют файлы. В случае таких проблемных вирусов, лечение системы не дает полного восстановления работоспособности и поэтому лечение для них делается только в исключительных случаях. Если кто помнит, например, не так давно была такая история: http://virusinfo.info/showthread.php?t=3544





> "Если не видно разницы, то зачем платить больше?" (с) реклама


Не переживайте, все будет нормально  :Smiley:  Как видно, у части антивирусов (KAV, Sophos, eTrust-InoculateIT) еще не реализовано полное детектирование всех вариантов (как и у нас было вчера), но прогресс есть, люди работают. Подождем еще.

У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим. Вчера должно было ловиться большинство инфицированных файлов (из нашей коллекции так точно ловились все), но в самый последний момент обнаружилось, что часть файлов из коллекций других людей все же не детектируется. Скорее всего та же самая же проблема сейчас и у KAV и у остальных, если они еще ее не успели решить, пока я пишу эти строки  :Smiley: 

Кстати, на вашем месте, я бы не так сильно радовался. DrWeb ловит данный вирус очень хорошо, но все же не во всех файлах, он как минимум пропускал один инфицированный файл из нашей коллекции сегодня утром. Если интересно, можете попробовать потестировать сканер VBA32 на вашей коллекции, если мы что-то тоже пропускаем, потом обменяемся военнопленными  :Smiley:

----------


## незарег

> Если к нему в следующей модификации приделают 'крылья', т.е. массовую e-mail рассылку, то эпидемия вполне возможна. Будет ли такая модификация? Не знаю.  Дело в том, что люди, способные написать вирус такой сложности, обычно не совсем отморожены  Они понимают, что в случае эпидемии и больших сумм ущерба все чревато проблемами с правоохранительными органами. Если поймают, мало не покажется. Поэтому высокотехнологичные вирусы обычно не рассчитаны на массовое распространение и размножаются только в специально созданных условиях, т.е. представляют из себя концепт-вирусы и оседают в коллекциях.


его крылья - осел. should be enough. (c)




> Такое встречается сплошь и рядом. Очень многие поделия содержат множество ошибок и некорректно инфицируют файлы. В случае таких проблемных вирусов, лечение системы не дает полного восстановления работоспособности и поэтому лечение для них делается только в исключительных случаях. Если кто помнит, например, не так давно была такая история: http://virusinfo.info/showthread.php?t=3544
> 
> 
> 
> Не переживайте, все будет нормально  Как видно, у части антивирусов (KAV, Sophos, eTrust-InoculateIT) еще не реализовано полное детектирование всех вариантов (как и у нас было вчера), но прогресс есть, люди работают. Подождем еще.
> 
> У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим. Вчера должно было ловиться большинство инфицированных файлов (из нашей коллекции так точно ловились все), но в самый последний момент обнаружилось, что часть файлов из коллекций других людей все же не детектируется. Скорее всего та же самая же проблема сейчас и у KAV и у остальных, если они еще ее не успели решить, пока я пишу эти строки 
> 
> Кстати, на вашем месте, я бы не так сильно радовался. DrWeb ловит данный вирус очень хорошо, но все же не во всех файлах, он как минимум пропускал один инфицированный файл из нашей коллекции сегодня утром. Если интересно, можете попробовать потестировать сканер VBA32 на вашей коллекции, если мы что-то тоже пропускаем, потом обменяемся военнопленными


dr.Web его еще и лечит...

----------


## DaUzh

> У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим.


А 70% не хотите? Вы - антивирус?

----------


## serge

> А 70% не хотите? Вы - антивирус?


Да, хотим... пропущенные сэмплы. Или хотя бы какую-то их часть для анализа.

Правда давайте сначала попробуем спокойно разобраться: какой версией программы проверяли, точная дата выхода обновления (информация имеется в файле *.ini файле в каталоге VBA32), с какими настройками запускали сканирование?

Спрашиваю потому, что по информации из англоязычного форума (прямо сейчас проверить не могу), похоже, мы забыли обновить бета версию и у нее есть некоторые проблемы с детектированием Win32.Polipos  :Sad:  

Если проверка детектирования проводилась с помощью онлайн ресурсов, так и скажите. Если нет, скажите пожалуйста размер выборки для тестирования (сколько инфицированных файлов всего и сколько из них обнаружено) и попробуйте проверить хотя бы часть из пропущенных файлов на virustotal (там точно работает release build с самыми последними базами и самыми 'правильными' настройками) и сообщите, что получится.

Ждем результатов. Спасибо.

В целях тестирования можно:
1. скачать консольный сканер VBA32: ftp://anti-virus.by/pub/vbacl-window...0-20060420.zip
2. обязательно его обновить запуском 'update.bat'
3. проверить каталог с коллекцией вирусов: 'vba32w.exe /af/ha/ok/mr-/bt-/as-/r= [имя_каталога]'
4. посмотреть статистику и файл отчета vba32.rpt, если будет что-то интересное, сообщить тут

----------


## Синауридзе Александр

Почему у бета версии есть некоторые проблемы с детектированием? Можно поподробней?
Virustotal в последнее время работает нестабильно. Часто глючит, а иногда выдает вообще ошибочную информацию.
Да, и давно хотел спросить у разработчиков, а зачем убрали символ [/] при сканировании в beta ведь с ним скан смотрелся интереснее?

----------


## serge

> Почему у бета версии есть некоторые проблемы с детектированием? Можно поподробней?


Бета версия просто была обновлена чуть позже, чем релиз (поскольку у релиза приоритет выше). На данный момент Win32.Polipos уже должен детектироваться как релизом, так и последней бетой.




> Virustotal в последнее время работает нестабильно. Часто глючит, а иногда выдает вообще ошибочную информацию.


Наверное перегружен от наплыва пользователей, желающих проверить свои файлы в связи с последними событиями.




> Да, и давно хотел спросить у разработчиков, а зачем убрали символ [/] при сканировании в beta ведь с ним скан смотрелся интереснее?


Посчитали его ненужным аппендиксом, но об этом лучше в соответствующем топике: http://virusinfo.info/showthread.php?t=3623

----------


## Синауридзе Александр

Посчитали его ненужным аппендиксом, но об этом лучше в соответствующем топике: http://virusinfo.info/showthread.php?t=3623[/QUOTE]
Очень зря, что так посчитали. И многие такого мнения (кроме разработчиков). Назад Вы конечно это не вернете. А зря. :Embarassed:

----------


## Синауридзе Александр

Без [/] консольный VBA стал напоминать мне Aidstest :Stick Out Tongue:

----------


## Синауридзе Александр

Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол :Stick Out Tongue:  
Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость. :Stick Out Tongue:

----------


## saicat

И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"?  :Wink:  А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть  :Wink: 

http://forum.drweb.com/index.php?met...st&fromid=2810

----------


## Синауридзе Александр

[QUOTE=saicat]И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"?  :Wink:  А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть  :Wink: 

Да, верно говоришь. Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы :Stick Out Tongue:   А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать! :Wink:

----------


## Casper

> Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол 
> Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость.


А отчеты проверок не предоставите?  :Wink:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Ilya_K

> Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол 
> Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость.


Позвольте узнать, как вы определили, что эти файлы "грязные"?

И для них не плохо бы статистику с www.virustotal.com (скриншот).

----------


## Синауридзе Александр

> А отчеты проверок не предоставите?


Отчет я не собирался делать, но один из вариантов определяет только BitDefender и VBA. :Wink:

----------


## K_Mikhail

А Вы, всё-таки, сделайте отчёт, пожалуйста. Для наглядного подтверждения Ваших же слов.

----------


## Casper

> Отчет я не собирался делать, но один из вариантов определяет только BitDefender и VBA.


