PDA

Просмотр полной версии : Оффтоп из "Исследование антивирусов"



Страницы : [1] 2 3

HATTIFNATTOR
28.05.2005, 21:55
По свежеприсланным Alexey P ссылкам

AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found not a virus Joke.KeyPin
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

---------------------------------------------------------
AntiVir Found TR/Dldr.Small.agq.1
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.2489
F-Prot Antivirus Found unknown virus (probable variant)
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found Win32 (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found nothing
VBA32 Found nothing

--------------------------------------------------

AntiVir Found DIAL/Generic dialer
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.HangUp (probable variant)
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found Sandbox: W32/Dialer; [ General information ]

* File length: 11504 bytes.

[ Changes to system settings ]
* Enumerates RAS connections.
* Set dialer properties to dial ( ) 0.
* Attempts to dial out.

[ Network services ]
* Opens URL: http://217.73.66.1/minilog.php.
* Opens URL: http://217.73.66.1/mds.html?did=.

[ Process/window information ]
* Attemps to open iexplore http://217.73.66.16/md.php?data=.
VBA32 Found Dialer.Porno.24 (probable variant)

------------------------------------------------------------------

AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-518
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found Win32 (probable variant)
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

---------------------------------------------------------------------


AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Exploit.ADODB.Stream.Gen
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found probably modified JS/TrojanDownloader.Psyme.X (probable variant)
Norman Virus Control Found nothing
VBA32 Found nothing

-----------------------------------------------------------

AntiVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Downloader.Istbar-145
Dr.Web Found Trojan.Isbar.267
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found nothing
VBA32 Found nothing

--------------------------------------------------------

Antivirus Version Update Result
AntiVir 6.30.0.15 05.28.2005 no virus found
AVG 718 05.28.2005 no virus found
Avira 6.30.0.15 05.28.2005 no virus found
BitDefender 7.0 05.28.2005 no virus found
ClamAV devel-20050501 05.28.2005 no virus found
DrWeb 4.32b 05.28.2005 no virus found
eTrust-Iris 7.1.194.0 05.28.2005 no virus found
eTrust-Vet 11.9.1.0 05.27.2005 no virus found
Fortinet 2.27.0.0 05.27.2005 Adware/BDSr
Ikarus 2.32 05.27.2005 no virus found
Kaspersky 4.0.2.24 05.28.2005 no virus found
McAfee 4501 05.27.2005 potentially unwanted program Adware-BDSearch
NOD32v2 1.1112 05.27.2005 Win32/Adware.Toolbar.Baidu
Norman 5.70.10 05.27.2005 no virus found
Panda 8.02.00 05.28.2005 Adware/BDSToolbar
Sybari 7.5.1314 05.28.2005 no virus found
Symantec 8.0 05.27.2005 no virus found
VBA32 3.10.3 05.28.2005 no virus found

------------------------------------------------------------------------

Antivirus Version Update Result
AntiVir 6.30.0.15 05.28.2005 no virus found
AVG 718 05.28.2005 no virus found
Avira 6.30.0.15 05.28.2005 no virus found
BitDefender 7.0 05.28.2005 no virus found
ClamAV devel-20050501 05.28.2005 no virus found
DrWeb 4.32b 05.28.2005 no virus found
eTrust-Iris 7.1.194.0 05.28.2005 no virus found
eTrust-Vet 11.9.1.0 05.27.2005 no virus found
Fortinet 2.27.0.0 05.27.2005 no virus found
Ikarus 2.32 05.27.2005 no virus found
Kaspersky 4.0.2.24 05.28.2005 no virus found
McAfee 4501 05.27.2005 no virus found
NOD32v2 1.1112 05.27.2005 no virus found
Norman 5.70.10 05.27.2005 no virus found
Panda 8.02.00 05.28.2005 Spyware/CnsMin
Sybari 7.5.1314 05.28.2005 no virus found
Symantec 8.0 05.27.2005 no virus found
VBA32 3.10.3 05.28.2005 no virus found

Andrey
29.05.2005, 10:30
Не хочу встревать, но: всегда можно найти (подобрать) "зверя", которого не знает тот или иной антивирус :( + не стоит забывать о ложном срабатывании из-за некачественно написанных сигнатур (этим грешат многие антивирусы, даже весьма известные :( ).
Ошибки были, есть и будут. :(

AntiVir Found nothing
Avast Found Explosion-L3
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
mks_vir Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

Данный пример не показатель, т.к. avast! часто грешит ложными срабатываниями, но и для других AV программ можно поискать что-то подобное :) .

HATTIFNATTOR
29.05.2005, 10:41
Идея была не подбирать, выкладывать свеженайденное, которое определяют мало антивирусов (или определают эвристиком). Из того что я привел надо "вычеркивать" КАВ, т.к. у меня стоит КАВ и то что он определяет я не проверяю.
Правда это не было поймано на компьютере а собрано в интернет..

Andrey
29.05.2005, 10:48
А смысл, если через пару часов (дней) большинство AV компаний будут :) (или не будут :( ) этого зверя знать в лицо. И не факт, что конкретный пользователь заразится данным вирусом.
"Защита" все равно не успеет за "нападением". Вечная проблема "пули" и "брони".

Не обращай внимание на моё "ворчание", просто начитался Криса Касперски :( (http://www.i2r.ru/static/449/out_16512.shtml , http://www.i2r.ru/static/449/out_16513.shtml ).

Geser
29.05.2005, 11:29
Отделил потому что не понятно что проверялось в первом посте, флейм, и потом - условие такое. В оригинальную тему постить только то что не было поймано изначально каким-либо антивирусом. Т.е. то что было найдено ручками, и не на какм-то сайте, а реально живое на компютере.

Geser
29.05.2005, 11:46
Не хочу встревать, но: всегда можно найти (подобрать) "зверя", которого не знает тот или иной антивирус :( + не стоит забывать о ложном срабатывании из-за некачественно написанных сигнатур (этим грешат многие антивирусы, даже весьма известные :( ).
Ошибки были, есть и будут. :(


Идея в том, что бы постить результаты проверок именно "зверей" которые были выловлены живыми на компьютерах. Так что ложных срабатываний здесь быть практически не может.

Andrey
29.05.2005, 14:36
Твой форум (к тому же отличный) - твои правила (смирюсь). :)

Geser
29.05.2005, 14:40
Твоий форум - твои правила. :)
Дело не в том чей форум. Каждый пытается оценить эффективность антивируса как может. Если у тебя есть другие идеи - орткрой тему с описанием.

Sanja
29.05.2005, 17:10
>Dr.Web Found not a virus Joke.KeyPin
А кто то еще совсем недавно доказывал что дрвеб не вносит шутки в базы :))))

pig
30.05.2005, 01:57
Видимо, посчитали, что эта шутка может привести к инфаркту -> Riskware :)

Shu_b
16.08.2005, 11:20
This is a report processed by VirusTotal on 08/16/2005 at 08:06:47 (CET) after scanning the file "___1052" file.
DrWeb ответил что файлы битые.

ALEX(XX)
16.08.2005, 11:51
DrWeb ответил что файлы битые.

Здравствуйте.
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
---------
С уважением, Алексей Маланов
Вирусный аналитик
ЗАО "Лаборатория Касперского"

И вовсе они не битые, а Trojan-PSW.Win32.LdPinch.sx

Shu_b
16.08.2005, 15:44
Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
[drweb.com #113171] Обработано: New suspicious file submitted
Ваш запрос был проанализирован. Это был разрушенный файл.
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

ALEX(XX)
16.08.2005, 16:47
Vyacheslav Rusakov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
[drweb.com #113171] Обработано: New suspicious file submitted
Ваш запрос был проанализирован. Это был разрушенный файл.
Спасибо за сотрудничество.
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Да, было такое сообщение и мне. Да вот только я когда запустил этот файл, то получил массу неприятностей :) в виде процесса [email protected]>>l.exe, два ключа в автозапуске, бинарник в корне С: и исходящее соединение
8:37:56 sрооl32.exe ИСХ БЛОКИРОВАНО TCP m0dix.h15.ru HTTP Заблокировано Контролем Компонентов

Да простят мне администраторы флейм.

