PDA

Просмотр полной версии : Маленькое исследование антивирусов



Geser
20.09.2004, 12:16
В обчем решил я сравнить антивирусы.
Взял я известного червячка Mydoom.a
Далее исследование производится при поможи сайта http://www.virustotal.com/
Итак, первая проверка:

Scan results
File: I-Worm.Mydoom.a
Date: 07/16/2004 15:52:19
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found [Trojan.SCO.A]
eTrustAV-Inoc 4641/20040714 found [Win32/Mydoom.A.Worm]
F-Prot 3.15/20040715 found [W32/Mydoom.A]
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found [W32/Mydoom.a.dll]
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found [MyDoom.A@mm]
Panda 7.02.00/20040716 found [W32/Mydoom.A.worm]
Sybari 7.5.1314/20040716 found [Win32/Mydoom.A.Worm]
Symantec 8.0/20040715 found [W32.Mydoom.A@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.A]

Как и следовало ожифать все его знают.
Дальше весело. В оригинальном виде червь запакован одной из старых версий UPX.
Распакуем и повторим проверку.

Scan results
File: Copy of Mydoom.exe
Date: 07/16/2004 15:31:33
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [W32/Mydoom]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.GEN]
ClamWin devel-20040517,eTrustAV-Inoc 4641, F-Prot 3.15, McAfee 4377, Norman 5.70.10, Panda 7.02.00 не знают паковщиков.
Теперь запакуем его aspack

Scan results
File: Mydoom aspack.exe
Date: 07/16/2004 15:31:52
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing
Итак, Symantec 8.0 и TrendMicro 7.000 с паковщиками тоже не дружат.

Теперь натравим на червячка AvSpoffer

Scan results
File: Mydoom spoofed2.exe
Date: 07/16/2004 15:21:56
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found [Fichero Sospechoso]
Sybari 7.5.1314/20040716 found [Trojan.Mydoom.A]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found nothing
Все кто его теперь не обнаружил не имеют эмулятора кода. Как видно большинство.

Ну и, как Вы понимаете, гвоздь нашей программы AvSpoffer и после этого aspack

Scan results
File: Mydoom spoofed ASPack.exe
Date: 07/16/2004 18:13:03
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040715 found nothing
F-Prot 3.15/20040716 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing
Как видите, только 3 антивируса поймали червячка
BitDefender 7.0, Kaspersky 4.0.2.23, и Sybari 7.5.1314При чём Sybari не считается, поскольку просто включает в себя много движков, в том числе, если судить по названию вируса, Каспера.

Кстати, все модификации обнаруживаются и ДрВебом :)
Так что делайте выводы :)

Zveroboy
20.09.2004, 15:21
Кстати, все модификации обнаруживаются и ДрВебом :)


Абсолютно согласен!!!
Аналогичные тесты проводил с Netbus.
ДрВебу равных не было!

Geser
29.09.2004, 11:59
А вот результаты тестирования на диких троянчиках:

Scan results
File: Dreamweaver_MX_CRAC0.exe
Date: 09/05/2004 22:28:18
----
BitDefender 7.0/20040905 found [Backdoor.SDBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.m]
NOD32v2 1.861/20040904 found [Win32/SpyBot.AFI]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: trojan_construction_kit.exe
Date: 09/05/2004 22:25:47
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Sdbot.worm.gen.j]
NOD32v2 1.861/20040904 found [Win32/SpyBot.ACP]
Norman 5.70.10/20040903 found [W32/HLLW.Gaobot_based.F]
Panda 7.02.00/20040905 found [Worm Generic]
Sybari 7.5.1314/20040905 found [W32/HLLW.Gaobot_based.]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: halo-keygen.exe
Date: 09/05/2004 22:26:17
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/Spybot.worm.gen.a]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: Counter-Strike CD Key-Generator.exe
Date: 09/05/2004 21:56:47
----
BitDefender 7.0/20040905 found [Trojan.Downloader.Small.JF]
ClamWin devel-20040822/20040905 found [Trojan.Downloader.Small.JF]
Kaspersky 4.0.2.24/20040905 found [TrojanDownloader.Win32.Small.jl]
McAfee 4389/20040901 found nothing
NOD32v2 1.861/20040904 found [Win32/TrojanDownloader.Small.JG]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Trj/Downloader.EO]
Sybari 7.5.1314/20040905 found [Troj/Small-JG]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found [TROJ_SMALL.CC]

Scan results
File: Adobe PhotoShop 7.0 serial key.exe
Date: 09/05/2004 21:52:53
----
BitDefender 7.0/20040905 found [TrojanDropper.Win32.Small.E]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [TrojanDropper.Win32.Small.e]
McAfee 4389/20040901 found [MultiDropper-BD]
NOD32v2 1.861/20040904 found [Win32/TrojanDropper.Small.E]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [MultiDropper-BD]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

Scan results
File: Battlefied1942 Pack4 (crack+bloodpatch) (20.exe
Date: 09/05/2004 21:49:26
----
BitDefender 7.0/20040905 found [Win32.Worm.P2P.SdDrop.C]
ClamWin devel-20040822/20040905 found [Worm.SdDrop.A]
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SdDrop.c]
McAfee 4389/20040901 found [W32/Sddrop.worm]
NOD32v2 1.861/20040904 found [Win32/Sddrop.C]
Norman 5.70.10/20040903 found [SDDrop.C]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/KWBot-E]
Symantec 8.0/20040905 found [W32.Kwbot.F.Worm]
TrendMicro 7.000/20040901 found [WORM_SDDROP.C]

Scan results
File: trojan.exe
Date: 09/05/2004 21:40:41
----
BitDefender 7.0/20040905 found [Backdoor.Evilbot.B]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Backdoor.Evilbot.a]
McAfee 4389/20040901 found [BackDoor-OG]
NOD32v2 1.861/20040904 found [Win32/Brat]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Bck/Brat.A]
Sybari 7.5.1314/20040905 found [W32/Evilbot.]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

Scan results
File: NBA2003_crack.exe
Date: 09/05/2004 21:39:12
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Malware]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

DrWeb определил все.

userr
08.10.2004, 13:39
Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?

serge
08.10.2004, 13:44
Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?

Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).

userr
08.10.2004, 14:45
Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).

А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)

Geser
08.10.2004, 14:50
А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)

Не бывает :)

Dr.Xmas
08.10.2004, 15:29
Не бывает :)

можно сделать, но это (проверка текущих процессов) очень ресурсоёмкий процесс. пользователь застрелится первым ;)

maXmo
10.10.2004, 19:51
А Спайдер не следит постоянно за активностью в памяти?не помню, я писал про ето?
Реализовано принудительное сканирование файлов запущенных процессов при старте SpIDer Guard и при подгрузке обновлений вирусной базы

Geser
29.10.2004, 15:16
Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы

Scanner Malware name Time taken
AntiVir X 5.06 seconds
Avast X 7.62 seconds
BitDefender Win32.Bagle.AX@mm 13.47 seconds
ClamAV X 7.49 seconds
Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds
mks_vir X 1.70 seconds
NOD32 X 2.23 seconds
Norman Virus Control X 1.04 seconds

maXmo
29.10.2004, 22:05
а откуда такие времена проверки?

Geser
29.10.2004, 22:13
а откуда такие времена проверки?

http://virusscan.jotti.dhs.org/

maXmo
29.10.2004, 22:19
не, почему такие астрономические величины?

Geser
29.10.2004, 22:20
не, почему такие астрономические величины?

Там же параллельно могут несколько сканов выполняться.
Вот, забавно :)
Scanner Malware name Time taken
AntiVir Worm/Rbot.SK 1.30 seconds
Avast X 4.57 seconds
BitDefender X 2.86 seconds
ClamAV X 8.95 seconds
Dr.Web Win32.HLLW.MyBot 4.83 seconds
F-Prot Antivirus X 0.70 seconds
Kaspersky Anti-Virus X 4.74 seconds
mks_vir X 1.79 seconds
NOD32 X 2.70 seconds
Norman Virus Control X 1.16 seconds

maXmo
29.10.2004, 23:09
санина поделка что ли? :-X

Geser
29.10.2004, 23:11
санина поделка что ли? :-X

Не. Просто видно что есть троянчики которые ДрВеб знает, а каспер нет :)

Alexey P.
31.10.2004, 19:13
Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы

Scanner Malware name Time taken
ClamAV X 7.49 seconds

Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds

Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.

Geser
31.10.2004, 19:16
Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.


Тогда выходит что некоторые антивирусы обновляются часто, а некоторые редко. Странно.

azza
31.10.2004, 21:25
Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.


Всё объясняется гораздо проще. Ты отправляешь вирус Кламу. Там он быстро проверяется у jotti. Если ДрВеб, Каспер, или другой антивирь вирус детектят, тебе следует ответ, что вирус известный, а тем временем сигнатура добавляется в базу. :)

Geser
06.11.2004, 16:34
File: iinstall.exe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir TR/Dldr.IstBar.FY.2 (1.24 seconds taken)
Avast No viruses found (4.59 seconds taken)
BitDefender No viruses found (3.22 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web Trojan.Isbar.92 (4.67 seconds taken)
F-Prot Antivirus No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.IstBar.gen (4.48 seconds taken)
mks_vir No viruses found (1.95 seconds taken)
NOD32 No viruses found (2.93 seconds taken)
Norman Virus Control No viruses found (4.72 seconds taken)

Geser
06.11.2004, 18:38
Ещё интересные результаты:

Упаковка Stealth PE

File: hxdef100.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH

AntiVir BDS/Hacdef.084 (1.25 seconds taken)
Avast No viruses found (4.60 seconds taken)
BitDefender No viruses found (2.80 seconds taken)
ClamAV Trojan.Hackdef.084-prog (2.91 seconds taken)
Dr.Web BackDoor.HackDef.84 (6.86 seconds taken)
F-Prot Antivirus No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus Backdoor.HacDef.084 (4.29 seconds taken)
mks_vir Trojan.Hacdef.084 (1.37 seconds taken)
NOD32 No viruses found (2.36 seconds taken)
Norman Virus Control No viruses found (4.01 seconds taken)

Даже если сделать как советует автор, иупаковать сначала UPX, а потом Hide PE, то:
File: hxdef100bak.exe
Status: INFECTED/MALWARE
Packers detected: None

AntiVir No viruses found (1.29 seconds taken)
Avast No viruses found (4.63 seconds taken)
BitDefender No viruses found (6.12 seconds taken)
ClamAV Trojan.Hackdef.084-prog (3.06 seconds taken)
Dr.Web BackDoor.HackDef.84 (4.88 seconds taken)
F-Prot Antivirus No viruses found (0.58 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.HacDef.084 (4.36 seconds taken)
mks_vir No viruses found (2.12 seconds taken)
NOD32 No viruses found (3.39 seconds taken)
Norman Virus Control No viruses found (7.94 seconds taken)

Паковщик, как видно не определяется, а вот троян определяется хорошими антивирусами ;)

Теперь UPX, а потом Stealth PE

File: hxdef100.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH

AntiVir No viruses found (1.97 seconds taken)
Avast No viruses found (4.60 seconds taken)
BitDefender No viruses found (4.05 seconds taken)
ClamAV No viruses found (3.00 seconds taken)
Dr.Web BackDoor.HackDef.84 (4.80 seconds taken)
F-Prot Antivirus No viruses found (0.64 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.HacDef.084 (4.87 seconds taken)
mks_vir No viruses found (2.20 seconds taken)
NOD32 No viruses found (3.05 seconds taken)
Norman Virus Control No viruses found (10.24 seconds taken)

Такие вот дела :)

Geser
13.11.2004, 18:15
Вот ещё о скорости реакции антивирусных фирм. 2 дня назад запостил на Вирустотал троянчик. А они, как известно, разсылают новые вирусы антивирусным фирмам. Сегорня проверил кто уже детектит его:

Antivirus Version Update Result
BitDefender 7.0 11.13.2004 Backdoor.Small.BQ
ClamWin devel-20041018 11.11.2004 -
eTrust-Iris 7.1.194.0 11.13.2004 -
F-Prot 3.15b 11.12.2004 -
Kaspersky 4.0.2.24 11.13.2004 Backdoor.Win32.Small.bq
NOD32v2 1.922 11.12.2004 Win32/Small.BQ
Norman 5.70.10 11.12.2004 -
Panda 7.02.00 11.13.2004 -
Sybari 7.5.1314 11.13.2004 Backdoor.Win32.Small.bq
Symantec 8.0 11.12.2004 W32.Scard

Norman, Panda, ClamWin, eTrust-Iris, F-Prot так и не добавили дроян в базы.