Всё таки Ваши слова имели бы бОльше веса, если бы Вы предоставили здесь скриншоты проверок этого файла на Virustotal!  :Smiley: 
Сам файл то, наверное, остался!  :Wink:

----------


## Синауридзе Александр

> Позвольте узнать, как вы определили, что эти файлы "грязные"?
> 
> Очень просто. Просканил архив антивирусами которые у меня были (BitDefender 8 и VBA console). Dr.Web on line - OK. Сейчас у меня NOD32 стоит, но он пока ничего не определяет. Правда вчера, он поймал эвристиком нового червя (молодец!!!). Я Вам вчера отправил его и через 30 минут получил ответ о добавлении в базы (новый Perf). 
> 
> И для них не плохо бы статистику с www.virustotal.com (скриншот).


На virustotal я заразу проверяю редко. virusscan.jotti.org вообще загружен. Приходится ждать до потери пульса. Лучше на сайтах антивирусного ПО проверить и надежнее.

----------


## K_Mikhail

> На virustotal я заразу проверяю редко. virusscan.jotti.org вообще загружен. Приходится ждать до потери пульса. Лучше на сайтах антивирусного ПО проверить и надежнее.


 virusscan.jotti.org на данный момент более менее свободен, а virustotal - что-то вроде эталона. Так что, ждём наглядного отчёта либо с virusscan.jotti.org, либо с virustotal.  :Smiley:

----------


## Tengu

> Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
> У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать!


о чем речь? о каком хвастовстве говорится?
Обратите внимание на хронологию событий. Доктор добавил в базы вирус win32.polipos, 
как многим тут казавшийся концепт-вирусом. Другие вендоры тоже получили его, но 
отложили из-за сложности или просто не обратили внимания. А доктор сделал свою работу, 
обезопасил своих пользователей от дальнейшего заражения. При этом никаких заявлений 
об опасности, которые тут называют PR-ом не было!
Вдруг на форумах начинают появляться вопросы что это за зверь, а может и не вирус вовсе? 
Пользователи описывают симптомы, продвинутые вычисляют зараженные файлы и кидают их на 
онлайн-проверки. Удивляются, что только доктор его детектирует, и начинают искать правду 
уже непосредственно на форуме доктора. А в это время остальные антивирусники продолжают 
молчать и откладывать вирус "на потом" (теперь то экземпляр зверя есть точно у всех ) или 
им пользователи ничего не присылают? Тогда это просто проблемы их отношения к 
пользователям и их количества.
Снова никто не "кричит". И вот сюрприз  :Smiley: , оказывается "концепт-вирус" заразил сотни 
файлов, причем не в лабораторных условиях, а в реальных, причем с весьма широкой географией. 
На форумах друг другу начинают рекомендовать качать DrWeb CureIt как единственное средство 
от вируса. Пользователи начинают теребить сапорты своих антивирусов, некоторые из которых 
только со второго раза признают в зараженных файлах вирус  :Smiley: . По просьбам пользователей 
доктор создает лечение!
Вирус расходится, быстро заражает систему и коллекции полезного софта ( скаченного за 
годы пользования p2p сетями ) у кого-то рушит системы. И только после этого доктор пишет 
предупреждение.
На что другие вендоры придумываю отмазки, вроде "это грязный PR", да и вовсе это не вирус, 
и заражать то он не умеет, и образец этого редкого коллекционного зверя мы получили только 
сегодня. Реакция понятна, надо как-то оправдать своё бездействие перед своими пользователями. 
И вот уже все уважающие себя антивирусники оперативно внесли polipos-а в свои базы, 
это здорово, все пользователи довольны.

----------


## незарег

[QUOTE=Синауридзе Александр]


> И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"?  А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть 
> 
> Да, верно говоришь. Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы  А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
> У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать!



Добавили еще 35 дней назад и неделю лечат уже.

----------


## Iceman

первопроходцем быть всегда приятно. правда, вылилось это в разбрызгивание отстоев по сторонам. ИМХО, не нужно этого делать здесь.

----------


## Синауридзе Александр

> Всё таки Ваши слова имели бы бОльше веса, если бы Вы предоставили здесь скриншоты проверок этого файла на Virustotal! 
> Сам файл то, наверное, остался!


Если мои слова для Вас веса не имеют мне все равно :Angry:  Сейчас меня уже гонят с работы! Смена пришла.
Файлы остались. Для неверующих отчет сделаю попозже :Angry:

----------


## Синауридзе Александр

На форумах друг другу начинают рекомендовать качать DrWeb CureIt как единственное средство 
от вируса. Пользователи начинают теребить сапорты своих антивирусов, некоторые из которых 
только со второго раза признают в зараженных файлах вирус  :Smiley: . По просьбам пользователей 
доктор создает лечение!

Не знаю, я лично не скачивал ничего. :Wink:  Сапорты не теребил.
И тем более не просил создавать лечение!

----------


## severyanin

Однако встрепенулось мировое сообщество!
Давно такого не припомню. Самое удивительное здесь то, что вирусок объявлен "полуколлекционным". Это, оказывается нынче оправдание для антивирусных компаний. "коллекционные"  уже не котируются, теперь дошло дело до "полуколлекционных". Кстати, кто мне объяснит, что значит "полу" в данной теме? Одним концом в коллекциях, а другим - на компьютерах пользователей?

Смешно еще, что говорится это все на форуме, где мало случайных людей - все так или иначе близки обсуждаемой теме. И тем не менее пытаются этих людей убедить, что "ведущие" антивирусные компании кладут вирусы In the Wild под сукно (или в очередь, неважно) и выдерживают его. Интересно, это потому что он полуколлекционный или потому что он сложный? Так что теперь можно будет четко сказать пользователям: все, что вам говорят про быстроту реакции - это чушь собачья. Решения о детектировании вирусов принимается совершенно из других соображений.

Интересно, что все западные компании резко рванули (причем молча) его добавлять в базы. На форумах - сначало просто признавали, что не ловят. Не кричали про дрвебовский пиар, просто признавали, что не сделали детектирование.  А сейчас - поскольку резонанс явно большой - все срочно напряглись. Как результативно - посмотрим, поскольку этот вирусок явно попадет в Virus Bulletin.

А в завершение - пару ссылок:
http://www.wilderssecurity.com/showthread.php?t=128576

и, наконец, 
http://securityresponse.symantec.com...w32.polip.html

Не самый большой авторитет, это понятно, но степень опасности и распространения определил, как видите, высоко.

Александру:  присоединяюсь к Tengu - Доктор Веб ничего никому не кричал в течение месяца.  Не передергивайте факты. Оставаться единственным антивирусом, детектирующим вирус спустя месяц после его появления, согласитесь, непривычно, мягко говоря. Причем достаточно пройтись по форумам, чтобы понять, что разговоры о вирусе пошли еще в марте - это не эпидемия, разумеется, но он жил и плодился!

----------


## Severyanin

> Н-да, устроенным представителями Dr.Web пиаром относительно собственной гениальности в отношении борьбы с Polipos, могли бы гордиться  даже матерые обещатели "конца Интернета"   Куда там, ЛК отдыхает  Удивляюсь, как только вебовцы успевают расхваливать себя на все лады чуть ли не на всех более-менее известных форумах, посвященных безопасности в Сети? Что, господа Данилов с Шаровым поставили "в ружье" все резервы? Есть повод воспеть "неоспоримое технологическое превосходство" собственного движка только потому, что у аналитиков веба было больше времени на анализ? Раскопать и распиарить на весь Интернет полу-коллекционный вирус, пусть даже технологически сложный, считается теперь круто? Новые методы маркетинга пошли в ход? ;-) Западные компании, кажется, вообще не слишком озабочены "эпидемией" Polipos.
> 
> Того и гляди, аналитики конкурирующих фирм между собой переругаются      Не хотелось бы. Пусть лучше все живут в мире между собой и   каждый совершенствует свой продукт. Тогда каждый пользователь сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?