Shu_b
16.08.2005, 21:00
Да простят мне администраторы флейм.
Это не флейм, это исследование работы другой стороны работы антивируса...
Со второй посылки прошло :)

Michael Kharlamov - Virus Monitoring Service Doctor Web Ltd. <[email protected]>
[drweb.com #113487] Обработано: New suspicious file submitted
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.PWS.LDPinch.479
Trojan.PWS.LDPinch.478
Спасибо за сотрудничество.



PS пославшему файлы, просьба отсылать в архиве с паролем, последний посланный зарезан по дороге - Trojan.PWS.LDPinch.478

userr
08.03.2006, 21:57
Geser, я думаю если отличную картинку Shu_b разрешить "гостям" скачивать, это пойдет сайту только на пользу. Может, переместить ее куда-то?

Geser
09.03.2006, 14:05
Geser, я думаю если отличную картинку Shu_b разрешить "гостям" скачивать, это пойдет сайту только на пользу. Может, переместить ее куда-то?
Угу, не плохо-бы. Дать разрешение на одну картинку не могу. А переместить можно, конечно. Хоть и на ФТП заливать. Вопрос захочет-ли Shu_b с этим возиться :)

userr
09.03.2006, 15:45
А кто-нить пробовал эти виры запустить еще раз на следующий день.
Очень правильная мысль! Предлагаю завести отдельную тему, где будут результаты повторной проверки файлов через 1 или напр. 3 дня. Я думаю, все, кто пишет сюда сохраняют вирусы в своих коллекциях.

ALEX(XX)
09.03.2006, 16:04
Очень правильная мысль! Предлагаю завести отдельную тему, где будут результаты повторной проверки файлов через 1 или напр. 3 дня. Я думаю, все, кто пишет сюда сохраняют вирусы в своих коллекциях.

Вряд ли в этом есть смысл. Разве что посмотреть на скорость реакции аналитиков антивирусных компаний.Если не ошибаюсь, вирустотал рассылает во все лабы образцы которые сканились. Но разные компании по-разному воспринимают присланное. По личному опыту, ЛК впихивает в базы чуть-ли не всё, что попадётся, а ESET(NOD32) может Вам сообщить, что присланный образец является куском вредоносной программы, который сам по себе не является опасным и не включат её в базы ибо полную заразу эвристик ловит, а вот полный рабочий образец добавляют в течении нескольких часов(проверено лично). Да, кстати, на вирустотале Drweb расширенные базы не использует или нет?

userr
09.03.2006, 17:03
Разве что посмотреть на скорость реакции аналитиков антивирусных компаний.
Вот именно. Имхо, важный показатель.

MedvedD
09.03.2006, 17:33
http://greatis.com/unhackme/ - кто что знает про эту вещь?
Особенно умиляет:
"Your antivirus could not detect such programs because they use compression and encryption of its files."

UPD: Пардон, не поискал, такая прога уже упоминалась тут.

userr
15.03.2006, 13:20
Господа, с Panda работал кто-нибудь? В ней ответ "Suspicious file" не зашит случайно :) ? На основании чего он выдается? Навеяно исследованием антивирусов.

WaterFish
15.03.2006, 17:21
Всегда удивлялся разнице между рыночной долей, тестами и количеством детектируемых зверей на вирустотале:) (получилось "от забора до обеда") у Симантека.
Начитавшись virusinfo, даже боялся его ставить:)
Сегодня решился, поставил Corporate 10.
Скачал совсем немножко разного рода троянов и старых и посвежее. Прогнал virustotal и сканером.
Разница 100%. Т.е.на virustotal - no virus found, а на диске всё детектится. Настройки - по умолчанию, т.е. детектит всё.
Что то я наверно не понимаю, как так может быть.
Может на вирустотале не ловятся у сима трояны и т.п.? Но зачем такое положение вещей ОАО Симантек?
И наверно тогда судить о качестве SAV по вирустоталу неправильно.
Неужели люди, которые ставят в корпорация и фирмах дырявый антивирус смогут в них долго проработать:) и так в течении многих лет.
Не понимаю:(
Upd:гуру,пжл,объясните, что я неправильно делал, если SAV ловил зверей?
Вопрос такой, потому что как я понимаю этот антивирус здесь в очень большом непочёте, если не сказать точнее

Tony Montana
16.03.2006, 10:32
2 WaterFish,

Это уж точно, про "непочет";)

А мне вот инетерсно другое. Можно ли подружить БитДефендер 9 и КАВ 2006? Просто в тестах веткой выше именно эти два антивира ловят всю заразу. И если не ловит один, то обязательно ловит другой. Как бы их подружить-то? Я понимаю, что могут быть глюки и все такое, но меня больше инетерсует "дырявость". Вот говорят, что два фаера в системе = один дырявы фаер. Можно ли тоже самое сказать о двух антивирах?:)

ALEX(XX)
16.03.2006, 12:01
Можно ли подружить БитДефендер 9 и КАВ 2006?

К чему так заморачиваться? Ни один из антивирусов не даёт 100% защиты. Можно и 10 антивиров впихнуть на машину и тогда никакие виры не страшны, им ресурсов машины не останется :)

Стоит выбрать один антивир, который наиболее полно отвечает Вашим требованиям и требованиям Вашей компании и живите счастливо.

Geser
16.03.2006, 13:14
Всегда удивлялся разнице между рыночной долей, тестами и количеством детектируемых зверей на вирустотале:) (получилось "от забора до обеда") у Симантека.
Начитавшись virusinfo, даже боялся его ставить:)
Сегодня решился, поставил Corporate 10.
Скачал совсем немножко разного рода троянов и старых и посвежее. Прогнал virustotal и сканером.
Разница 100%. Т.е.на virustotal - no virus found, а на диске всё детектится. Настройки - по умолчанию, т.е. детектит всё.
Что то я наверно не понимаю, как так может быть.
Может на вирустотале не ловятся у сима трояны и т.п.? Но зачем такое положение вещей ОАО Симантек?
И наверно тогда судить о качестве SAV по вирустоталу неправильно.
Неужели люди, которые ставят в корпорация и фирмах дырявый антивирус смогут в них долго проработать:) и так в течении многих лет.
Не понимаю:(
Upd:гуру,пжл,объясните, что я неправильно делал, если SAV ловил зверей?
Вопрос такой, потому что как я понимаю этот антивирус здесь в очень большом непочёте, если не сказать точнее
Почему на Вирустотале не детектится то что детектится сканером должна голова болеть у Семантека.
Но и без Вирустотала, все кто помогает чистить компы в разделе "Помогите" могут сказать что самые грязные компьютеры, это те на которых стоит НАВ/САВ
А вообще, каждый выбирает антивирус по вкусу. Мы никому не запрещаем ставить Семантек или Норман.

WaterFish
16.03.2006, 15:37
Но и без Вирустотала, все кто помогает чистить компы в разделе "Помогите" могут сказать что самые грязные компьютеры, это те на которых стоит НАВ/САВ
Я регулярно читаю virusinfo, в том числе раздел "Помогите".
Навскидку, мне кажется, что симантека поменьше, чем каспера или веба.
Если же говорить про англоязычные конференции, то наверно даже если бы все антивиры были одинаково полезны, то наличие проблемных пользователей симантека было бы на этих форумах выше других в силу 60% рынка симантека.
Как я уже говорил, вряд ли все админы крупных сетей полные идиоты и покупают продукт, который ну совсем плохо ловит мышей.
В силу вышесказанного, сугубо отрицательное отношение к симантеку (га...но отстой, гадость и т.п.) может быть связано исключительно с плохими личными переживаниями:) ну пропустил когда то вирь, ну не смог вылечить, ну не смог архив удалить, а так поступают ВСЕ антивирусы:) IMHO.
Хотел бы уточнить: у меня на работе стоит каспер, дома - DrWeb и менять их пока не собираюсь:)

ALEX(XX)
16.03.2006, 16:19
В своё время, когда работал админом в комп. клубе, пользовался я НАВ 2003, 2004, 2005. Люди юзали ИЕ, сидели под ограниченными пользователями (вынь 2000 про + все заплатки). За 3 года работы не было ни одного жестокого случая заражения. Та гадость, которая попадалась, убивалась сразу. Периодически проверял машины другими антивирями, трояна в кэше ИЕ нашёл несколько раз. Эпидемии как-то меня миновали, каким чудом, неизвестно :) Единственно, чем меня нортон раздражал порой, так это своей тяжеловесностью. Много раз я убеждался, что при кривых руках ни один антивир эффекта не даёт. Порой как увидишь настройки антивируса, только диву даёшься, как он вообще что-то ловит. Отсылал в симантек заразу, реагировали в течении 1-2 дней. ИМХО, нормальный антивирь.