Geser
27.11.2004, 14:58
Results of a file scan
This is the report of the scanning done over "qwe4820.dll" file that VirusTotal processed on 11/27/2004 at 10:56:08.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Backdoor.Agent.EH
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Agent.eh
NOD32v2 1.935 11.26.2004 Win32/Agent.EH
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Bck/Agent.BU
Sybari 7.5.1314 11.27.2004 Backdoor.Win32.Agent.eh
Symantec 8.0 11.26.2004 -



Results of a file scan
This is the report of the scanning done over "SCardSer.exe" file that VirusTotal processed on 11/27/2004 at 10:57:16.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Backdoor.Small.BQ
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk named W32/SillyTrojan.BA@bd
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Small.bq
NOD32v2 1.935 11.26.2004 Win32/Small.BQ
Norman 5.70.10 11.25.2004 Golten.A
Panda 7.02.00 11.26.2004 Bck/Cudgy.A
Sybari 7.5.1314 11.27.2004 W32/Mofei-F
Symantec 8.0 11.26.2004 W32.Scard



Results of a file scan
This is the report of the scanning done over "3_1_._s" file that VirusTotal processed on 11/27/2004 at 12:12:02.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 JS.Trojan.Seeker.S
ClamWin devel-20041018 11.26.2004 Trojan.JS.Startpage.C
eTrust-Iris 7.1.194.0 11.27.2004 JScript/VMException.Exploit.Troj
F-Prot 3.15b 11.24.2004 JS/Seeker
Kaspersky 4.0.2.24 11.27.2004 Trojan.JS.Fav
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 JS/IEstart.gen.c
Symantec 8.0 11.26.2004 JS.Exception.Exploit



Results of a file scan
This is the report of the scanning done over "5-2-145-58_1_._xe" file that VirusTotal processed on 11/27/2004 at 12:12:59.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Application.Dialer.Kirk
ClamWin devel-20041018 11.26.2004 Dialer-153
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 -
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Dialer.Gen
Sybari 7.5.1314 11.27.2004 Dial/190-A
Symantec 8.0 11.26.2004 -



Results of a file scan
This is the report of the scanning done over "8MSO-Patch-0035.exe.safe" file that VirusTotal processed on 11/27/2004 at 12:14:30.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 -
ClamWin devel-20041018 11.26.2004 Lirva-B
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 W32/Lirva.D@mm
Kaspersky 4.0.2.24 11.27.2004 -
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 -
Symantec 8.0 11.26.2004 -


Results of a file scan
This is the report of the scanning done over "38server.ex" file that VirusTotal processed on 11/27/2004 at 12:24:51.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Downloader.Apher.Gen
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 -
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Apher.070
Norman 5.70.10 11.25.2004 Slacke.A
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 Win32.DlFeer
Symantec 8.0 11.26.2004 -



Results of a file scan
This is the report of the scanning done over "actalert.ex" file that VirusTotal processed on 11/27/2004 at 12:30:44.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Downloader.Dyfuca.CR
ClamWin devel-20041018 11.26.2004 Trojan.Dyfuca-17
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk named W32/Dyfuca.AD@dl
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Dyfuca.cr
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Dyfica.CR
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Spyware/Dyfuca
Sybari 7.5.1314 11.27.2004 Trojan.DL.Dyfuca.AS
Symantec 8.0 11.26.2004 -



Results of a file scan
This is the report of the scanning done over "actalert.ex" file that VirusTotal processed on 11/27/2004 at 12:30:44.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Downloader.Dyfuca.CR
ClamWin devel-20041018 11.26.2004 Trojan.Dyfuca-17
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk named W32/Dyfuca.AD@dl
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Dyfuca.cr
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Dyfica.CR
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Spyware/Dyfuca
Sybari 7.5.1314 11.27.2004 Trojan.DL.Dyfuca.AS
Symantec 8.0 11.26.2004 -


Results of a file scan
This is the report of the scanning done over "conscorr.ex" file that VirusTotal processed on 11/27/2004 at 12:34:42.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Downloader.Stubby.C
ClamWin devel-20041018 11.26.2004 Trojan.Stubby.113
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk named W32/Stubby.B
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Stubby.c
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Stubby.C
Norman 5.70.10 11.25.2004 W32/Stubby.C
Panda 7.02.00 11.26.2004 Adware/IPInsight
Sybari 7.5.1314 11.27.2004 Trojan.DL.Stubby.B
Symantec 8.0 11.26.2004 -


Results of a file scan
This is the report of the scanning done over "dmstwe.ex" file that VirusTotal processed on 11/27/2004 at 12:37:22.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 -
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 Win32/Cudgy.B.Trojan
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 Trojan-Downloader.Win32.Small.aao
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 Win32/Cudgy.B.Trojan
Symantec 8.0 11.26.2004 W32.Scard


Results of a file scan
This is the report of the scanning done over "eplrr9.dll" file that VirusTotal processed on 11/27/2004 at 12:38:47.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.StartPage.OX
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 Win32/StartPage.JZ.DLL.Trojan
F-Prot 3.15b 11.24.2004 security risk named W32/Startpage.FU
Kaspersky 4.0.2.24 11.27.2004 Trojan.Win32.StartPage.ox
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 Win32.Startpage.JZ
Symantec 8.0 11.26.2004 Trojan.StartPage