Я читал-читал и не вытерпел. 
Все-таки что-то побудило Вас, уважаемый saicat, написать то, что Вы написали!
Где слова про "неоспоримое технологическое превосходство" на сайте "Доктор Веб"? Почему в кавычках? Ведь это значит цитирование. Кого Вы цитируете? На сайте www.drweb.com написано только это:

"Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web." Остального в упор не вижу.

Слово "эпидемия" в информации на сайте Доктора Веба хоть где-то упоминается? Или распространение теперь приравнивается к "эпидемии"?  Ну не нравится лично Вам, когда пиарится Доктор Веб - так и скажите! Хочется Вам, чтобы он сидел все время и молчал в тряпочку - ну и отлично! Зачем же перевирать то, что есть? Ну ладно бы написали они, что страшная эпидемия бушует уже 3 часа, что пользователи толпами рвутся на сайт drweb.com, админы побежали за дополнительными серверами обновлений, Dr.Web единственный детектирует зверя, а в ночь на Пасху будет конец интернета. 
Упреки были бы справедливы.  Но написали то ведь 30 дней спустя! 
И добавили его в базы в свое время молча - именно так, как Вы  теперь и советуете сделать...

----------


## saicat

> Не самый большой авторитет, это понятно, но степень опасности и распространения определил, как видите, высоко.
> 
> Александру:  присоединяюсь к Tengu - Доктор Веб ничего никому не кричал в течение месяца.  Не передергивайте факты. Оставаться единственным антивирусом, детектирующим вирус спустя месяц после его появления, согласитесь, непривычно, мягко говоря. Причем достаточно пройтись по форумам, чтобы понять, что разговоры о вирусе пошли еще в марте - это не эпидемия, разумеется, но он жил и плодился!


О самом появлении этого вируса я, к примеру, узнал не от "страдающих пользователей", хотя 




> Полиморфик путешествовал по интернету и заражал файлы целый месяц (c) Ilya_K


а из появления моря постов на форумах и СМИ о том, что "высокотехнологичный движок суперского антивируса распознает новый безжалостный и неуловимый вирус-полиморф..." и так далее. Факты никто не передергивает. Вставка этого вируса в базы представляет собой ,imho, больше академический интерес для аналитиков, как проверку своих знаний и умений. Я не буду говорить за СНГ - тем, кто там живет, виднее, но здесь, в Германии, никто не пострадал от этого "неизлечимо-неуловимого" монстра. По крайней мере, по нашим сведениям. Мы попросили всех клиентов фирмы, (а их почти две сотни, разбросанных по разным городам) просканировать свои машины в обязательном порядке - ни у кого не оказалось ни одного экземпляра этого вируса, хотя почти все сидят на широкополосном доступе в Сеть. Предугадывая возможный вопрос скажу, что антивирусное ПО, установленное на компах наших пользователей (я умышленно не называю здесь производителя дабы избежать встречных обвинений в попытке пропиарить это ПО), определяет наличие Win32.Polipos с вероятностью, приближающейся к 100%.

И кто-то скажет, что это не пиар? Чистейшей воды. Давайте тогда каждый начнет кричать: "Мы добавили вирус ХХХ на 32 секунды раньше конкурентов!" Я даже не поленился поставить клиента Gnutella, в надежде получить экземпляр этого вируса из "живой природы", но тщетно. Революция, о которой так долго (месяц) твердили большевики из города двух революций, не получилась  :Wink: 

Подведу итог: вместо того, чтобы грызть друг друга, доказывая, кто на свете всех умнее, всех полиморфней и быстрее, производителям антивирусного ПО из СНГ, imho, следовало бы, сотрудничая друг с другом, вывести свои продукты на такой технологический уровень, чтобы все западные производители AKA "собиральщики денег" отправились нервно курить и закрыли свой бизнес вообще  :Wink:  Вот тогда можно будет поднять реальные деньги, а так, они перекусают друг друга еще в СНГ, на радость западным колоссам с миллионными бюджетами на глиняных ногах.  :Appl: 

P.S. Доктор Веб я лично считаю одной из лучших программ в отрасли, но вот такая политика лично мне не по душе.

----------


## Ilya_K

> P.S. Доктор Веб я лично считаю одной из лучших программ в отрасли, но вот такая политика лично мне не по душе.


Удивительно, что до сих пор мало кто Win32.Polipos _нормально_ детектирует.

Вы бы предпочли, что бы пользователи других антивирусов работали с Win32.Polipos в системе?

Думаю, если бы Доктор Веб промолчал, так и не детектировал бы никто  :Undecided:  .

----------


## Severyanin

В том, что лично Вы и все клиенты Вашей фирмы, не нашли Polipos у себя на компьютерах, нет ничего удивительного.
Участие в p2p сетях в офисах однозначно не приветствуется. Политика безопасности в этих компаниях (наверняка, разработанная не без Вашего участия) в данном случае просто не допустила попадания этого червя в сети Ваших клиентов.
Но у антивирусной компании по определению информационная база больше. И информационный поток от пострадавших больше. Надеюсь, Вы не будете с этим спорить. 
Кстати, по поводу Вашего эксперимента с Gnutella - Вы не один, кто ничего не поймал. Могу предположить, что Вы не уделяли этому достаточно времени. Но те, кто к нам обратился, а также те, кто рассказал об этом на форумах (в том числе, на зарубежных) - они поймали его. А Вам просто повезло. Потому что если бы не повезло - не понятно, что бы Вы делали со своим антивирусным ПО.

А в остальном - я вижу, Вы особо не читаете то, что другие пишут... Не о 32 секундах шла речь, а о 30 днях! Такого еще просто не было...

----------


## saicat

> Удивительно, что до сих пор мало кто Win32.Polipos _нормально_ детектирует.


Тут я полностью согласен, благодаря "рекламе" Веба наши производители  антивирусов  быстро побежали с ним разбираться ;-) Но кому-то недостает самплов, которые они не могут получить опять-таки из-за малой распространенности вируса, ну а кто-то просто счел его низкоприоритетным.  




> Вы бы предпочли, что бы пользователи других антивирусов работали с Win32.Polipos в системе?


Работать с этим вирусом в системе невозможно - он рушит её в считанные секунды после инфицирования. Поэтому и представляет чисто академический интерес. Хотя, если выйдут отлаженные модификации без "детских болезней" и чуть более протестированные, то всё может быть. 




> Думаю, если бы Доктор Веб промолчал, так и не детектировал бы никто  .


Думаю, что все же бы сделали со временем, но не так быстро и без громких заявлений с трибуны. На скорость выхода обновлений других производителей Доктор, безусловно, повлиял в лучшую сторону. Многим аналитикам пришлось, похоже, ночевать в вирлабах, чтобы не уронить престиж продукта ;-)

----------


## saicat

> Потому что если бы не повезло - не понятно, что бы Вы делали со своим антивирусным


Ничего - вставили бы пистон своему производителю, чтобы те начинали усиленно думать в этом направлении. При определенном количестве таких жалоб любой нормальный производитель стал бы тут же разбираться в чем дело и разобрался бы через некоторое время. Ибо, афаик, вирусов, которые бы никто из аналитиков "ниасилил", в природе нет.




> А в остальном - я вижу, Вы особо не читаете то, что другие пишут... Не о 32 секундах шла речь, а о 30 днях! Такого еще просто не было...


Согласен. Я утрировал, говоря о 32 секундах  :Wink:  Вопрос в том, кто за эти 30 дней пострадал? Пусть тут скажут словечко. Тут *хочешь* поймать этот вирус и не можешь этого сделать.

И потом, господин Severyanin, Вы, похоже, как и Ilya_K, имеете прямое отношение к компании Доктор Веб. Было бы неплохо указать это в своей подписи - избавили бы от необходимости выяснять это эмпирическим путем. Насколько я вижу, тут принято называть себя, если ты имеешь отношение к одной из фирм-разработчиков.