WaterFish
16.03.2006, 16:29
Единственно, чем меня нортон раздражал порой, так это своей тяжеловесностью
Я много где читал про тяжеловесность дяди Пети, но вчера поставил себе, настройки на максимуме, ничего не тормозит, скорость полной проверки сопоставима с каспером 6 и вебом.
На этой же машине каспер 5, битдефендер безбожно её тормозили.

Update: может стоит исключить из темы "Исследование антивирусов" Symantec?
Не стоит людей, ну и себя:) вводить в заблуждение, ведь для многих всякого рода тесты очень авторитетны и уважаемы.
Не очень ведь сейчас много, слава богу, классических червей и вирусов.
А другое Symantec на virustotal и не ловит.
Да, кстати, на вирустотале и вэб тоже не полный и авира(хотя он может и специально) и может что то еще.
Нужно, наверно, учитывать.

Tony Montana
17.03.2006, 18:25
2 Alexx,

Если посмотреть по тестам в соседней ветке, то окажется, что и тот и другой успешно ловят заразу через раз;) Вобщем, попробовал вчера подружить их: КАВ 2006 бета + СиС (с встроенным БитДефендером). Продукты друг на друга не ругались, но производительность машины конкретно упала и-за проверки каждого файла сразу двумя антивирами (настройки везде по максимуму). Удалил СИС за ненадобностью, т.к. и Каспер отлично следит и за реестром и за выполняемыми прогами, и машина сразу стала работать нормально;)

Xen
17.03.2006, 18:47
NAV так же легко обходится, как и KAV. Что касается тяжеловесности первого, то это просто финиш. SAV ничем ему в этом показателе не уступает.

Alexey P.
17.03.2006, 23:35
Давайте лучше поговорим конкретнее. Доводы вроде "там не ловит, а вот тут ловит все, что шевелится" - оно как-то не очень убеждает.

Вот обратился я в вирус-лаб. Предположим, за помощью. Ага, 9 раз :). Зараза не детектится почти никем (если интересно, могу показать результаты с вирустотал).
Вот выборка из переписки (тикеты от RT c [email protected]):
================================================== ======
17 марта 2006 г., 19:35:52 [drweb.com #151743] Создан: updated Dialer.Riprova
17 марта 2006 г., 23:05:49 [drweb.com #151743] Обработано: updated Dialer.Riprova

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.DownLoader.7342

17 марта 2006 г., 19:44:34 [drweb.com #151744] Создан: updated Trojan.Spambot
17 марта 2006 г., 23:01:56 [drweb.com #151744] Обработано: updated Trojan.Spambot

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.PWS.Alachun

17 марта 2006 г., 19:49:54 [drweb.com #151745] Создан: updated Trojan.DownLoader.6306, 6612
17 марта 2006 г., 22:58:57 [drweb.com #151745] Обработано: updated Trojan.DownLoader.6306, 6612

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.DownLoader.7340
Trojan.DownLoader.7341

17 марта 2006 г., 19:56:32 [drweb.com #151746] Создан: updated Trojan.TanSpy
17 марта 2006 г., 22:58:30 [drweb.com #151746] Обработано: updated Trojan.TanSpy

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.PWS.Tanspy

17 марта 2006 г., 20:04:51 [drweb.com #151747] Создан: updated Adware.DollarRevenue
17 марта 2006 г., 22:53:05 [drweb.com #151747] Обработано: updated Adware.DollarRevenue

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Adware.DollarRevenue

17 марта 2006 г., 20:12:28 [drweb.com #151749] Создан: updated Trojan.DownLoader.7045
17 марта 2006 г., 22:09:28 [drweb.com #151749] Обработано: updated Trojan.DownLoader.7045

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.DownLoader.7339

17 марта 2006 г., 20:24:57 [drweb.com #151751] Создан: BackDoor-BAC.gen.b (McAfee)
17 марта 2006 г., 21:55:43 [drweb.com #151751] Обработано: BackDoor-BAC.gen.b (McAfee)

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
BackDoor.Haxdoor.220

17 марта 2006 г., 20:26:42 [drweb.com #151752] Создан: updated Trojan.MulDrop.3366
17 марта 2006 г., 21:42:17 [drweb.com #151752] Обработано: updated Trojan.MulDrop.3366

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.MulDrop.3385

17 марта 2006 г., 20:31:51 [drweb.com #151753] Создан: updated Trojan.DownLoader.4990
17 марта 2006 г., 21:33:26 [drweb.com #151753] Обработано: updated Trojan.DownLoader.4990

Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
_Dialer.Celebrat
================================================== ======

Так бывает не всегда, иногда приходится ждать. Но, согласитесь, разница с вышенаписанным как бы заметна. И детектироваться оно начнет через пару часов.
А теперь покажите, плиз, что-то хотя бы отдаленно похожее для SAV/NAV.

Alexey P.
18.03.2006, 00:24
Ну, и чтобы уж совсем конкретно - речь в вышеприведенных письмах шла вот об этом софте:
hxxp://195.225.176.34/ad/0077/advertool.exe
hxxp://81.177.3.175/images/parad.raw
hxxp://game4all.biz/adv/soft1/proxy.exe
hxxp://game4all.biz/adv/soft1/tool.exe
hxxp://porno-video-free.com/loader/bin/file1.exe
hxxp://promo.dollarrevenue.com/webmasterexe/drsmartload154a.exe
hxxp://traffweb.biz/progs/ms1.txt
hxxp://traffweb.biz/progs/tool3.txt
hxxp://www.positanoperu.com/sys.exe
hxxp://www.sexycelebrita.net/ax.exe

Проверяйте, сравнивайте. Ставить все не обязательно - онлайны у нормальных антивирусов имеются. Ссылки на этом форуме есть, кто еще не имеет их в закладках.
Только есть смысл поторопиться - зараза довольно часто меняется. Раз в день, иногда реже, изредка чаще. Сколько, говорите, раз в неделю обновляется Питер ? Один ? Два ? И о каком их детектировании тогда может вообще идти речь ?

WaterFish
19.03.2006, 15:53
Сколько, говорите, раз в неделю обновляется Питер
Раз в сутки - LiveUpdate.

Никого не хочу разубеждать в заблуждениях.
Ещё раз повторю, на работе у меня каспер, дома DrWeb.
Sym поставил, потому что логически не верил:), что он га...но полное. И думаю логика меня не подвела.


Ну, и чтобы уж совсем конкретно - речь в вышеприведенных письмах шла вот об этом софте:
Завтра скачаю, и напишу реакции Symanteca.

Geser
19.03.2006, 17:14
Только Norton AntiVirus 2006 or Norton Internet Security 2006 обновляются раз в день. Остальные раз в неделю. А раз в неделю, что есть антивирус, что нет.

WaterFish
20.03.2006, 09:09
Завтра скачаю, и напишу реакции Symanteca
Если кому интересно:

ALEX(XX)
20.03.2006, 09:21
Кстати, интересен такой факт: если отправить образец McAfee и зараза действительно серьёзная, то базы для лечения пришлют по почте.

Alexey P.
20.03.2006, 14:33
Если кому интересно:
Угу, интересно. На картинке отловлены три из девяти.
А остальные ?

Остальные подождут ? (с) анекдот :).

Alexey P.
20.03.2006, 14:35
Кстати, интересен такой факт: если отправить образец McAfee и зараза действительно серьёзная, то базы для лечения пришлют по почте.
Макафи вообще приличный антивирус, по отзывам.