Results of a file scan
This is the report of the scanning done over "FCPAGOFC.CPA" file that VirusTotal processed on 11/27/2004 at 12:39:48.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Win32.Hybris.plugin
ClamWin devel-20041018 11.26.2004 W95.Hybris.PI.000
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk or a "backdoor" program
Kaspersky 4.0.2.24 11.27.2004 I-Worm.Hybris.plugin
NOD32v2 1.935 11.26.2004 Win32/Hybris.plugin
Norman 5.70.10 11.25.2004 Hybris.Plugin
Panda 7.02.00 11.26.2004 W32/Hybris.Plugin
Sybari 7.5.1314 11.27.2004 I-Worm.Hybris.plugin
Symantec 8.0 11.26.2004 W95.Hybris.Plugin



Results of a file scan
This is the report of the scanning done over "FOTORAR._XE" file that VirusTotal processed on 11/27/2004 at 12:41:41.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Backdoor.Death.26.C
ClamWin devel-20041018 11.26.2004 Exploit.JPEG.Comment.F0
eTrust-Iris 7.1.194.0 11.27.2004 Backdoor/Death Server family
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Death.26.c
NOD32v2 1.935 11.26.2004 Win32/Death.26.C
Norman 5.70.10 11.25.2004 W32/Death.2_6C
Panda 7.02.00 11.26.2004 Bck/Death.26.C
Sybari 7.5.1314 11.27.2004 BackDoor-FP.svr
Symantec 8.0 11.26.2004 Backdoor.Death


Results of a file scan
This is the report of the scanning done over "gngb4ng.ex" file that VirusTotal processed on 11/27/2004 at 12:43:54.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Dropper.Small.GT
ClamWin devel-20041018 11.26.2004 Trojan.Dropper.Small-8
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 dropper for W32/Rameh.D@dl
Kaspersky 4.0.2.24 11.27.2004 TrojanDropper.Win32.Small.gt
NOD32v2 1.935 11.26.2004 Win32/TrojanDropper.Small.GT
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Adware/NetPals
Sybari 7.5.1314 11.27.2004 TrojanDropper.Win32.Small.gt
Symantec 8.0 11.26.2004 -



This is the report of the scanning done over "hot_pleasure._xe" file that VirusTotal processed on 11/27/2004 at 12:51:39.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Dialer.PornDialer.AJ
ClamWin devel-20041018 11.26.2004 -
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 -
NOD32v2 1.935 11.26.2004 -
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Dialer.Gen
Sybari 7.5.1314 11.27.2004 Dial/SiteIcon-A
Symantec 8.0 11.26.2004 -



This is the report of the scanning done over "iinstall.ex" file that VirusTotal processed on 11/27/2004 at 12:53:08.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Trojan.Downloader.ISTbar.ST
ClamWin devel-20041018 11.26.2004 Trojan.Downloader.Istbar-47
eTrust-Iris 7.1.194.0 11.27.2004 Win32/IstBar.Downloader.Trojan
F-Prot 3.15b 11.24.2004 security risk named W32/Istbar.BC@dl
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.IstBar.gen
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.IstBar.NAN
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 Spyware/ISTbar
Sybari 7.5.1314 11.27.2004 Trojan.DL.IstBar.BJ1
Symantec 8.0 11.26.2004 -


This is the report of the scanning done over "JELMBLJE.ELM" file that VirusTotal processed on 11/27/2004 at 12:55:54.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 I_Worm.Hybris.A.Plugin
ClamWin devel-20041018 11.26.2004 W95.Hybris.PI.001
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 security risk or a "backdoor" program
Kaspersky 4.0.2.24 11.27.2004 I-Worm.Hybris.plugin
NOD32v2 1.935 11.26.2004 Win32/Hybris.plugin
Norman 5.70.10 11.25.2004 Hybris.Plugin
Panda 7.02.00 11.26.2004 W32/Hybris.Plugin
Sybari 7.5.1314 11.27.2004 Hybris.Plugi
Symantec 8.0 11.26.2004 W95.Hybris.Plugin



Results of a file scan
This is the report of the scanning done over "keygen._xe" file that VirusTotal processed on 11/27/2004 at 12:59:21.
Antivirus Version Update Result
BitDefender 7.0 11.26.2004 Backdoor.Delf.SL
ClamWin devel-20041018 11.26.2004 Exploit.JPEG.Comment.F0
eTrust-Iris 7.1.194.0 11.27.2004 -
F-Prot 3.15b 11.24.2004 -
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Delf.sl
NOD32v2 1.935 11.26.2004 probably unknown NewHeur_PE
Norman 5.70.10 11.25.2004 -
Panda 7.02.00 11.26.2004 -
Sybari 7.5.1314 11.27.2004 Backdoor.Win32.Delf.sl
Symantec 8.0 11.26.2004 Backdoor.Trojan

maXmo
28.11.2004, 20:30
на вирустотале каспер без дополнительных баз, а кое-каких зверей он именно туда пихает.

Alexey P.
29.11.2004, 00:21
на вирустотале каспер без дополнительных баз, а кое-каких зверей он именно туда пихает.

Да, как раз порнозвонилки, которые в этом тесте не обнаружены, имхо, у него в расширенных.

Geser
11.12.2004, 14:13
Сважие примеры.
Проверка 4 файлов выловленных на компе

This is the report of the scanning done over "qrvgczjo.exe" file that VirusTotal processed on 12/11/2004 at 12:08:28.
Antivirus Version Update Result
AntiVir 6.29.0.4 12.10.2004 -
BitDefender 7.0 12.11.2004 -
ClamWin devel-20041205 12.10.2004 -
DrWeb 4.32b 12.11.2004 -
eTrust-Iris 7.1.194.0 12.11.2004 -
eTrust-Vet 11.7.0.0 12.10.2004 -
F-Prot 3.15b 12.10.2004 -
Kaspersky 4.0.2.24 12.11.2004 Trojan-Dropper.Win32.Small.nn
NOD32v2 1.945 12.11.2004 -
Norman 5.70.10 12.10.2004 -
Panda 7.02.00 12.10.2004 Trj/Dropper.AG
Sybari 7.5.1314 12.11.2004 Trojan-Dropper.Win32.Small.nn
Symantec 8.0 12.10.2004 -