----------


## AndreyKa

Этот Win32.Polipos обладает какой-то загадочной способностью уводить диалог о нем во флуд. Или на самом деле причина в том, что пользователи перестали понимать, что такое файловые вирусы, а антивирусные компании не видят в них больше угрозы?
Всем возмущенным "наглостью" компании Dr.Web, посмевший заявить, что у их антивирусного ядра – "высокий технологический уровень" я хочу напомнить, что пресс-релиз вышел еще и по тому поводу, что кроме детектирования антивирус Dr.Web получил возможность *лечения зараженных файлов*.

----------


## Sanja

Имеет Ж) на http://www.wilderssecurity.com об этом написано Ж)

Цитата - 

Also, I am glad to see other av experts like Severyanin (Dr.Web), Siarheika (VBA32), Inspector Closeau (former NOD32), Stefan Kurtzhals (Avira), and any others I missed........

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Я правда в последнее, так сказать, выпал из струи, в связи с тем что комп сломался, да и вообще нет времени. Но когда последний раз я отправлял новых зверей, то ДрВеб реагировали первые. Нужно отдать должное. Другое дело, что у них хватает других проблем.

----------


## Alexey P.

Dr.Web действительно очень прилично отладил работу своего вирус-лаба, что и не преминул пропиарить на подходящем  примере Polipos - надо же было хоть что-то получить от написанного ими довольно непростого лечения этого виря (вот лечение два дня писали, имхо).
 Тем более к дню рождения Технического директора  :Smiley: .
 Ничего зазорного в этом я лично не вижу.

ЗЫ: По телевизору и на сайтах некоторых антивирусов ежедневно идет куда более тупая и не подтвержденная ничем реклама - и ничего, все живы  :Smiley: .

----------


## pig

Насколько я помню, утром было спрошено "так что, сделать вам лечение?". Народ крикнул "да!", и вечером было сказано: "оно есть".

За то, что сделано - спасибо, это действительно прорыв. И KAV6, побивающий, как я понял, руткиты, - тоже прорыв. Всем спасибо. А когда этим начинают меряться, как пацанва в подворотне размером мужского достоинства - бррр... Главное, я не могу понять, зачем - мы же все по одну сторону баррикады, и общий враг вооружён и очень опасен.

----------


## Alexey P.

> Насколько я помню, утром было спрошено "так что, сделать вам лечение?". Народ крикнул "да!", и вечером было сказано: "оно есть".


 Угу. Скорость подбора ключа XTEA была до минуты на некоторых файлах. А уже потом сделали то, что есть - до 10 сек. В принципе и первый вариант лечения уже можно считать сделанным  :Smiley: .




> За то, что сделано - спасибо, это действительно прорыв. И KAV6, побивающий, как я понял, руткиты, - тоже прорыв. Всем спасибо. А когда этим начинают меряться, как пацанва в подворотне размером мужского достоинства - бррр... Главное, я не могу понять, зачем - мы же все по одну сторону баррикады, и общий враг вооружён и очень опасен.


 Ну так весна или где ? Это такая народная забава  :Smiley: .

----------


## незарег

> Если мои слова для Вас веса не имеют мне все равно Сейчас меня уже гонят с работы! Смена пришла.
> Файлы остались. Для неверующих отчет сделаю попозже


Юноша, твои слова веса не имеют не только для окружающих, но, очевидно, и для тебя самого. На форуме Dr.Web ты прямо обвинил Игоря Данилова и его фирму в преступлении, предусмотренном соответствующей статьей, а именно, в создании и распространении вируса. Я уже не говорю, что согласно российскому законодательству, человек может быть признан преступником только по решению суда, но ты даже мало-мальских доказательств своих "весомых" слов не привел. Милый юноша, это называется распространением клеветнических измышлений, порочащих честь и достоинство. Кстати, тоже деяние предусмотренное соответствующей статьей.

----------


## Exxx

Офф



> Форум Dr.Web совсем скучный и его я читал. 
> Чуть не уснул.


Зато здесь теперь жутко весело. Веселье аж на две с половиной темы растянули. 
Прочитал от начала до конца, мало что понял, но было не до сна - написано увлекательно и с юмором  :Smiley:  Всем искреннее спасибо.

----------


## SDA

21.04.06, Пт, 17:30
В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a. На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии, и не выявлено до сих пор. В то же время были зафиксированы множественные обращения по поводу других, более опасных вредоносных программ — например, Bagle, Gpcode, LdPinch и целого ряда других, значительно распространившихся в Сети в последние недели». В Panda Software нам заявили, что образец вируса у них уже имеется, не сообщив других подробностей. На данный момент, по информации «Лаборатории Касперского», кроме Dr.Web, вирус детектируют Avira (определяется как W32/Regenig) и Fortinet (W32/Polipos.V12).

В «Доктор Веб», в свою очередь, говорят, что на официальном сайте Fortinet в режиме онлайн вирус не обнаруживается, а Avira не определял его еще вчера. «До сих пор ни один известный на российском рынке антивирус не определяет этот вирус», — заявили CNews в пресс-службе «Доктор Веб»

Как сообщили корреспонденту CNews специалисты «Доктор Веб», ими были получены десятки запросов от пользователей (в основном, пользователей P2P-клиентов), пострадавших от Polipos, из разных стран, на счету вируса — тысячи зараженных файлов. Степень опасности вируса оценивается как высокая: Polipos пытается блокировать нормальную работу антивирусов, удаляя важные для них файлы, может раскрывать конфиденциальную информацию, открывая доступ к зараженной системе.

Специалисты «Доктор Веб» разработали и процедуру лечения файлов, зараженных вирусом Win32.Polipos. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит — все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.

Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при ее наличии — «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.
 CNews.ru

----------


## rav

Всем привет!

Бросьте мне кто-нибудь сэмпл виря для тестов, а то меня тут народ на форуме просит прогнать его под DW.

----------


## Xen

Да и мне тоже

----------


## Ilya_K

> В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a






> Complete scanning result of "c.exe", received in VirusTotal at 04.24.2006, 17:16:04 (CET).
> 
> Antivirus	Version	Update	Result	
> *AntiVir	6.34.0.24	04.20.2006	no virus found* 
> *Avast	4.6.695.0	04.21.2006	no virus found	*
> *AVG	386	04.22.2006	no virus found	*
> Avira	6.34.1.58	04.24.2006	W32/Polipos	
> BitDefender	7.2	04.24.2006	Win32.Polipos.A	
> *CAT-QuickHeal	8.00	04.24.2006	no virus found	*
> ...





> На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии.


А упреждение угрозы?
Или хотя бы пользователям своим хоть что-то на форуме ответить...

Да, как видно до сих пор, многие просто игнорируют проблему.





> Complete scanning result of "asd.exe", received in VirusTotal at 04.24.2006, 17:08:56 (CET).
> 
> Antivirus	Version	Update	Result	
> *AntiVir	6.34.0.24	04.20.2006	no virus found	*
> *Avast	4.6.695.0	04.21.2006	no virus found	*
> *AVG	386	04.22.2006	no virus found	*
> Avira	6.34.1.58	04.24.2006	W32/Polipos	
> BitDefender	7.2	04.24.2006	Win32.Polipos.A	
> *CAT-QuickHeal	8.00	04.24.2006	(Suspicious) - DNAScan	*
> ...

----------


## Sanja

Вот чего Каспы говорять (отмазка, но очень веселая)

Данилов какой то напрочь безумный чувак ... 
[deleted]
такое детектирование каждый дурак сделать может... [deleted].. мде... 

-- 
Senior Virus analyst, Kaspersky Lab. 
Malware Research and Analysis Group 


и 


> Aleks.. Ну как там у вас с 99 / 100% детектом полипоса?! А лучше еще и с 
> лечением Ж) 

Делаем делаем. 
Юзеры не жалуются, партнеры не жалуются. Лечение, кстати, не сильно сложная задача (по сравнению с детектированием). 