ALEX(XX)
20.03.2006, 15:04
Макафи вообще приличный антивирус, по отзывам.

Угу. И по моим наблюдениям - идеален для простых пользователей. Минимум "гаек" которые надо крутить. Настройки по дефолту соответствуют максимальной защите, приятный интерфейс, неплохая эвристика. Интуитивно понятен. У нас не распространён по причине отсутствия русской версии, хотя там и так вроде всё просто и ясно.

userr
20.03.2006, 15:06
Если кому интересно:
А на virustotal их Symantec определяет?

Alexey P.
20.03.2006, 15:15
Да он как бы и на картинке не очень определяет :).
Три из девяти - это круто.

Alexey P.
20.03.2006, 15:32
Да он как бы и на картинке не очень определяет :).
Три из девяти - это круто.
Вот сейчас скачал и проверил сканером дрвеба:
[Scan path] D:\wget\virs\tst\promo.dollarrevenue.com
D:\wget\virs\tst\promo.dollarrevenue.com\webmaster exe\drsmartload154a.exe is adware program Adware.DollarRevenue

[Scan path] D:\wget\virs\tst\81.177.3.175
D:\wget\virs\tst\81.177.3.175\images\parad.raw infected with Trojan.Spambot - deleted

[Scan path] D:\wget\virs\tst\game4all.biz
>D:\wget\virs\tst\game4all.biz\adv\soft1\proxy.exe infected with Trojan.DownLoader.7340 - deleted
>D:\wget\virs\tst\game4all.biz\adv\soft1\tool.exe infected with Trojan.DownLoader.7341 - deleted

[Scan path] D:\wget\virs\tst\porno-video-free.com
D:\wget\virs\tst\porno-video-free.com\loader\bin\file1.exe infected with Trojan.PWS.Tanspy - deleted

[Scan path] D:\wget\virs\tst\195.225.176.34
>D:\wget\virs\tst\195.225.176.34\ad\0077\advertool. exe infected with Trojan.DownLoader.7342 - deleted

[Scan path] D:\wget\virs\tst\traffweb.biz
D:\wget\virs\tst\traffweb.biz\progs\ms1.txt infected with Trojan.DownLoader.7380 - deleted
D:\wget\virs\tst\traffweb.biz\progs\tool3.txt infected with Trojan.DownLoader.6985 - deleted

[Scan path] D:\wget\virs\tst\www.positanoperu.com
D:\wget\virs\tst\www.positanoperu.com\sys.exe infected with Trojan.MulDrop.3391 - deleted

[Scan path] D:\wget\virs\tst\www.sexycelebrita.net
>D:\wget\virs\tst\www.sexycelebrita.net\ax.exe is dialer program Dialer.Celebrat

Сейчас попробую кавом проверить - думаю, все будет аналогично.

WaterFish
20.03.2006, 16:09
А на virustotal их Symantec определяет?
Нет.

Три из девяти - это круто
Отправь в Symantec - будет все определять:)

Alexey P.
20.03.2006, 16:26
Вот проверка того же KAV-ом:
D:\wget\virs\tst\promo.dollarrevenue.com\webmaster exe\drsmartload154a.exe Инфицирован Trojan-Downloader.Win32.Adload.ab
D:\wget\virs\tst\81.177.3.175\images\parad.raw Инфицирован Trojan-Proxy.Win32.Lager.ar
D:\wget\virs\tst\game4all.biz\adv\soft1\proxy.exe Инфицирован Trojan-Downloader.Win32.Tibs.dm
D:\wget\virs\tst\game4all.biz\adv\soft1\tool.exe Инфицирован Trojan-Downloader.Win32.Tibs.dl
D:\wget\virs\tst\porno-video-free.com\loader\bin\file1.exe Инфицирован Trojan-PSW.Win32.Agent.eo
D:\wget\virs\tst\195.225.176.34\ad\0077\advertool. exe Инфицирован Backdoor.Win32.Agent.we
D:\wget\virs\tst\traffweb.biz\progs\tool3.txt Инфицирован Trojan-Downloader.Win32.Tiny.bm
D:\wget\virs\tst\www.positanoperu.com\sys.exe Инфицирован Trojan-Dropper.Win32.Small.ang
D:\wget\virs\tst\www.sexycelebrita.net\ax.exe Инфицирован Trojan.Win32.Dialer.oq

Alexey P.
20.03.2006, 16:33
Нет.

Отправь в Symantec - будет все определять:)
Вот когда будет - тогда и будет о чем говорить.
А пока, извините, просто не о чем.
Красивая туфта, не подкрепленная более ничем.

P.S. Ссылки я давал. Если Вы внимательно смотрели бы (впрочем, достаточно посмотреть на даты файлов по этим ссылкам) - часть заразы за прошедшее время уже обновилась и не детектилась. Как видите из вышеприведенных логов сканирования, нормальные антивирусы уже добавили обновленное в свои базы.
Выборка была абсолютно случайной. И даже на таком - такой крутой результат. Сорри, но только слепой может не видеть, что чего стоит.
Перепроверить все, что я написал выше - легче легкого. Если даже это для Вас не аргумент, говорить больше просто не о чем.

ALEX(XX)
20.03.2006, 16:59
2 Alexey P.

Проверил те ссылки, что Вы дали, НОД32 - не увидел первых 2-х зверей. Отправлю аналитикам, посмотрю, что скажут.

rayoflight
20.03.2006, 19:18
"Эта песня хороша,начинай сначала":(
Alexey P.

Я не пойму,кому и что ты пытаешься доказать?Что те же текстовые файлики,эти огрызки,могут сильно навредить?
Или что Dr.Web такой "крутой?
Я понимаю,что у некоторых хобби уже стало страстью:хлебом не корми,дай обо*рать мировые брэнды.
Все эти файлы меняются каждый день,если не чаще.Сейчас вот прогнал некоторые на Virus Total,так вообще никто ничего не видит.
Мой KAV так же в упор не видит никакого вируса в файле parad.raw
Это вообще странно.


но только слепой может не видеть, что чего стоит.

Бедные-бедные миллионы пользователей Symantec,Trend Micro,McAfee и т.д....Ну,почему они,глупые, до сих пор так и не поняли,"что чего стоит"?

Alexey P.
20.03.2006, 19:24
Проверил те ссылки, что Вы дали, НОД32 - не увидел первых 2-х зверей. Отправлю аналитикам, посмотрю, что скажут.

Угу, отлично. Если не затруднит - покажите результат здесь. Самое интересное - даты: отправлено - обработано.

А суть их ответа, имхо, и так вполне понятна - если еще есть сомнения, можно проверить заразу на вирустотал, там скорее всего, кроме касперского и дрвеба, уже детектит еще кто-нибудь - макафи, VBA и т.п.

Все приведенные в этом треде ссылки - действующая зараза. Т.е. то, что потом обнаруживается у пользователей в разделе "Помогите".
Трояны и т.п., лежащие где-то на складах, аккуратно разложенные и с приложенной инструкцией, мне не интересны, и ссылок на них у меня почти нет.

rayoflight
20.03.2006, 19:41
У нас не распространён по причине отсутствия русской версии, хотя там и так вроде всё просто и ясно.
У Norton AV тоже нет русского фейса,тем не менее,его почему-то ставят все подряд,даже те,которые не знают что такое full scan,не говоря уже о настройках.
Мазохисты,наверное:)
У McAfee интерфейса-то,как такового,в принципе и нет:его заменяет дурацкий Security Center с рекламой других продуктов.
В интернете много жалоб на автоапдейты посредством ActiveX.Так же нередки проблемы с установкой/удалением,особенно на неанглийских системах.

Alexey P.
20.03.2006, 19:45
"Эта песня хороша,начинай сначала":(
Alexey P.

Я не пойму,кому и что ты пытаешься доказать?Что те же текстовые файлики,эти огрызки,могут сильно навредить?

М-да, после такой заявки доказать Вам персонально что-то сложно.
Думаю, и упомянутым Вами пользователям симсов - тоже.

Конкретней можно - где там хоть один текстовый файл ? Или то, что с расширением txt, не может быть ничем другим ?

