PDA

Просмотр полной версии : Что происходит при нажатии на данную ссылку?



30.12.2004, 03:03
Что происходит при нажатии на данную ссылку?

Нортон антивирус кричит о наличии
Bloodhound.Exploit.6

http://virusinfo.info/index.php?board=26;action=printpage;threadid=256

Geser
30.12.2004, 07:59
Нортон антивирус ещё не то скажет :) Стоит перейти на более надёжный антивирус.

Jolly Rojer
30.12.2004, 09:06
Нортон антивирус ещё не то скажет :) Стоит перейти на более надёжный антивирус.


Я согласен с администратором!!!
C НОВЫМ годом!
С уважением Jolly Rojer.

Lex
30.12.2004, 14:00
Нортон антивирус ещё не то скажет :) Стоит перейти на более надёжный антивирус.


Похоже, нортон совсем скис.... от былой славы осталось только имя...

Andrey
30.12.2004, 16:15
Что происходит при нажатии на данную ссылку?

Нортон антивирус кричит о наличии
Bloodhound.Exploit.6

http://virusinfo.info/index.php?board=26;action=printpage;threadid=256


Ложное срабатывание. У AntiVir'а аналогичная ситуация.
В принципе, чем лучше эвристик, тем велика вероятность ложного срабатывания.
У всех бывает (и у KAV, и у Dr.Web'а в том числе), но не у всех проходит :).

30.12.2004, 16:16
Нортон антивирус ещё не то скажет :) Стоит перейти на более надёжный антивирус.


1.)То есть, вы не знаете...? :-)

2.) Более надежный - это какой?

Ответы, по моему, риторические...

:-)

Andrey
30.12.2004, 16:22
Что происходит при нажатии на данную ссылку?

Нортон антивирус кричит о наличии
Bloodhound.Exploit.6

http://virusinfo.info/index.php?board=26;action=printpage;threadid=256


Скачаем страницу http://virusinfo.info/index.php?board=26;action=printpage;threadid=256 и упакуем в Zip архив. Проверим On-Line сканером.

http://virusscan.jotti.dhs.org/

AntiVir HTML/Exploit.Mhtml (0.26 seconds taken)
Avast No viruses found (3.06 seconds taken)
BitDefender No viruses found (0.72 seconds taken)
ClamAV Exploit.HTML.MHTRedir.1n (0.65 seconds taken)
Dr.Web No viruses found (1.08 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus Exploit.HTML.Mht (probable variant) (0.83 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.14 seconds taken)


http://www.virustotal.com/xhtml/index_en.html

AntiVir 6.29.0.5 12.30.2004 HTML/Exploit.Mhtml
BitDefender 7.0 12.29.2004 -
ClamAV devel-20041205 12.28.2004 Exploit.HTML.MHTRedir.1n
DrWeb 4.32b 12.30.2004 -
eTrust-Iris 7.1.194.0 12.30.2004 -
eTrust-Vet 11.7.0.0 12.30.2004 -
F-Prot 3.16a 12.29.2004 -
Kaspersky 4.0.2.24 12.30.2004 Exploit.HTML.Mht
NOD32v2 1.960 12.29.2004 -
Norman 5.70.10 12.29.2004 -
Panda 8.02.00 12.29.2004 -
Sybari 7.5.1314 12.30.2004 Exploit.HTML.Mht
Symantec 8.0 12.30.2004 Bloodhound.Exploit.6

Выводы делаем сами.
На данной странице содержится часть кода данного Exploit'а, вот антивирусы и трясёт (без Новогодней выпивки) :).

Andrey
30.12.2004, 16:34
Ответ тов. Касперского:

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=48656

Exploit.HTML.Mht

Другие названия:
Exploit.HTML.Mht («Лаборатория Касперского»)
также известен как:
Exploit-MhtRedir.gen (McAfee),
Exploit:HTML/MhtRedir.gen* (RAV),
Exploit.HTML.MHTRedir.1n (ClamAV),
Exploit/Mhtredir.gen (Panda).