> ПС - vba32 по качеству детекта уже обогнала дрвеб )) на 1 сампл. А нас (вас) 
> пока %50 ловится Ж( 

а VBA говорит что мы берем 80%  
А что касается самплов которые веб не берет - у нас их примерно 1000 есть и чего ? ) 
пусть дальше радуются... 

GG

----------


## Sanja

> Угу. Скорость подбора ключа XTEA была до минуты на некоторых файлах. А уже потом сделали то, что есть - до 10 сек. В принципе и первый вариант лечения уже можно считать сделанным .
> 
> 
>  Ну так весна или где ? Это такая народная забава .


А вы уверены что там XTEA?  :Smiley: )) А если открыть иду то сомнения возникают.

XTEA 64 bit data na 128 bit key
А у вируса - 32 bit data(DWORD) & 32 bit key(DWORD)

Вобщем не XTEA там....

----------


## Ilya_K

> Вот чего Каспы говорять (отмазка, но очень веселая)
> 
> Данилов какой то напрочь безумный чувак ... 
> [deleted]
> такое детектирование каждый дурак сделать может... [deleted].. мде... 
> 
> -- 
> Senior Virus analyst, Kaspersky Lab. 
> Malware Research and Analysis Group 
> ...



А ещё смешнее сам факт таких слов  :Smiley: ))))

Болтаем-болтаем, а задетектить нормально не можем  :Grin:   :Grin:

----------


## Sanja

Это уже не ко мне ж) Подождем увидим как говорится...

----------


## Sanja

Кста илья, в посте выше, там где вы написали "Да, как видно до сих пор, многие просто игнорируют проблему." вы 2 раза проверяли один и тотже файл? или 2 разных?!

----------


## Ilya_K

> вы 2 раза проверяли один и тотже файл? или 2 разных?!


Естественно, два разных.

Я не знаю, игнорируют ли они проблему или просто не могут создать запись для устойчивого детектирования. Загадка для меня. Серьёзно.

----------


## userr

> Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.


http://security.compulenta.ru/264929/ - оригинал новости
http://www.anti-virus.by/press/viruses/1749.html - во что новость превратилась у вас. 
Вот это действительно некрасиво.  :Sad:  По общению на этом форуме у меня сложилось очень высокое мнение о человеческих и профессиональных качествах коллектива VBA. Не хотелось бы его пересматривать.  :Sad:

----------


## Dr.Xmas

> http://security.compulenta.ru/264929/ - оригинал новости
> http://www.anti-virus.by/press/viruses/1749.html - во что новость превратилась у вас. 
> Вот это действительно некрасиво.  По общению на этом форуме у меня сложилось очень высокое мнение о человеческих и профессиональных качествах коллектива VBA. Не хотелось бы его пересматривать.


в этом нет и не было злого умысла. не секрет, что в компаниях существует разделение труда, и позиция технических специалистов может расходиться с позицией рекламщиков, коммерсантов и т.п. новости готовят люди, которые может быть далеки от существа этого вопроса, но у которых есть свои взгляды на тот же подбор новостей для дайджеста. чтобы доказать, что это действительно недоразумение, новость удалена с нашего сайта.

----------


## Sanja

Кста Илья - можете прислать c.exe на alex(+at+)ssxp.net

----------


## Ilya_K

> Кста Илья - можете прислать c.exe на alex(+at+)ssxp.net


Семпл предоставить не могу. Такова политика компании.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Sanja

Ок.... ПС.... (качество детекта) Ж)

----------


## ALEX(XX)

Итак, теперь и ESET добавила заразу в базы 


НОД следует обновить, версия базы 1.1505

----------


## незарегистр

> Работать с этим вирусом в системе невозможно - он рушит её в считанные секунды после инфицирования. Поэтому и представляет чисто академический интерес. Хотя, если выйдут отлаженные модификации без "детских болезней" и чуть более протестированные, то всё может быть.


Я не эксперт, а рядовой потерпевший... Сегодня утром NAV обновил базу и нашел около сотни зараженных полипом файлов и отправил их в карантин. Прошу отметить, система не обрушилась, хотя работать стало затруднительно - все основные програмы стали недоступны. Даже перезагрузиться можно без проблем... 
Это так, к вопросу об академическом интересе...

----------


## saicat

> Я не эксперт, а рядовой потерпевший... Сегодня утром NAV обновил базу и нашел около сотни зараженных полипом файлов и отправил их в карантин. Прошу отметить, система не обрушилась, хотя работать стало затруднительно - все основные програмы стали недоступны. Даже перезагрузиться можно без проблем... 
> Это так, к вопросу об академическом интересе...


Хм... И вы ничего "подозрительного" не замечали до тех пор, пока вам ваш NAV на это не указал? ;-) Как произошло заражение? Умышленно или естественным путем (может хоть одна жертва здесь всплывет)  :Wink:  

Что думаете делать? Что говорит НАВ по этому поводу? Лечит? Или лечилку от Доктора заюзаете?  :Wink:

----------


## Ilya_K

> Ок.... ПС.... (качество детекта) Ж)


Решил поразмножать...

Dr.WEB:



> Infected:        328



Kaspersky:



> [25/04/06 17:37:20 I] Scan summary: Files=328 Folders=0 Archives=11 Packed=4 Infected=213 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:11 ScanSpeed=25560.727 Kb/s



VBA32:



> scanned     : 328   
> infected    : 325

----------


## Sanja

На 19.40 мне прислали мыло - 

Доделали детектирование.

С уважением, Денис Назаров.
Вирусный аналитик, ЗАО "Лаборатория Касперского"

Интересно как теперь дела обстоят?!

----------


## Ilya_K

> Доделали детектирование.


В обновлении уже есть? %)




> [25/04/06 21:25:13 I] Scan summary: Files=328 Folders=0 Archives=0 Packed=0 Infected=214 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:05 ScanSpeed=56233.598 Kb/s


+1 =))

----------


## Geser

Мда, до сих пор нет 100% детекта. Счастье что этот вирус не распространялся через какой-то эксплойт. Иначе было бы совсем плохо.

----------


## ALEX(XX)

Да не стоит из-за этого вируса так переживать. Раздули прямо "мировой пожар". Получился очень хороший рекламный ход.  :Smiley:  В своё время с OneHalf больше проблем было.

----------


## Alexey P.

Serge очень точно подметил - хорошо, что к нему не приделали крылья. У людей, которые способны такое написать, чаще хватает ума не делать подобных вещей. Но сейчас оно уже есть много у кого.
 Рассылает же какая-то [sensored] Nyxem.E. Три рассылки в апреле точно были - мне отлупы приходят с несуществующих адресов на мой фидошный (!) адрес. Хотя уж та поделка и в подметки полипосу не годится.

----------


## незарегистр

> Хм... И вы ничего "подозрительного" не замечали до тех пор, пока вам ваш NAV на это не указал? ;-) Как произошло заражение? Умышленно или естественным путем (может хоть одна жертва здесь всплывет)  
> 
> Что думаете делать? Что говорит НАВ по этому поводу? Лечит? Или лечилку от Доктора заюзаете?


В порядке поступления вопросов...
Несколько дней назад фаервол NIS стал переспрашивать допуск в интернет программ, которые давно уже имели разрешение - файрфокс, даунлоад акселерактов и т.п. Я это списал на сбой в его таблицах...  Было еще впечатление, что есть левый траффик, который никому нельзя приписать. Что такой вирус есть я знал, но надеялся на нортона, зря как оказалось...
НАВ их обнаруживает и отправляет в карантин. Лечить не может. Вчера вечером я им объявил амнистию - выпустил из карантина - примерно 150 штук, отключил НАВ и пустил куреит...  За вечер он все ВОССТАНОВИЛ. Кроме 5 или 6 файлов. Один из них -акробат, а остальные мне нафиг не нужны - давно собирался снести, да руки не доходили. Так что я отделался минимальными потерями. Вирус явно попал с емула. Жил в машине несколько дней.