ЗЫ: А о вреде я и не говорю. Разве ж рассылаемый через вас спамботом спам - это вред ? Нет, вот Вам всё равно, а спамеру - так вообще прямая польза :).


Все эти файлы меняются каждый день,если не чаще.
Сейчас вот прогнал некоторые на Virus Total,так вообще никто ничего не видит. Мой KAV так же в упор не видит никакого вируса в файле parad.raw. Это вообще странно.

А чего ж тут странного ? Перечитайте мои письма хотя бы в одном этом треде, я несколько раз написал - оно часто обновляется. Это естественное состояние этой заразы - оно не для того пишется и выкладывается, чтоб его все сдуру сразу детектили. Люди свои деньги честно отрабатывают.
Насчет "каждый день, если не чаще" - нет, не чаще. Слава богу :).
А за наводку на обновленное добро спасибо, сейчас посмотрим.

А насчет "огрызков текстовых файлов" - Вы что-то явно путаете. Это зараза в самом ее натуральном виде.

Geser
20.03.2006, 19:51
Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите" ;)

Alexey P.
20.03.2006, 19:57
rayoflight - взгляните на один файл:
hxxp://fr33.by.ru/ol.txt
Вот он действительно текстовый, в отличие от всего вышеупомянутого.
Одно странно - эти сбрендившие параноики обзывают невинный текст каждый по-своему: кто Win32.HLLM.Graz.based, кто Worm.Win32.Feebs, кто и похуже.
В смысле никак не обзывает :).

ЗЫ: Блин, этот спамбот точно обновился. Задолбали, труженики мыша и клавы.
rayoflight, сенкс. Я сегодня и не собирался его проверять.

ЗЗЫ: Ну елы палы, показал пример. Один дрвеб детектит :).
--20:15:56-- hxxp://fr33.by.ru/ol.txt
=> `vir-mass/fr33.by.ru/ol.txt'
Connecting to 192.168.0.1:3128... connected.
Proxy request sent, awaiting response...
1 HTTP/1.0 200 OK
2 Date: Mon, 20 Mar 2006 17:15:27 GMT
3 Last-Modified: Mon, 20 Mar 2006 03:17:29 GMT
4 ETag: "14e1-1310d-993e8440"
5 Content-Length: 78093
6 Content-Type: text/plain; charset=WINDOWS-1251
7 Proxy-Connection: close
200 OK
В смысле червь обновился сегодня утром. Вот, тебе, бабушка, и юрьев день.
Даже кав и макафи не детектит. Могут, если захотят :).

This is a report processed by VirusTotal on 03/20/2006 at 18:15:37 (CET) after scanning the file "ol.txt" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 Win32.HLLM.Graz.based
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1452 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.20.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found

To rayoflight - если Вы еще не в курсе, это один из крутейших червей настоящего времени.
Говорят, действительно качественно сделан. Тут на форуме о нем уже много писали, заходили и испытавшие удовольствие :).

Alexey P.
20.03.2006, 20:11
Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите" ;)
:).

Не, мы честные люди. И тем, кто хочет знаний - даем в руки реальные факты. Пусть смотрят, думают. Если не разучились еще совсем.

Совсем забыл, точнее, и мысли о такой возможности не допускал -
rayoflight
Не запускайте файлы, приведенные по ссылкам в этом треде. Они совсем не безопасны. Это не тестовые примеры, а реальные трояны.
Я не зря деактивировал все ссылки, изменив http на hxxp. Это мера защиты от случайного запуска.

rayoflight
20.03.2006, 21:20
Alexey P
Не запускал я ничего,спасибо за заботу:)
А насчёт hxxp так эти файлы прекрасно скачиваются и так,без hxxp/http
Кому надо,уже скачали и запустили:)
P.S.
Где ты берёшь всё это?

Гость
20.03.2006, 21:24
Я смотрю Др Веб показывает довольно хорошие результаты?

Участковый
20.03.2006, 21:25
Вот проверка того же KAV-ом:

Небольшое дополнение. Я отправил эти файлы в ЛК около 12 ночи, ответ пришёл уже в четыре часа утра.

Alexey P.
20.03.2006, 21:33
Где ты берёшь всё это?

Да где придется. Вы верно заметили - хобби. И достаточно интересное.
Надо сказать, прекрасно вписывается в девиз этого форума - "За чистый интернет".
Многие из ссылок, включая и часть из приведенных в этом треде, взяты из лога загрузок других троянских загрузчиков. Сначала находишь немного, потом они сами покажут, где их гадюшник.
Есть сайты в интернете по этой тематике, к примеру, сайт японца Foffo Gunkanmaki. Много взял ссылок в свое время у него, да и сейчас поглядываю порой. Отсылал ему найденные мной ссылки - поблагодарил, часть выложил. Вот примерно так.

Alexey P.
20.03.2006, 22:14
Я смотрю Др Веб показывает довольно хорошие результаты?
Да. По сравнению, скажем, с годом назад - намного улучшили работу вирус-лаба, увеличили число аналитиков и, по моему скромному мнению, более грамотно организовали их работу. Результат налицо. Хотя и хотелось бы большего.

Вот, к примеру, Участковый написал:


Небольшое дополнение. Я отправил эти файлы в ЛК около 12 ночи, ответ пришёл уже в четыре часа утра.

Вот этого вирус-лаб дрвеба еще не может. Круглосуточного дежурства нет, разве что изредка при необходимости.
Работают реально примерно с 10 утра до 12 ночи msk. А с 12 до утра - перерыв.

Alexey P.
20.03.2006, 23:02
rayoflight - взгляните на один файл:
hxxp://fr33.by.ru/ol.txt
Вот он действительно текстовый, в отличие от всего вышеупомянутого.
Одно странно - эти сбрендившие параноики обзывают невинный текст каждый по-своему: кто Win32.HLLM.Graz.based, кто Worm.Win32.Feebs, кто и похуже.
В смысле никак не обзывает :).
...
To rayoflight - если Вы еще не в курсе, это один из крутейших червей настоящего времени.
Говорят, действительно качественно сделан. Тут на форуме о нем уже много писали, заходили и испытавшие удовольствие :).

Вот что о нем думает дрвеб:
================================================
Antivirus alert!

Access to this resource was denied 'cause of administrative reason. Please save content of this page and ask your system administrator for further details.
Dr.Web version:

Dr.Web (R) daemon for Linux v4.33 (4.33.0.09211)
Copyright (c) Igor Daniloff, 1992-2005
Engine version: 4.33

[email protected]

fr33.by.ru/ol.txt

- archive MAIL

packed by UPACK

infected with Win32.HLLM.Graz.based
================================================

Alexey P.
21.03.2006, 00:09
Насчет "каждый день, если не чаще" - нет, не чаще. Слава богу :).

Сглазил.
parad.raw только за сегодняшний вечер обновился уже во второй раз как минимум. Не успели добавить предыдущий вариант - Trojan.PWS.Alachun (тырилка паролей, личной и банковской информации) - как оно снова обновилось, и снова не детектится. Вот такие пироги.
А вы говорите - "LiveUpdate раз в день" - и всего лишь один продукт.
Тут обновления многократно в сутки, и то еле успевают отслеживать. А с такой частотой обновлений, как у симсов - глухо, можно даже не надеяться на детектирование так часто изменяемых троянов.

Во - надо скачать образец, отправить, подождать неделю - другую и проверить. Вот тогда шанс на его детектирование будет. А живую заразу из интернета ловить - сорри, непригодно.

WaterFish
21.03.2006, 21:23
Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите"

Я не думаю, что популярность virusinfo зависит от пользования нортоном или любым другим из существующих сегодня антивирусов.
Популярность будет и так расти, особенно раздела "Помогите".:)
Я думаю неплохим подтверждением будут слова Alexey P.

Сглазил.
parad.raw только за сегодняшний вечер обновился уже во второй раз как минимум. Не успели добавить предыдущий вариант - Trojan.PWS.Alachun (тырилка паролей, личной и банковской информации) - как оно снова обновилось, и снова не детектится. Вот такие пироги.
А вы говорите - "LiveUpdate раз в день" - и всего лишь один продукт.
Тут обновления многократно в сутки, и то еле успевают отслеживать. А с такой частотой обновлений, как у симсов - глухо, можно даже не надеяться на детектирование так часто изменяемых троянов.