Results of a file scan
This is the report of the scanning done over "eplrr3.dll" file that VirusTotal processed on 12/11/2004 at 12:10:11.
Antivirus Version Update Result
AntiVir 6.29.0.4 12.10.2004 TR/Proxy.Small.AH.1
BitDefender 7.0 12.11.2004 Trojan.Proxy.Small.AH
ClamWin devel-20041205 12.10.2004 -
DrWeb 4.32b 12.11.2004 Trojan.Proxy.140
eTrust-Iris 7.1.194.0 12.11.2004 -
eTrust-Vet 11.7.0.0 12.10.2004 -
F-Prot 3.15b 12.10.2004 security risk named W32/ProxyAgent.N
Kaspersky 4.0.2.24 12.11.2004 Trojan-Proxy.Win32.Small.ah
NOD32v2 1.945 12.11.2004 -
Norman 5.70.10 12.10.2004 -
Panda 7.02.00 12.10.2004 -
Sybari 7.5.1314 12.11.2004 Trojan-Proxy.Win32.Small.ah
Symantec 8.0 12.10.2004 -


Results of a file scan
This is the report of the scanning done over "ntosv.dll" file that VirusTotal processed on 12/11/2004 at 12:12:18.
Antivirus Version Update Result
AntiVir 6.29.0.4 12.10.2004 TR/Drop.Small.NN.1
BitDefender 7.0 12.11.2004 -
ClamWin devel-20041205 12.10.2004 -
DrWeb 4.32b 12.11.2004 -
eTrust-Iris 7.1.194.0 12.11.2004 -
eTrust-Vet 11.7.0.0 12.10.2004 -
F-Prot 3.15b 12.10.2004 -
Kaspersky 4.0.2.24 12.11.2004 -
NOD32v2 1.945 12.11.2004 -
Norman 5.70.10 12.10.2004 -
Panda 7.02.00 12.10.2004 -
Sybari 7.5.1314 12.11.2004 -
Symantec 8.0 12.10.2004 -


Results of a file scan
This is the report of the scanning done over "cmd32._xe" file that VirusTotal processed on 12/11/2004 at 12:17:16.
Antivirus Version Update Result
AntiVir 6.29.0.4 12.10.2004 TR/Dldr.Delf.CB
BitDefender 7.0 12.11.2004 BehavesLike:Trojan.Downloader
ClamWin devel-20041205 12.10.2004 -
DrWeb 4.32b 12.11.2004 Trojan.DownLoader.970
eTrust-Iris 7.1.194.0 12.11.2004 -
eTrust-Vet 11.7.0.0 12.10.2004 -
F-Prot 3.15b 12.10.2004 -
Kaspersky 4.0.2.24 12.11.2004 Trojan-Downloader.Win32.Agent.fm
NOD32v2 1.945 12.11.2004 Win32/TrojanDownloader.Small.PL
Norman 5.70.10 12.10.2004 W32/Downloader
Panda 7.02.00 12.10.2004 -
Sybari 7.5.1314 12.11.2004 W32/Downloade
Symantec 8.0 12.10.2004 -



Как видно Symantec 8.0 и eTrust не поймали вообще ничего, т.е. худший из возможных результатов. КАспер дал лучший результат, 3 из 4.

Geser
17.12.2004, 18:43
Только что выловил свежий троян Trojan-Dropper

This is the report of the scanning done over "x.chm" file that VirusTotal processed on 12/17/2004 at 16:41:39.
Antivirus Version Update Result
AntiVir 6.29.0.5 12.17.2004 -
BitDefender 7.0 12.17.2004 Exploit.Html.Codebase.Exec.Gen
ClamWin devel-20041205 12.17.2004 -
DrWeb 4.32b 12.17.2004 -
eTrust-Iris 7.1.194.0 12.17.2004 -
eTrust-Vet 11.7.0.0 12.17.2004 -
F-Prot 3.15b 12.17.2004 -
Kaspersky 4.0.2.24 12.17.2004 Trojan-Dropper.Win32.Small.oo
NOD32v2 1.951 12.17.2004 -
Norman 5.70.10 12.16.2004 -
Panda 7.02.00 12.17.2004 -
Sybari 7.5.1314 12.17.2004 Trojan-Dropper.Win32.Small.oo
Symantec 8.0 12.16.2004 -

Geser
11.01.2005, 23:34
Проверка последних 3 выловленных зверей:
Service load: 0% 100%

File: eplrr3.#ll
Status: INFECTED/MALWARE
Packers detected: None

AntiVir TR/Proxy.Small.AH.1 (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Proxy.Corpse.A (0.34 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web Trojan.Proxy.164 (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Proxy.Win32.Small.ah (0.64 seconds taken)
mks_vir Trojan.Proxy.Small.Ah.Gen (0.20 seconds taken)
NOD32 Win32/TrojanProxy.Small.NAA (0.37 seconds taken)
Norman Virus Control No viruses found (0.45 seconds taken)

File: ibs.#xe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.HideDial.B (0.35 seconds taken)
ClamAV No viruses found (0.40 seconds taken)
Dr.Web Trojan.DownLoader.1360 (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus not-a-virus:Porn-Downloader.Win32.TibSystems (0.66 seconds taken)
mks_vir No viruses found (0.26 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.47 seconds taken)

File: winhost.exe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.43 seconds taken)
Avast No viruses found (3.01 seconds taken)
BitDefender No viruses found (1.14 seconds taken)
ClamAV No viruses found (0.45 seconds taken)
Dr.Web No viruses found (0.59 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Delf.hf (0.76 seconds taken)
mks_vir No viruses found (0.40 seconds taken)
NOD32 No viruses found (0.76 seconds taken)
Norman Virus Control No viruses found (1.97 seconds taken)