----------


## незарегистр

> Serge очень точно подметил - хорошо, что к нему не приделали крылья. У людей, которые способны такое написать, чаще хватает ума не делать подобных вещей. Но сейчас оно уже есть много у кого.
>  Рассылает же какая-то [sensored] Nyxem.E. Три рассылки в апреле точно были - мне отлупы приходят с несуществующих адресов на мой фидошный (!) адрес. Хотя уж та поделка и в подметки полипосу не годится.


Я думаю, что немало народу его от меня, например, получили... У меня емул работает 24 часа в сутки 360  дней в году... Хорошо исходящий канал у меня тонкий - очень много уйти не могло... и файлы Р2Р редко идут с одного места целиком...

----------


## Alex Gr

странно, почему то все зациклились на детектировании... А лечение? Тут еще есть проблемки

----------


## Alex Gr

вот мой NOD 32 его детектит, а с лечением как то не совсем... примерно как с последним Encoder - тело легко находит и удаляет, а вот файлы остаются зашифрованными

----------


## UsAr

...

----------


## Ilya_K

С полей сражения...

Dr.WEB:



> Scanned: 188                 Cured: 0
>       Infected: 188               Deleted: 0
>  Modifications: 0                 Renamed: 0
>     Suspicious: 0                   Moved: 0
>         Adware: 0                 Ignored: 0
>         Dialer: 0         
>           Joke: 0         
>       Riskware: 0               Scan time: 0:00:07
>       Hacktool: 0              Scan speed: 28448 Kb/s


VBA32:



> Directories       : 1       Files in archives:      Files on disks:
> Archives:                   - total       : 0       - total       : 188   
> - scanned         : 0       -  scanned    : 0       - scanned     : 188   
> - contain viruses : 0       -  infected   : 0       - infected    : 185   
> - deleted         : 0       -  suspected  : 0       - suspected   : 0


Kaspersky:



> [27/04/06 17:29:04 I] Scan summary: Files=188 Folders=0 Archives=0 Packed=0 Infected=183 Warnings=0 Suspicios=0 Cured=0 CureFailed=0 Corrupted=0 Protected=0 Error=0 ScanTime=00:00:03 ScanSpeed=66378.993 Kb/s

----------


## Sanja

Никак. Пока не собираемся. Кроме ярых поклонников  Веба, никто не просил.

Sincerely yours,
Denis Nazarov,
Virus analyst.
_____________________
Kaspersky Lab Ltd
Moscow, Russia
Tel/Fax: +7 (095) 797-8700
E-mail: [email protected]
Internet: http://www.kaspersky.com, http://www.viruslist.com

Если кому нужно лечение - пишите им...

----------


## Iceman

ИМХО, в таких случаях по умолчанию необходимо делать. А иначе для чего нужен антивирус?

----------


## Vit

Вот,что сегодня написал один пользователь на сайте- http://www.wilderssecurity.com/showthread.php?t=129468 (это был не я,честно).Привожу краткий перевод:

"Моя система была инфицирована  Win32.Polipos virus .У меня  Panda Platinum Internet Security 2005 с последними обновлениями.Программа обнаружила Полип,но не смогла удалить.Все что она смогла сделать,так это переименовать файлы,но вирус продолжал распространяться в компьютере.Я загрузил Dr.Web CureIt,проверил машину и удалили вирус.
Панда все только осложнила,переименовав важные файлы от Windows,сделав их нерабочими,что проивело к краху системы.Похоже,что вирус атаует саму Панду.К счастью у меня  была офф-лайн поддержка жесткого диска Acronis True Image.
У меня есть копия  McAfee Antivirus,которую я установил после Панды и она не нашла вирус.Как и вчера Mcafee не детектирует Полип.разве эта зараза не давно впо нету гуляет?"

Я не могу понять действительно ли так все серьезно с этим вирусом или эта информационная война?Если этот вирус так опасен,почему "гранды" так пассивны?Но не могут же лаборатории у Битдефендера,Панды и Касперского быть НАМНОГО слабей чем у Доктора Веба?!!!
Этот Полип может определяться проактивно резидентом от ВБА,Касперского или Нода?Или только сканированием?Если я не сижу в пиринговой связи,страшен ли этот вирус?Прочитав резюме вируса на Докторе и Битдефендера,так и не понял опасен ли он для простого серфинга.

----------


## ALEX(XX)

> Вот,что сегодня написал один пользователь на сайте- http://www.wilderssecurity.com/showthread.php?t=129468


И что следует из этого?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> Если я не сижу в пиринговой связи,страшен ли этот вирус?Прочитав резюме вируса на Докторе и Битдефендера,так и не понял опасен ли он для простого серфинга.


Судя по описанию что бы заразиться вирусом нужно запустить зараженный им файл. Т.е. при простом серфинге им нельзя заразиться. Но это пока.

----------


## Alexey P.

Бедный Ikarus запугали, в каждом третьем экзешнике ему полипос мерещится  :Smiley: .

Ikarus	0.2.59.0	04.28.2006	P2P-Worm.Win32.Polipos.a

----------


## Синауридзе Александр

> Итак, теперь и ESET добавила заразу в базы 
> 
> 
> НОД следует обновить, версия базы 1.1505


Это очень хорошая новость для пользователей NOD! :Cheesy:  
Интересно, а у них на сайте про Polipos написано?

Сегодня проверю образцы. :Wink:  Спасибо.

----------


## Синауридзе Александр

> Да не стоит из-за этого вируса так переживать. Раздули прямо "мировой пожар". Получился очень хороший рекламный ход.  В своё время с OneHalf больше проблем было.


Да Ваша правда. OneHalf - это действительно сильно. Я помню в институте учился как раз когда началась эпидемия этого файлово-загрузочного полиморфа. Тогда Dr.Web вытаскивал совсем мертвые машины и полностью расшифровывал весь винт. :Smiley:

----------


## Синауридзе Александр

> вот мой NOD 32 его детектит, а с лечением как то не совсем... примерно как с последним Encoder - тело легко находит и удаляет, а вот файлы остаются зашифрованными


Я у себя тоже посмотрю потом обязательно напишу. :Smiley:

----------


## MOCT

> Да Ваша правда. OneHalf - это действительно сильно. Я помню в институте учился как раз когда началась эпидемия этого файлово-загрузочного полиморфа. Тогда Dr.Web вытаскивал совсем мертвые машины и полностью расшифровывал весь винт.


а если еще поднапрячь память, то вспомнится, что на первых порах антивирусы в процессе лечения убивали работоспособные зараженные машины

----------


## Rene-gad

> Так же было написано, что только Доктор может успешно лечить этот вирус благодаря высокому технологическому уровню антивирусного ядра.


Статья в Онлайн-Варианте немецкого журнала PCWelt ставит это под сомнение. Автор Франк Циман (Frank Ziemann) рекомендует при обнаружении этого вируса полную переустановку системы.

----------


## ALEX(XX)

> а если еще поднапрячь память, то вспомнится, что на первых порах антивирусы в процессе лечения убивали работоспособные зараженные машины


Да, частенько бывало...  :Sad:

----------


## saicat

> Статья в Онлайн-Варианте немецкого журнала PCWelt ставит это под сомнение. Автор Франк Циман (Frank Ziemann) рекомендует при обнаружении этого вируса полную переустановку системы.





> Eine zuverl&#228;ssige Reparatur der Dateien ist kaum m&#246;glich. Daher sollten infizierte Systeme besser komplett neu aufgesetzt werden.


Сейчас фанаты Доктора будут бить герра Цимана ногами. Больно  и по печени. Как во время второй мировой (P.S. Тем более, что скоро День Победы  :Wink:  )

----------


## AndreyKa

> Сейчас фанаты Доктора будут бить герра Цимана ногами. Больно  и по печени. Как во время второй мировой (P.S. Тем более, что скоро День Победы  ;-) )


Нет, не будем.  :Smiley:  Жалость - вот то, чего он достоин.