Ни симсы ни касперы не помогут в большинстве случаев заражений ITW. Хорошо если они будут детектить 40-50%
http://virusinfo.info/attachment.php?attachmentid=1850&d=1142878599
Есть, конечно, тесты, дающие 90-99,5%, но не о них же мы сейчас говорим?;)
А если говорить о темпах роста вредоносных програм, то получается вообще тяжёлая и безрадостная картина. (http://www.viruslist.com/ru/analysis?pubid=179106910)
Не кажется ли вам, что споры о том какой из них лучше, а какой хуже хотя и раньше были бессмысленными, но сейчас перестают нести даже малейший практический смысл?
Что не ловит один антивирус, то поймает другой и наоборот. А в большинстве случаев, насколько понимаю пока не подавляющем, не поймает ни один.
Ждём качественных изменений в технологиях?:)

Geser
21.03.2006, 22:54
Понятно что ни один антивирус не даёт 100% гарантии.
Так же понятно, что когда трояны меняются по нескольку раз в день, у антивируса который обновляется каждый час поймать что-то больше шансов чем у того, который обновляется один раз в день(при том в этом обновлении не факт что всё что было прислано за предыдущий день).
А уж про эвристик, поддержку пакеров и т.д. это отдельный разговор. Так что не все антивирусы одинаково полезны.

Гость
21.03.2006, 23:58
А можно узнать какие антивирусы вы сами используете?

Alexey P.
22.03.2006, 02:57
Dr.Web, KAV. Второй - лишь сканер, изредка для профилактики.

ЗЫ: Лучший антивирус - своя голова на плечах :).
Надо делать так, чтобы сама возможность заражения была сведена к минимуму. Антивирус - это скорее похоже на страхование имущества - никто же не рассчитывает, что это страхование спасет от пожара. А на антивирус почему-то надеются, что он все и поймает, и вылечит и т.д.
Из этого треда неплохо видно, что вероятность "не поймать" - совсем не нулевая.
Про лечение - отдельная песня. Далеко не всегда это действительно качественное лечение. Обезвредить заразу - это да, это пожалуйста. А вот вернуть систему в то состояние, в котором она была до заражения - фигушки. И каким боком имевшее место заражение потом обернется - еще вопрос. И ответа на него нет ни у одного антивируса - раз на раз не приходится, грехи есть у всех. И в лицензионных соглашениях это по сути явно и чуть ли не крупными буквами прописано.

Alexey P.
22.03.2006, 03:46
Ни симсы ни касперы не помогут в большинстве случаев заражений ITW. Хорошо если они будут детектить 40-50%

Имхо, повыше. У KAV, Dr.Web - не меньше процентов 80 - 90. Про остальных не скажу, потому как действительно вижу их результаты только на virustotal, а у испанцев разгильдяйство - это классика :). Но, думаю, процент поменьше будет.

ЗЫ: А их панда - это вообще кино. Несерьезный какой-то антивирус, часто детектят то, что другие антивирусы вообще отказываются включать в базы.


Есть, конечно, тесты, дающие 90-99,5%, но не о них же мы сейчас говорим?;)

:).
Чистая реклама, без нее никуда. К сожалению, это касается и независимых ресурсов, что уж там говорить о продавцах этого софта - у них работа такая, продать побольше.


Не кажется ли вам, что споры о том какой из них лучше, а какой хуже хотя и раньше были бессмысленными, но сейчас перестают нести даже малейший практический смысл?
Что не ловит один антивирус, то поймает другой и наоборот. А в большинстве случаев, насколько понимаю пока не подавляющем, не поймает ни один.
Ждём качественных изменений в технологиях?:)
Да чего ждать - защищаться-то надо сейчас.
Минимум давно известен - не использовать IE (либо грамотно его настраивать и своевременно обновлять, если знаний хватает), обязательно иметь на компьютере персональный файерволл, обновлять систему от производителя (Windows Update и т.п.).
Ну, и антивирус со свежими базами, куда ж без него.

K_Mikhail
22.03.2006, 18:51
This is a report processed by VirusTotal on 03/22/2006 at 16:49:42 (CET) after scanning the file "out_.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.14 03.22.2006 no virus found
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.21.2006 no virus found
Avira 6.34.0.53 03.22.2006 no virus found
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.22.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.22.2006 no virus found
DrWeb 4.33 03.22.2006 no virus found
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 no virus found
Ewido 3.5 03.22.2006 no virus found
Fortinet 2.71.0.0 03.22.2006 suspicious
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.22.2006 no virus found
Kaspersky 4.0.2.24 03.22.2006 no virus found
McAfee 4723 03.21.2006 no virus found
NOD32v2 1.1455 03.22.2006 no virus found
Norman 5.70.10 03.22.2006 no virus found
Panda 9.0.0.4 03.21.2006 Suspicious file
Sophos 4.03.0 03.22.2006 no virus found
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 no virus found
UNA 1.83 03.22.2006 no virus found
VBA32 3.10.5 03.22.2006 no virus found

azza
22.03.2006, 19:38
This is a report processed by VirusTotal on 03/22/2006 at 16:49:42 (CET) after scanning the file "out_.exe" file.

Antivirus Version Update Result
CAT-QuickHeal 8.00 03.22.2006 (Suspicious) - DNAScan
Fortinet 2.71.0.0 03.22.2006 suspicious
Panda 9.0.0.4 03.21.2006 Suspicious file

Мне думается, это из серии http://virusinfo.info/showpost.php?p=68968&postcount=66

RiC
22.03.2006, 19:51
Мне думается, это из серии http://virusinfo.info/showpost.php?p=68968&postcount=66
Может и нет, но чем-то упакован однозначно.

WaterFish
22.03.2006, 22:37
Так же понятно, что когда трояны меняются по нескольку раз в день, у антивируса который обновляется каждый час поймать что-то больше шансов чем у того, который обновляется один раз в день(при том в этом обновлении не факт что всё что было прислано за предыдущий день).

Ну если постоянно сидеть в варезниках, порнухе и т.п. злачных местах, то не помогут и ежесекундные обновления:)
При реально же опасных эпидемиях, при обнаружении червей, эксплуатирующих свежую уязвимость, основные антивирусы выпускают экстренные обновления, насколько помню достаточно оперативно, причём даже быстро, рассылая конкурентам, образцы зверей(когда то об этом в интервью Е.К. читал)
Учитывая это, наверное не стоит делать фетиша из ежечасных обновлений:). Хотя раз в час конечно лучше, чем раз в неделю.




ЗЫ: Лучший антивирус - своя голова на плечах.


Не всегда и тем более не всем это помогает:)


...грехи есть у всех. И в лицензионных соглашениях это по сути явно и чуть ли не крупными буквами прописано.


Сразу вспомнилось старенькое::)

Если бы программы были едой. Опус.

1. Повара и кондитеры не отвечали бы за пищевые отравления.
2. Делиться куском было бы в большинстве случаев воспрещено.
3. Во всех столовых на подносах, на тротуарах и в общественных
туалетах лежали бы огрызки булочек, завернутые в бумажки с
надписью "Если вы съели эту булочку, пожалуйста, купите целую!
Купив целую булочку всего за $29.99 вы получаете скидки при
покупке бОльшего количества булочек за один раз и скидки при
покупке булочек следующей выпечки!"
4. К каждому блюду полагалась бы обширная инструкция, как его
есть. Впрочем, попытка съесть продукт, руководствуясь
инструкцией, обычно приводила бы к общему отравлению.
5. К некоторым продуктам прилагался бы список "О
несовместимости следующих продуктов и нашего при совместном
употреблении".
6. Все продукты были бы просто нашпигованы гайками, шурупами,
дохлыми крысами и прочими аппетитными вещами. Звонок на
фирму-производителя:
"Да, мы знаем о наличии некоторого количества стрихнина в
наших тортах и работаем над тем, чтобы его там не было. Пока
что вы можете есть наш торт после двухчасового вымачивания в
соленой воде. Спасибо за звонок."
7. Продукты двухмесячной давности считались бы свежими.