Geser
12.01.2005, 23:09
This is the report of the scanning done over "__1064" file that VirusTotal processed on 01/12/2005 at 21:06:24.
Antivirus Version Update Result
AntiVir 6.29.0.5 01.12.2005 -
BitDefender 7.0 01.12.2005 BehavesLike:Trojan.ShellReg
ClamAV devel-20041205 01.11.2005 -
DrWeb 4.32b 01.12.2005 Win32.RAHack
eTrust-Iris 7.1.194.0 01.12.2005 -
eTrust-Vet 11.7.0.0 01.12.2005 -
F-Prot 3.16a 01.12.2005 could be infected with an unknown virus
Kaspersky 4.0.2.24 01.12.2005 Backdoor.Win32.Agent.go
NOD32v2 1.969 01.12.2005 Win32/Agent.GO
Norman 5.70.10 01.11.2005 W32/RAdmin.2_0B
Panda 8.02.00 01.12.2005 -
Sybari 7.5.1314 01.12.2005 Backdoor.Win32.Agent.go
Symantec 8.0 01.12.2005 -

Geser
12.01.2005, 23:13
This is the report of the scanning done over "__1055" file that VirusTotal processed on 01/12/2005 at 21:12:09.
Antivirus Version Update Result
AntiVir 6.29.0.5 01.12.2005 -
BitDefender 7.0 01.12.2005 Dialer.ZZ
ClamAV devel-20041205 01.11.2005 Trojan.Downloader.Small-216
DrWeb 4.32b 01.12.2005 Trojan.DownLoader.1412
eTrust-Iris 7.1.194.0 01.12.2005 -
eTrust-Vet 11.7.0.0 01.12.2005 -
F-Prot 3.16a 01.12.2005 -
Kaspersky 4.0.2.24 01.12.2005 Trojan-Downloader.Win32.Small.agi
NOD32v2 1.969 01.12.2005 -
Norman 5.70.10 01.11.2005 -
Panda 8.02.00 01.12.2005 -
Sybari 7.5.1314 01.12.2005 Trojan-Downloader.Win32.Small.agi
Symantec 8.0 01.12.2005 -

Geser
15.01.2005, 14:24
This is the report of the scanning done over "CRSS.EX" file that VirusTotal processed on 01/15/2005 at 12:22:45.
Antivirus Version Update Result
AntiVir 6.29.0.7 01.14.2005 TR/PSW.LdPinch.is
AVG 718 01.14.2005 -
BitDefender 7.0 01.15.2005 -
ClamAV devel-20041205 01.14.2005 Trojan.LdPinch-19
DrWeb 4.32b 01.14.2005 BackDoor.Pinched
eTrust-Iris 7.1.194.0 01.15.2005 -
eTrust-Vet 11.7.0.0 01.14.2005 -
F-Prot 3.16a 01.14.2005 -
Kaspersky 4.0.2.24 01.15.2005 Trojan-PSW.Win32.LdPinch.is
NOD32v2 1.971 01.14.2005 probably unknown NewHeur_PE
Norman 5.70.10 01.14.2005 -
Panda 8.02.00 01.14.2005 Trj/LdPinch.BJ
Sybari 7.5.1314 01.15.2005 Trojan-PSW.Win32.PdPinch.gen
Symantec 8.0 01.14.2005 PWSteal.Ldpinch

15.01.2005, 17:15
Geser
А ты не мог бы проверить с использованием MKS_VIR, или выслать на меня - я проверю...

Geser
15.01.2005, 17:28
Geser
А ты не мог бы проверить с использованием MKS_VIR, или выслать на меня - я проверю...

В следующий раз постараюсь.

15.01.2005, 17:32
MKS_VIR можно вот тут проверять:
http://virusscan.jotti.dhs.org/

Geser
07.02.2005, 21:24
Только что поймал за хвост живого трояна. Скацак кряк к одной проге. Вот такая картина:
Results of a file scan
This is the report of the scanning done over "damn_tds-3320._xe" file that VirusTotal processed on 02/07/2005 at 19:19:47 (GMT+1).
Antivirus Version Update Result
AntiVir 6.29.0.11 02.07.2005 no virus found
AVG 718 02.07.2005 no virus found
BitDefender 7.0 02.07.2005 no virus found
ClamAV devel-20050130 02.04.2005 no virus found
DrWeb 4.32b 02.07.2005 Trojan.KillFiles.47557
eTrust-Iris 7.1.194.0 02.06.2005 no virus found
eTrust-Vet 11.7.0.0 02.07.2005 no virus found
F-Prot 3.16a 02.05.2005 no virus found
Kaspersky 4.0.2.24 02.07.2005 Trojan-Dropper.Win32.Small.sd
NOD32v2 1.992 02.05.2005 no virus found
Norman 5.70.10 02.03.2005 no virus found
Panda 8.02.00 02.07.2005 no virus found
Sybari 7.5.1314 02.07.2005 Trojan-Dropper.Win32.Small.sd
Symantec 8.0 02.06.2005 no virus found

Service load: 0% 100%

File: damn_tds-3320.#xe
Status: INFECTED/MALWARE
Packers detected: UPX, ASPACK, FSG

AntiVir No viruses found (0.25 seconds taken)
Avast Win32:Trojan-gen. (1.59 seconds taken)
AVG Antivirus No viruses found (3.61 seconds taken)
BitDefender No viruses found (0.74 seconds taken)
ClamAV No viruses found (0.42 seconds taken)
Dr.Web Trojan.KillFiles.47557 (0.57 seconds taken)
F-Prot Antivirus No viruses found (0.75 seconds taken)
Fortinet No viruses found (0.53 seconds taken)
Kaspersky Anti-Virus Trojan-Dropper.Win32.Small.sd (0.71 seconds taken)
mks_vir No viruses found (0.37 seconds taken)
NOD32 No viruses found (0.58 seconds taken)
Norman Virus Control No viruses found (1.56 seconds taken)

Кстати, ВБА его поределяет :) Похоже пора вносить ВБА в список рекомендуемых :)

Кстати, зашел на http://virusscan.jotti.dhs.org/ и увидел еще одну картину:

Scanner Malware name Time taken
AntiVir X 0.23 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.84 seconds
BitDefender X 0.38 seconds
ClamAV X 0.42 seconds
Dr.Web BackDoor.HackDef.84 0.57 seconds
F-Prot Antivirus X 0.47 seconds
Fortinet X 0.43 seconds
Kaspersky Anti-Virus Backdoor.Win32.HacDef.084 0.73 seconds
mks_vir X 0.22 seconds
NOD32 X 0.52 seconds
Norman Virus Control X 1.06 seconds

Как говорится, думайте сами, решайте сами :)

Geser
07.02.2005, 22:15
Results of a file scan
This is the report of the scanning done over "ipreg32.dll" file that VirusTotal processed on 02/07/2005 at 20:14:04 (GMT+1).
Antivirus Version Update Result
AntiVir 6.29.0.11 02.07.2005 no virus found
AVG 718 02.07.2005 no virus found
BitDefender 7.0 02.07.2005 no virus found
ClamAV devel-20050130 02.04.2005 no virus found
DrWeb 4.32b 02.07.2005 no virus found
eTrust-Iris 7.1.194.0 02.06.2005 Win32/SillyDL.DQ!DLL!Trojan
eTrust-Vet 11.7.0.0 02.07.2005 Win32.SillyDl.DQ
F-Prot 3.16a 02.05.2005 no virus found
Kaspersky 4.0.2.24 02.07.2005 Trojan-Downloader.Win32.Domcom.b
NOD32v2 1.992 02.05.2005 Win32/TrojanDownloader.Domcom.A
Norman 5.70.10 02.03.2005 no virus found
Panda 8.02.00 02.07.2005 Spyware/Iehelp
Sybari 7.5.1314 02.07.2005 Downloader-TW
Symantec 8.0 02.06.2005 no virus found

Andrey
08.02.2005, 18:57
Ну и что? Не сегодня - завтра добавят.
В сети по 200-300 штук malware в день появляется, а AV конторы пока телепатов не держат ;).

Geser
08.02.2005, 18:59
Ну и что? Не сегодня - завтра добавят.
В сети по 200-300 штук malware в день появляется, а AV конторы пока телепатов не держат ;).


Так всё дело в том, кто быстрее работает :)
А некоторые и через месяц не добавят, не только завтра. Проверял и не только я.

Geser
09.02.2005, 00:32
Results of a file scan
This is the report of the scanning done over "hhnt._xe" file that VirusTotal processed on 02/08/2005 at 22:27:13 (GMT+1).
Antivirus Version Update Result
AntiVir 6.29.0.11 02.08.2005 TR/StartPage.of
AVG 718 02.07.2005 no virus found
BitDefender 7.0 02.08.2005 no virus found
ClamAV devel-20050130 02.08.2005 no virus found
DrWeb 4.32b 02.08.2005 Trojan.DownLoader.1340
eTrust-Iris 7.1.194.0 02.08.2005 no virus found
eTrust-Vet 11.7.0.0 02.08.2005 no virus found
Fortinet 2.51 02.08.2005 no virus found
F-Prot 3.16a 02.08.2005 no virus found
Kaspersky 4.0.2.24 02.08.2005 Trojan.Win32.Qhost.al
NOD32v2 1.993 02.07.2005 no virus found
Norman 5.70.10 02.07.2005 no virus found
Panda 8.02.00 02.08.2005 Trj/StartPage.OF
Sybari 7.5.1314 02.08.2005 Trojan.Qhost.I
Symantec 8.0 02.08.2005 no virus found

Results of a file scan
This is the report of the scanning done over "ysbactivex.dll" file that VirusTotal processed on 02/08/2005 at 22:29:51 (GMT+1).
Antivirus Version Update Result
AntiVir 6.29.0.11 02.08.2005 no virus found
AVG 718 02.07.2005 no virus found
BitDefender 7.0 02.08.2005 no virus found
ClamAV devel-20050130 02.08.2005 Trojan.Downloader.Istbar-59
DrWeb 4.32b 02.08.2005 no virus found
eTrust-Iris 7.1.194.0 02.08.2005 no virus found
eTrust-Vet 11.7.0.0 02.08.2005 no virus found
Fortinet 2.51 02.08.2005 no virus found
F-Prot 3.16a 02.08.2005 no virus found
Kaspersky 4.0.2.24 02.08.2005 Trojan-Downloader.Win32.IstBar.gz
NOD32v2 1.993 02.07.2005 no virus found
Norman 5.70.10 02.07.2005 no virus found
Panda 8.02.00 02.08.2005 Spyware/YourSiteBar
Sybari 7.5.1314 02.08.2005 Trojan-Downloader.Win32.IstBar.gz
Symantec 8.0 02.08.2005 no virus found


Results of a file scan
This is the report of the scanning done over "ppc.dll" file that VirusTotal processed on 02/08/2005 at 22:31:34 (GMT+1).
Antivirus Version Update Result
AntiVir 6.29.0.11 02.08.2005 TR/Click.Delf.BC
AVG 718 02.07.2005 no virus found
BitDefender 7.0 02.08.2005 Trojan.Clicker.Delf.BC
ClamAV devel-20050130 02.08.2005 no virus found
DrWeb 4.32b 02.08.2005 no virus found
eTrust-Iris 7.1.194.0 02.08.2005 no virus found
eTrust-Vet 11.7.0.0 02.08.2005 no virus found
Fortinet 2.51 02.08.2005 no virus found
F-Prot 3.16a 02.08.2005 no virus found
Kaspersky 4.0.2.24 02.08.2005 Trojan-Clicker.Win32.Delf.bc
NOD32v2 1.993 02.07.2005 no virus found
Norman 5.70.10 02.07.2005 no virus found
Panda 8.02.00 02.08.2005 no virus found
Sybari 7.5.1314 02.08.2005 Trojan-Clicker.Win32.Delf.bc
Symantec 8.0 02.08.2005 no virus found

jack
07.03.2005, 13:36
Интересный результат сканирования файла зараженного
Email-Worm.Win32.Bagle.pac после простого архивирования в WinRare. Symantec меня все больше и больше разочаровывает.