----------


## Alexey P.

А что герру делать, ежели его антивирус еще не лечит заразу.
О cureit, видимо, и не слышал. С вирусом знаком по описанию симантека.
 Почитал рекомендации MS и применяет теперь куда попало.

----------


## Rene-gad

@ll
Скажу сразу: я не поклонник ни Frank Ziemann, ни журнала PCWelt и к написанному в нём отношусь всегда критически.



> А что герру делать, ежели его антивирус еще не лечит заразу.


А он не пишет антивирусы, он их тестует. И не дурит народ, уверяя, что его Антивирус распознаёт и лечит даже те вирусы, которые ещё не были ITW.



> Почитал рекомендации MS и применяет теперь куда попало.


А Вы, конечно, считаете рекомендации MS глупостью, написанной от нечего делать? 



> Жалость - вот то, чего он достоин.


Как каждый, который имеет своё мнение и мужество, высказать его.



> Сейчас фанаты Доктора будут бить герра Цимана ногами. Больно и по печени. Как во время второй мировой


А откуда Вам известно, кто и кого бил по печени во время второй мировой? И почему надо бить кого-либо только за то, что он что-то такое рекомендует, что вам не нравится? 
Ну почему никого не удивляет тот факт, что на сегодняшний день не существует абсолютно 100% методов лечения рака, СПИДа да и некоторых других опасных заболеваний?  Невозможность же лечения компьютерных вирусов и рекомендации MS, в некоторых случаях переустановить систему, вызывает у производителей антивирусных программ в лучшем случае улыбку. Ну ни один же Антивирусописатель не станет утверждать, что он знает Винду лучше, чем весь MS вместе взятый! Только в этом вопросе он пытается показать, что именно он святее папы и только он является истинным наместником господа в виртуальном мире.
SCNR

----------


## Geser

> Невозможность же лечения компьютерных вирусов и рекомендации MS, в некоторых случаях переустановить систему, вызывает у производителей антивирусных программ в лучшем случае улыбку. Ну ни один же Антивирусописатель не станет утверждать, что он знает Винду лучше, чем весь MS вместе взятый! Только в этом вопросе он пытается показать, что именно он святее папы и только он является истинным наместником господа в виртуальном мире.
> SCNR


Конечно, никто не может дать 100% гарантии что обраруженный руткит, троян или вирус вылечен окончательно и бесповоротно. А кто может дать 100% гарантию что на компьютере на котором антивирус не нашел ничего, на самом деле нет руткита или вируса? Никто. По логике вещей предлагаю МС написать что Виндовс нужно переустанавливать 2 раза в день для профилактики руткитов и вирусов.
Параноики, конечно, могут переустанавливать Винду каждый раз когда антивирус нашел что-то в Temporary Internet Files. Остальные понимают что риск есть всегда, и действуют по ситуации.

----------


## Alexey P.

> @ll
> Скажу сразу: я не поклонник ни Frank Ziemann, ни журнала PCWelt и к написанному в нём отношусь всегда критически.


 Ну так в чем проблема ?
 В этом же треде чуть раньше человек же написал реальный результат лечения - из 150 зараженных файлов при помощи CureIt вылечены все, кроме шести. То есть лечить полипос можно. Герр Циманн не написал ни слова о своем опыте лечения, а вот чтоб рекомендовать переустановить/восстановить из бэкапа и т.д. - много труда не надо. Зачем давать такие рекомендации, взятые с потолка - не совсем понятно.




> А он не пишет антивирусы, он их тестует. И не дурит народ, уверяя, что его Антивирус распознаёт и лечит даже те вирусы, которые ещё не были ITW.


 Никто и не утверждал, что герр пользуется исключительно самонаписанным антивирусом. А вот народ он дурит, рекомендуя в данном конкретном случае не слишком оправданную переустановку.



> А Вы, конечно, считаете рекомендации MS глупостью, написанной от нечего делать?


 Нет, почему же. Я считаю рекомендации  MS по переустановке системы после заражения абсолютно верными - но лишь в том конкретном случае, когда они были даны. А именно - гарантированно и в кратчайшие сроки восстановить работоспособность сети из ок. 2000 компьютеров после взлома. Обнаружить оставленные там закладки было действительно нетривиальной задачей.
 Но какое это имеет отношение к заражению полипосом ? Вас что, взломали и оставили в системе заказной бэкдор ? Такого функционала в полипос нет.



> Как каждый, который имеет своё мнение и мужество, высказать его.


 А при чем тут мужество ? Рекомендовать стандартные вещи мужества как бы не требуется, даже наоборот. А после не слишком верно истолкованной журналистами рекомендации MS этого ж только ленивый не посоветует.
 Спросите любого ламера - что надо делать, если винда глючит ? - Дык отформатировать и переустановить, ясен день. Ума на такие рекомендации не надо. Вот на лечение, которое хелперы этого форума проводят в разделе "Помогите" - тут и ум требуется, и опыт, и порой чуток телепатии.



> А откуда Вам известно, кто и кого бил по печени во время второй мировой? И почему надо бить кого-либо только за то, что он что-то такое рекомендует, что вам не нравится? 
> Ну почему никого не удивляет тот факт, что на сегодняшний день не существует абсолютно 100% методов лечения рака, СПИДа да и некоторых других опасных заболеваний?  Невозможность же лечения компьютерных вирусов и рекомендации MS, в некоторых случаях переустановить систему, вызывает у производителей антивирусных программ в лучшем случае улыбку. Ну ни один же Антивирусописатель не станет утверждать, что он знает Винду лучше, чем весь MS вместе взятый! Только в этом вопросе он пытается показать, что именно он святее папы и только он является истинным наместником господа в виртуальном мире.
> SCNR


 Rene-gad, расслабьтесь. Это шутка юмора. Никто никого бить не будет.

----------


## Rene-gad

@Alexey P.



> В этом же треде чуть раньше человек же написал реальный результат лечения - из 150 зараженных файлов при помощи CureIt вылечены все, кроме шести.


По этому поводу уже высказался Geser , в чём я его полностью поддерживаю



> Конечно, никто не может дать 100% гарантии что обраруженный руткит, троян или вирус вылечен окончательно и бесповоротно.


Следующий вопрос: чем было установлено, что 144 файла вылечены? Тем же антивирусом, который работал на пораженном компьютере, и еrgo, не заслуживающим полного доверия. Ergo сисетему, пораженную вирусом (я оставляю Spy/Adware и Hijacker за скобками) нельзя считать достаточно  безопасной. Если кого-то устраивают 144/150=96% безопасности - битте шён.



> Вот на лечение, которое хелперы этого форума проводят в разделе "Помогите" - тут и ум требуется, и опыт, и порой чуток телепатии.


Ну ум - это дело такое.. :Wink:  , опыт -согласен, а вот насчёт телепатии - это вроде как с хрустальным шариком ?  А зачем же Вы тогда просите подвесить логи?  :Smiley:   А теперь ещё вопрос: сколько длится, ну по Вашему опыту, среднестатистическая очистка сисемы? По моему опыту 2-3 дня. Результат - как говорили в Одессе, "или да или же нет". Переустановка системы длится  2-3 часа. Результат гарантирован. И формула Время = Деньги ещё не отменена.



> Это шутка юмора.


Ну спасибо, что объяснили. А я уж думал, saicat собирается и в самом деле метелить журналиста.  :Cheesy:  А в общем я не люблю юмор, где кто-то кому-то на потеху другим отбивает печень. А Вы?
@Geser



> По логике вещей предлагаю МС написать что Виндовс нужно переустанавливать 2 раза в день для профилактики руткитов и вирусов.


А что ответил МС на Ваше предложение  :Wink:  ?



> Остальные понимают что риск есть всегда, и действуют по ситуации.