K_Mikhail
22.03.2006, 23:27
Может и нет, но чем-то упакован однозначно.
Да нет, файл оказался разрушенным... Так что прошу результаты по нему в статистике не учитывать...

Alexey P.
23.03.2006, 04:04
Ну если постоянно сидеть в варезниках, порнухе и т.п. злачных местах, то не помогут и ежесекундные обновления:)
При реально же опасных эпидемиях, при обнаружении червей, эксплуатирующих свежую уязвимость, основные антивирусы выпускают экстренные обновления, насколько помню достаточно оперативно, причём даже быстро, рассылая конкурентам, образцы зверей(когда то об этом в интервью Е.К. читал)
Учитывая это, наверное не стоит делать фетиша из ежечасных обновлений:). Хотя раз в час конечно лучше, чем раз в неделю.

Не согласен.
Раз в час и раз в неделю - слишком серьезная разница. Особенно как в рассматриваемых примерах, когда зараза обновляется раз в день, а то и несколько раз в день.
Первое позволяет свести риск к минимуму, второе - почти гарантирует беззащитность компьютера в большинстве случаев. Неделя - это слишком много. Что толку в полученном раз в неделю обновлении, хоть даже в него и добавлено детектирование всех предыдущих версий заразы за неделю, если вот эта, которая сейчас лежит на сайте и активно с него раздается - не детектится. Сорри, но такое обновление попросту уже бесполезно.
Кстати, довольно многие трояны умеют себя обновлять с сайта - сами идут за обновлением, притаскивают и устанавливают. В таком случае есть серьезный шанс, что они никогда и не будут пойманы - обновления отстают от жизни.

А эпидемия - это когда зараженных компьютеров становится много.
Но нам, если уж честно сказать, глубоко начхать, сколько их там участвует в концерте - куда важнее свой, один (или сколько их там у Вас). И когда уважаемые зубры сочтут наконец необходимым выпустить экстренное обновление - для Вас лично может быть уже поздно - потеряно время, иногда и информация.
Надежнее и спокойнее, если эти обновления выходят постоянно. В конце концов, мы за это платим им деньги.


Если бы программы были едой. Опус.
...
7. Продукты двухмесячной давности считались бы свежими.
Во-во. Я об этом :).

WaterFish
25.03.2006, 00:01
Неделя - это слишком много.
Абсолютно согласен, достаточно очевидная вещь на сегодня, но симу нужно поддерживать старые версии, которые, видимо, не могут обновляться хотя бы раз в день. Впрочем, я в этом не уверен, поскольку пользовался одним из их продуктов всего 2 дня просто для ознакомления, а этого совсем недостаточно для понимания, и к тому же у symantec могут быть и иные соображения мне совершенно непонятные:)

Надеюсь на снисходительное отношение к моим околоантивирусным высказываниям.

Возвращась к ссылкам.
Мне кажется, что если бы вопрос детектирования зверей обсуждали бы опытный пользователь и любитель симантека и соответветствующий поклонник, ну например, DrWeb или KAV, то как и в Вашем (Alexey P.) случае каждый из них мог бы привести множество ссылок на ресурсы с обновляемыми вирусами, которые не детектирует антивирус оппонента. Это, конечно, только предположение. Т.е. в нашем случае нужно учитывать и пользователей, которые отсылают в вируслабы образцы зверей из которых можно узнать в том числе и сервера рассылок, а многие, отсылая образец, дают и соответствующие комментарии. Я понимаю, что это не единственный способ пополнения баз:)
Но скорее всего частное, в том числе и это (http://virusinfo.info/showthread.php?t=4367) исследование необходимо корректировать с наличием в нём пользователей того или иного антивируса. А на вирусинфо преобладают известные нам антивирусы (http://virusinfo.info/showthread.php?t=2716&page=5). И тем более продвинутые и активные люди, такие как здесь, наверняка оказывают существенный вклад в обновление баз любимых программ:)

Как то я то ли видел, то ли читал интервью Е.Касперского, где он на вопрос о конкурентах ответил в том смысле, что с Symantec тяжело бороться в том числе и потому, что он занимает такую существенную долю рынка, т.е. доля рынка была в том ЧИСЛЕ, наверно он кроме доли имел ввиду что то ещё?
Не могу утверждать, что дословно передал его мысль, но именно тогда во мне затеплилась крамольная мысль о том, что может Symantec и не такое Г..., как пишут здесь (http://virusinfo.info/forumdisplay.php?f=46) и здесь (http://virusinfo.info/showthread.php?t=4829):)

Alexey P.
25.03.2006, 09:57
Мне кажется, что если бы вопрос детектирования зверей обсуждали бы опытный пользователь и любитель симантека и соответветствующий поклонник, ну например, DrWeb или KAV, то как и в Вашем (Alexey P.) случае каждый из них мог бы привести множество ссылок на ресурсы с обновляемыми вирусами, которые не детектирует антивирус оппонента. Это, конечно, только предположение.

Имхо, беспочвенное. Потому как пользователи SAV/NAV не занимаются поиском зверья. А если начинают искать malware, сравнивать и думать, то просто прекращают использовать такой антивирус :).
Куда чаще среди них преобладает точка зрения вроде - "Если это не детектит симантек, значит, это не вирус".
Да-да, конечно :).


Т.е. в нашем случае нужно учитывать и пользователей, которые отсылают в вируслабы образцы зверей из которых можно узнать в том числе и сервера рассылок, а многие, отсылая образец, дают и соответствующие комментарии. Я понимаю, что это не единственный способ пополнения баз :)

Безусловно, не единственный. Антивирусы получают заразу:
- от пользователей (обратившихся за помощью в саппорт либо просто приславших заразу. Здесь есть разница для лицензионных пользователей и для остальных - к примеру, у KAV существует норматив: зараза, присланная их пользователем, должна быть добавлена в базы в течение трех часов. От остальных - на усмотрение аналитика, могут добавить быстро, могут и нет. Саппорт Др.Веб при обращении за помощью требует предъявить лицензионный ключ. В то же время, если просто отправить подозрительные файлы аналитикам на newvirus, лицензию не требуют, что вполне логично)
- из собственных онлайн-серверов. Мы видим результат проверки лишь их антивирусом, но далее эти файлы практически у всех проверяются линейкой из антивирусов-конкурентов. Задетектированное ими (и не пойманное своим антивирусом) отправляется аналитикам.
- со своих honeypot серверов - т.е. размещают открыто в интернете весь такой из себя беззащитный, без патчей компьютер с OS Windows. Все, чем он будет заражен - отправляется аналитикам.
- с ресурсов вроде virustotal.com, virusscan.jotti.org, malwareupload.com, cert.br
- по обмену. Раз в месяц, а в экстренных случаях и чаще, антивирусы отправляют друг другу обнаруженные образцы.
- сами ищут. Вот это, имхо, довольно редкая вещь - накладно и не очень продуктивно. Имхо, чаще таким занимаются добровольцы вроде активных участников этого форума. Впрочем, среди них есть и активные игроки "с другой стороны".


Но скорее всего частное, в том числе и это исследование необходимо корректировать с наличием в нём пользователей того или иного антивируса.

Не совсем так. Повторюсь (в этом треде), мы честные люди. И даем Вам в руки вполне себе легко проверяемые факты - смотрите, думайте.
Ни у меня, ни у подавляющего большинства активных участников этого форума нет никакой материальной заинтересованности в результатах проверок разными антивирусами. Зачем мне "об..ть мировые бренды", если они и сами это неплохо делают :).
Я был бы только рад, если бы все, что мне попадается, детектилось всеми антивирусами. Если оно не детектится никем - попробуй еще определить, вредна данная программа или нет. С первого взгляда это далеко не всегда можно понять.


А на вирусинфо преобладают известные нам антивирусы. И тем более продвинутые и активные люди, такие как здесь, наверняка оказывают существенный вклад в обновление баз любимых программ:)

Конечно.
С моей подачи в базы Dr.Web в 2005 году было добавлено детектирование 1170 экземпляров malware. Большая часть из этого добра была свежей - от нескольких часов до нескольких суток с момента выкладывания их на троянские сайты. Почти все они были найдены на сайтах в интернете, с которых устанавливались пользователям без их ведома либо обманным путем - под видом полезных программ и т.п.