Antivirus Version Update Result
AntiVir 6.30.0.5 03.07.2005 no virus found
AVG 718 03.04.2005 I-Worm/Bagle.BX
BitDefender 7.0 03.06.2005 Win32.Bagle.BG@mm
ClamAV devel-20050130 03.06.2005 Worm.Bagle.BA-RAR
DrWeb 4.32b 03.07.2005 Win32.HLLM.Beagle.33792
eTrust-Iris 7.1.194.0 03.06.2005 no virus found
eTrust-Vet 11.7.0.0 03.07.2005 no virus found
Fortinet 2.51 03.05.2005 W32/Mitglieder.CD.gen-tr
F-Prot 3.16a 03.07.2005 security risk named W32/Mitglieder.gen
Ikarus 2.32 03.06.2005 no virus found
Kaspersky 4.0.2.24 03.07.2005 Email-Worm.Win32.Bagle.pac
NOD32v2 1.1019 03.06.2005 Win32/Bagle.BA
Norman 5.70.10 03.07.2005 no virus found
Panda 8.02.00 03.06.2005 Trj/Mitglieder.BO
Sybari 7.5.1314 03.07.2005 Win32.Glieder.S
Symantec 8.0 03.07.2005 no virus found

Geser
07.03.2005, 13:44
Интересный результат сканирования файла зараженного
Email-Worm.Win32.Bagle.pac после простого архивирования в WinRare. Symantec меня все больше и больше разочаровывает.

Antivirus Version Update Result
AntiVir 6.30.0.5 03.07.2005 no virus found
AVG 718 03.04.2005 I-Worm/Bagle.BX
BitDefender 7.0 03.06.2005 Win32.Bagle.BG@mm
ClamAV devel-20050130 03.06.2005 Worm.Bagle.BA-RAR
DrWeb 4.32b 03.07.2005 Win32.HLLM.Beagle.33792
eTrust-Iris 7.1.194.0 03.06.2005 no virus found
eTrust-Vet 11.7.0.0 03.07.2005 no virus found
Fortinet 2.51 03.05.2005 W32/Mitglieder.CD.gen-tr
F-Prot 3.16a 03.07.2005 security risk named W32/Mitglieder.gen
Ikarus 2.32 03.06.2005 no virus found
Kaspersky 4.0.2.24 03.07.2005 Email-Worm.Win32.Bagle.pac
NOD32v2 1.1019 03.06.2005 Win32/Bagle.BA
Norman 5.70.10 03.07.2005 no virus found
Panda 8.02.00 03.06.2005 Trj/Mitglieder.BO
Sybari 7.5.1314 03.07.2005 Win32.Glieder.S
Symantec 8.0 03.07.2005 no virus found


Не вижу ничего неожиданного.
Лидеры DrWeb, Kaspersky, BitDefender знают его, как и положено. Norman вообще пародия на антивирус, как и Symantec и eTrust. Ikarus вообще что за чудо?:)

jack
07.03.2005, 13:59
Дело в том что, перед архивацией все антивирусы кроме Normana знали его, включая Ikarus:)

Geser
07.03.2005, 14:02
Дело в том что, перед архивацией все антивирусы кроме Normana знали его, включая Ikarus:)

А, я протормозил :)
WinRar наверное последней версии (новая какая-нить вышла?)? Видимо не все добавили еще поддержку. Либо не все антивирусы настроены на сканирование архивов.

jack
07.03.2005, 14:03
Да нет, версия 2.9:)

Geser
07.03.2005, 14:26
Да нет, версия 2.9:)

Странно. Семантек конечно дрянь, но я не думаю что они не умеют распаковывать rar.

jack
12.03.2005, 02:23
Продолжая поиски вирусов и сравнение антивирусов, я обнаружил сайт где много старых вирусов можно скачать.
http://www.nvkz.kuzbass.net/as/
Я много потестировал на virustotal.Большинство, конечно, обнаружилось.
Но не все. Первичные выводы :
Ikarus, или не умеет или не настроен сканировать архивы, т.к. он не определил ни одного вируса
NOD32 - не обнаружил около 5%.А на многие ругался привычно
an unknown virus....
был также обнаружен вирус, который не детектится ни Касперским ни Вебом.Высылаю на анализ.
This is a report processed by VirusTotal on 03/11/2005 at 23:59:45 (CET) after scanning the file "CASCPHAN.ZIP" file.
Antivirus Version Update Result
AntiVir 6.30.0.5 03.11.2005 1701/1704-Cascade
AVG 718 03.11.2005 no virus found
BitDefender 7.0 03.11.2005 Tenbytes.1554.A
ClamAV devel-20050307 03.10.2005 Gen.1701.1704 Cascade Related
DrWeb 4.32b 03.11.2005 no virus found
eTrust-Iris 7.1.194.0 03.11.2005 no virus found
eTrust-Vet 11.7.0.0 03.11.2005 Casc Phantom
Fortinet 2.51 03.11.2005 no virus found
F-Prot 3.16a 03.11.2005 no virus found
Ikarus 2.32 03.11.2005 no virus found
Kaspersky 4.0.2.24 03.11.2005 no virus found
McAfee 4445 03.11.2005 Cascade.dr
NOD32v2 1.1024 03.11.2005 no virus found
Norman 5.70.10 03.10.2005 no virus found
Panda 8.02.00 03.11.2005 no virus found
Sybari 7.5.1314 03.11.2005 Casc Phantom
Symantec 8.0 03.11.2005 no virus found

21.03.2005, 18:20
Ну вот ещё один недели 2 назад как выловил -
Scanner ***Malware name ***
AntiVir ***X ***
Avast ***X ***
AVG Antivirus ***X ***
BitDefender ***X ***
ClamAV ***X ***
Dr.Web ***BackDoor.Dumaru ***
F-Prot Antivirus ***X ***
Fortinet ***W32/Dumaru.fam-mm ***
Kaspersky Anti-Virus ***X ***
mks_vir ***Win32 ***
NOD32 ***probably unknown NewHeur_PE ***
Norman Virus Control ***Sandbox: W32/Malware