Вашими бы устами да мёд пить. Хорошо бы ещё было, чтобы остальные понимали, что гораздо проще сократить риск посещениями http://windowsupdate.microsoft.com/ и непосещениями сомнительных страничек, чем потом вычищать заразу.
ПС: Сорри, такой оффтоп вырос. Может передвинете куда или удалите после прочтения?

----------


## Alexey P.

> @Alexey P.
> Следующий вопрос: чем было установлено, что 144 файла вылечены? Тем же антивирусом, который работал на пораженном компьютере, и еrgo, не заслуживающим полного доверия. Ergo сисетему, пораженную вирусом (я оставляю Spy/Adware и Hijacker за скобками) нельзя считать достаточно  безопасной. Если кого-то устраивают 144/150=96% безопасности - битте шён.


1. А Вы читали то сообщение ? Вообще-то там два антивируса работали. И 96% - это корректно вылеченных файлов, т.е. работавших после лечения. Это же не значит, что в 4% остался вирус.
2. Обезвредить вирус может любой антивирус, способный его задетектить. А вот вылечить - не любой. Корректность лечения проверяется работоспособностью файла после оного лечения.Безопасность от этого никоим образом не страдает.

 "Паранойя - профессиональное заболевание специалистов по безопасности. Но любители могут пойти в этом гораздо дальше" (с)
 Правила эхоконференции RU.CRYPT.

 ЗЫ: Я, конечно, не могу настаивать - переустанавливайте хоть три раза на дню, после завтрака, обеда и ужина. Но рекомендовать-то другим такое зачем ? Тем более не подкрепляя абсолютно никакими аргументами - одна кристалльно чистая вода. 




> ПС: Сорри, такой оффтоп вырос. Может передвинете куда или удалите после прочтения?


 Ок, чуть позже почистим.
 Думаю, Вы и сами не особо уверены в том, что пишете. Так, настроение ...

ЗЗЫ: Еще немного по поводу переустановки - случаи, как известно, разные бывают. Вы убеждены, что это всегда и везде возможно, а главное - оправданно - опять же всем, всегда и везде ?

----------


## SDA

Вклиниваюсь в спор:
Если на винте куча важной информации, плюс большое количество нужных программ (нет дистрибутивов и установка на чистый винт займет кучу времени) соответственнно нет заранее сделанного бэкапа (а многие ли юзеры страхуются заранее?), то формат винта обойдется "большой кровью". Так, что лучше лечится.
P.S. и не все такие правильные, чтобы не посещать сомнительные странички. По крайне  мере не пользоваться при этом  IE, но это другая тема.

----------


## Rene-gad

@Alexey P.



> Корректность лечения проверяется работоспособностью файла после оного лечения.Безопасность от этого никоим образом не страдает.


А как Вы можете быть уверены, что файл после лечения работает так, как оригинальный файл? Ну кто может сказать, что какой-нибудь вылеченый *.dll не соединяет Ваш компьютер с чем-нибудь нехорошим? Ну может *Вы лично* и можете, а пользователь?



> Я, конечно, не могу настаивать - переустанавливайте хоть три раза на дню, после завтрака, обеда и ужина.


Так у меня не бывает вирусов.  :Smiley:  



> Думаю, Вы и сами не особо уверены в том, что пишете. Так, настроение ...


Нет. Это убеждение, основанное на многолетней практике онлайн-помощи  (см. например тут). Пробегите глазами топики и Вы поймёте, что я не совсем неправ.



> Вы убеждены, что это всегда и везде возможно, а главное - оправданно - опять же всем, всегда и везде ?


Опять же нет. Просто для непродвинутого пользователя это проще, быстрее и надежнее, чем чистка системы.



> Если на винте куча важной информации, плюс большое количество нужных программ (нет дистрибутивов и установка на чистый винт займет кучу времени) соответственнно нет заранее сделанного бэкапа (а многие ли юзеры страхуются заранее?), то формат винта обойдется "большой кровью". Так, что лучше лечится.


1. Лучше всё-таки делать бэкап, если информация на винте действительно важная. :Smiley: 
2. А не большей ли кровью обойдётся, если bad guy всё-таки получит доступ к важной информации?



> P.S. и не все такие правильные, чтобы не посещать сомнительные странички.


Так тут просто чуть-чуть ума не помешает. Ну не прийдёт же нормальному человеку в голову ехать на собственном автомобиле по левой стороне улицы или на красный свет, а в Интернете - пожалуйста.



> По крайне  мере не пользоваться при этом  IE, но это другая тема.


В общем АСК, хотя я знаю пользователей, которые и с ИЕ не получают вирусов (см. выше - почему).

----------


## AndreyKa

> Статья в Онлайн-Варианте немецкого журнала PCWelt ставит это под сомнение. Автор Франк Циман (Frank Ziemann) рекомендует при обнаружении этого вируса полную переустановку системы.


Хорошо, что не все читают журнал PCWelt.
Вот пример того, что есть возможность обойтись без переустановки:
http://www.wilderssecurity.com/showt...081#post742081
P.S. Это иллюстрация, а не руководство к действию.

----------


## Rene-gad

@AndreyKa



> Хорошо, что не все читают журнал PCWelt.


ACK!   



> Вот пример того, что есть возможность обойтись без переустановки


В данном случае - наверно да. Мнения о полезности и эффективности Removal Tools существуют однако разные.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alexey P.

> Так у меня не бывает вирусов.


 И кто Вам об этом сказал ?
Если у Вас нет паранойи, это не значит, что они за Вами не следят (с)

 По поводу "неблагонадежных страничек". Если уж Вы сомневаетесь в качестве лечения антивирусом и собираетесь переустанавливать систему на каждый чих, то тем более некорректно употреблять это устаревшее понятие.
 Не бывает страничек "благонадежных" и "неблагонадежных". Троян можно получить на любой, самой на что ни на есть "благонадежной" странице. Недавний не слишком рекламировавшийся скандал с размещением троянской закладки на сайте ФНС России www.nalog.ru - еще одно тому подтверждение. Специалисты в этой области могут вспомнить и случаи заражения посетителей сайтов MS. Да, это, конечно, исключения, но они были.
 Так что нефиг уклоняться от исполнения священной обязанности читателя вышеупомянутого журнала - переустановки системы после каждого подключения к интернету.

ЗЫ: Что, впрочем, не такой уж и бред, есть и программы для такого, о них тут в форуме писали. Поработал, откатил систему в исходное состояние и ладушки.

----------


## Rene-gad

> И кто Вам об этом сказал ?


Вопрос законный  :Cheesy: . Такое можно *утверждать* только о только что установленной системе *до* первого выхода в интернет. 



> Специалисты в этой области могут вспомнить и случаи заражения посетителей сайтов MS. Да, это, конечно, исключения, но они были.


Не слышал, но приму к сведению, спасибо. Можете ссылочку дать? (это на полном серъёзе).



> Так что нефиг уклоняться от исполнения священной обязанности читателя вышеупомянутого журнала


Так я ж его не читаю. На статью наткнулся через гугловский поиск по теме. Кроме того я не пользуюсь P2P-Networks. Поэтому я отказываюсь от священной обязанности  :Stick Out Tongue: .

----------


## Alexey P.

> Не слышал, но приму к сведению, спасибо. Можете ссылочку дать? (это на полном серъёзе).


 Нет, в интернете я этой информации не видел.
 Заражение было червем Codered, среди зараженных в первичной эпидемии был и сервер MS.

----------


## Alexey P.

> Нет, в интернете я этой информации не видел.
>  Заражение было червем Codered, среди зараженных в первичной эпидемии был и сервер MS.


 Впрочем, кое-что нашлось  :Smiley: .
http://www.theregister.co.uk/2001/07...its_microsoft/

----------


## Rene-gad

> Впрочем, кое-что нашлось .
> http://www.theregister.co.uk/2001/07...its_microsoft/


TNX! Конечно я читал об этом, но уже забыл  :Smiley:  .

----------