Поведение: Exploit, реализация уязвимости.

Технические детали:
Данный файл детектируется как подозрительный по следующей причине: он содержит инструкцию, которая устанавливает на компьютер троянскую программу. При установке троянской программы используется брешь в системе безопасности Internet Explorer.

pig
30.12.2004, 17:04
Вспомнил. Было две темы, которые открывались только при загрушённом антивирусе (KAV) на прокси. И по сейчас так. По-моему, он реагирует на упоминание некоего CLSID в логе HijackThis. Может быть, в сочетании с именем файла.

azza
30.12.2004, 18:24
Вот на эту строку Каспер ругается: :)
Пробел убрать!
ms-its: mhtml:file://c:\nosuxyz.mht!

Geser
30.12.2004, 19:18
Мда, КАВ подкачал. Значит остаётся ДрВеб ;D

pig
30.12.2004, 20:26
Да нет, ругань, в общем-то, по делу. Не plain text ведь грузится, а HTML.

Geser
30.12.2004, 20:39
Да нет, ругань, в общем-то, по делу. Не plain text ведь грузится, а HTML.

Ну и что? Страничка-то безвредная.

azza
30.12.2004, 20:52
Эвристик слабый - не может разобраться - грузится или не грузится.

Geser
30.12.2004, 20:58
Эвристик слабый - не может разобраться - грузится или не грузится.

Эвристик вряд-ли имеет какое-то отношение. Просто сигнатуру некачественно сделали.

Andrey
30.12.2004, 22:15
Эвристик вряд-ли имеет какое-то отношение. Просто сигнатуру некачественно сделали.


Взял строку ms-its: mhtml:file://c:\nosuxyz.mht! (пробел убрать, см. выше), сохранил в формате .txt и подсунул Касперу:
Проверенный файл: Exploit.HTML.Mht.txt
Exploit.HTML.Mht.txt - подозрение на вирус Exploit.HTML.Mht.
Все-таки эвристик даёт ложные срабатывания :). В принципе, это нормальное явление среди AV программ.
P.S.: Эвристик Symantec'а, тоже ругается на данную строку - Bloodhound.Exploit.6
AntiVir и ClamAV - молчат. У них реакция на другие строки в Exploit'е.

http://www.virustotal.com/xhtml/index_en.html
AntiVir 6.29.0.5 12.30.2004 -
BitDefender 7.0 12.29.2004 -
ClamAV devel-20041205 12.28.2004 -
DrWeb 4.32b 12.30.2004 -
eTrust-Iris 7.1.194.0 12.30.2004 -
eTrust-Vet 11.7.0.0 12.30.2004 -
F-Prot 3.16a 12.29.2004 -
Kaspersky 4.0.2.24 12.30.2004 Exploit.HTML.Mht
NOD32v2 1.960 12.29.2004 -
Norman 5.70.10 12.29.2004 -
Panda 8.02.00 12.30.2004 -
Sybari 7.5.1314 12.30.2004 Exploit.HTML.Mht
Symantec 8.0 12.30.2004 Bloodhound.Exploit.6

P.S.: Основываясь на сигнатуре вируса KAV, Symantec и т.д. пытаются при помощи эвристического анализа найти модификацию вируса. Увы, не всегда удачно, т.к. эвристический анализ - вероятностный метод. Поэтому были, есть и будут ложные срабатывания. :)

Xen
01.01.2005, 14:34
Хахаха, и когда это у антивирусов были качественные сигнатуры? =)

Andrey
02.01.2005, 14:20
Что происходит при нажатии на данную ссылку?

Нортон антивирус кричит о наличии
Bloodhound.Exploit.6

http://virusinfo.info/index.php?board=26;action=printpage;threadid=256


Реакция эвристика Symantec'a (Bloodhound) - ложное срабатывание.
Имеет смысл понизить чувствительность эвристика, ложных срабатываний будет меньше.