Как то я то ли видел, то ли читал интервью Е.Касперского, где он на вопрос о конкурентах ответил в том смысле, что с Symantec тяжело бороться в том числе и потому, что он занимает такую существенную долю рынка, т.е. доля рынка была в том ЧИСЛЕ, наверно он кроме доли имел ввиду что то ещё?
Не могу утверждать, что дословно передал его мысль, но именно тогда во мне затеплилась крамольная мысль о том, что может Symantec и не такое Г..., как пишут здесь :)
Ну, эмоции присущи всем - живые же люди, не роботы :).
Доля рынка, как довольно неплохо видно из этого треда, не показатель.

userr
25.03.2006, 17:51
Доля рынка, как довольно неплохо видно из этого треда, не показатель.
Тем более что Trend Micro, немалую долю рынка занимающие, вообще не присутствуют на virustotal.com и virusscan.jotti.org. Интересно почему.
Тот факт, что ведущие АВ производитили явно несерьезно относятся к этим сервисам, либо не боятся плохих результатов, либо просто не участвуют, наводит на разные мысли, только не ясно на какие :) (с) Алиса).

Geser
25.03.2006, 23:21
Trend Micro был. Видимо постеснялись результатов

ALEX(XX)
18.07.2006, 08:01
Удивили результаты Antivir и Fortinet

Sunix
18.07.2006, 10:24
AntiVir в лидерах, хохо
это этот антивир http://www.free-av.com/ ?
так там уже версия 7 написана... вобщем надо скачать посмотреть ;)

Alexey P.
18.07.2006, 11:08
Результат по 16 образцам - это круто :).
Хотя бы по сотне-другой, меньше вряд ли имеет какой-то смысл.

UsAr
18.07.2006, 18:57
Удивили результаты Antivir и Fortinet
а все потому что не совсем честный отбор получается, если высылают вирусы которые не обнаруживаются своим антивирусом, то самые популярные отстают. Например если 50% пользуется касперским и 50% нодом, тогда половину всей заразы они точно не надут

Sanja
27.07.2006, 01:16
VBA Рулит..

Alexey P.
31.07.2006, 10:54
ДрВеб это детектит, Trojan.ActualSpy. Просто на вирустотал дефолтные настройки, и riskware база отключена.
Сам на эти грабли наступал как-то.

Alex_Goodwin
02.08.2006, 15:41
Предлагаю вообще отдельный топик по пинчу делать - встречается часто в разделе помогите, а ответы экспертов не всегда точные и полные.

Enotus
03.08.2006, 04:53
Первые промежуточные результаты:
С моими (http://enotus.at.tut.by/Articles/AVtest/index.html) расходятся.

azza
06.08.2006, 18:56
Complete scanning result of "intcodec-v6.335.exe", received in VirusTotal at 08.05.2006, 19:31:11 (CET).

Имхо, ложняк.

Terry
07.08.2006, 11:17
Файлик можно на [email protected]? поглядим что там. Если ложняк - будем исключать.

Alex_Goodwin
07.08.2006, 16:21
Странно, что доктор не поймал. В базах каспера уже год.

Alexey P.
07.08.2006, 19:32
Имхо, ложняк.
Не, натуральная зараза. Встречалась.

Участковый
08.08.2006, 19:34
Имхо, ложняк.
Во всяком случае, после Вирустотала его теперь определяют и KAV, и DrWeb.
Могу залить на https://virusinfo.info/upload_virus.php, если интересно.

Файлик можно на [email protected]?
Отправил.

Alexey P.
08.08.2006, 23:48
Во всяком случае, после Вирустотала его теперь определяют и KAV, и DrWeb.
Могу залить на https://virusinfo.info/upload_virus.php, если интересно.

Не, вряд ли стоит. Эту заразу обновляют достаточно часто, и отдельные образцы вполне успевают устареть еще до обработки. В смысле на сайте уже все давно обновлено.

Синауридзе Александр
13.08.2006, 06:16
Здравствуйте!
И где же Вы берете эти pipiski уважаемый!?:P Не поделитесь...

Alexey P.
13.08.2006, 14:47
Добрые люди в аську ссылку прислали. Мол, "вынел новый генератор премиум паролей для рапидшары!" (орфография сохранена)
Стал смотреть - оказывается, зверушка уже неплохо поработала, стырила 57 комплектов паролей. Урожай за два дня.

ЗЫ: Образец через вирустотал дойдет всем, потому делиться смысла никакого. Тем более что их как собак, гм, бродячих - сегодня еще один широко засветился, LDPinch.1092/LdPinch.atu. Этот поактивней - у него уже на счету 143 комплекта паролей, тоже за два дня.

MOCT
13.08.2006, 15:35
Стал смотреть - оказывается, зверушка уже неплохо поработала, стырила 57 комплектов паролей. Урожай за два дня.

Этот поактивней - у него уже на счету 143 комплекта паролей, тоже за два дня.
он признался под пытками, сколько паролей увел, или это телепатические особенности? :)

Alexey P.
13.08.2006, 15:55
Угу, телепатические.
Анекдот вспомнился, о медведе-телепате:
В цирке аншлаг, на всех плакатах - "Впервые в истории цирка. Медведь - телепат !!!".
Действительно, выходит на арену здоровенный медведь и спрашивает: "Кого тут оттелепатить ?"

Shu_b
14.08.2006, 11:07
Контрольная точка перенесена.

kvit
17.08.2006, 11:23
Complete scanning result of "iRcHaTaN_Ps.exe", received in VirusTotal at 08.15.2006, 12:14:32 (CET).

NOD32v2 1.1706 08.14.2006 unpack error

Aditional Information
File size: 84464 bytes
MD5: 673e6d4dc2915d899310a599f3479aad
SHA1: b8060306c2a03788fca4a118b478d6521d7d987f
packers: FSG

первый раз вижу такое сообщений от NOD32

Alexey P.
21.08.2006, 12:08
Угу, скорее всего. Oxygen Phone Manager там стоит ?

Alexey P.
22.08.2006, 17:37
Нет, образец не надо, спасибо - кому положено, детектят, остальные и так через вирустотал прекрасно всё получат.
ЗЫ: Такого добра нынче завались, спаммеры трудятся не покладая.
packers: UPX - вряд ли так на самом деле, скорее там криптер какой-то под модифицированным UPX.

Синауридзе Александр
23.08.2006, 05:09
[QUOTE=Dandy]Осторожно, ссылка по Норману - живая....

Уже мертвая.;)

Sanja
23.08.2006, 15:31
Хмм.. только ничего этот 1.ехе не качает. Видно у доктора эвристик неправельно сработал ибо невидно тут функционала даунлоадера.

Alexey P.
23.08.2006, 15:55
Да, у их эвристика нету диагностики PROXY.Trojan. Надо расширять :).

MOCT
23.08.2006, 22:39
Очередная контрольная точка.
что-то Касперский не на высоте. и надеюсь все уже поняли, что эвристики у него НЕТ.

WaterFish
23.08.2006, 23:13
Кто хочет - тот видит.

Ещё бы Alex.P не был бы настолько очевиден. :)
Енот скорее прав. Даже без эвристики. антивир - понятно, вне статистики :)

Синауридзе Александр
24.08.2006, 03:48
В промежуточных результатах впечатляет эвристик NOD32.:)

Sanja
06.09.2006, 19:45
> **Locates window "NULL [class AVP.AlertDialog]" on desktop.

Хех.. видно проактивка каспа сильно достала :)
Однако скоро это перестанет работатьЖ)

resident-x
06.09.2006, 20:06
> **Locates window "NULL [class AVP.AlertDialog]" on desktop.

Хех.. видно проактивка каспа сильно достала :)
Однако скоро это перестанет работатьЖ)
А можно поподробней ?
Почему скоро это перестанет работать ? :)

MOCT
06.09.2006, 20:09
А можно поподробней ?
Почему скоро это перестанет работать ? :)
вот как быстро авторы отреагировали ;-)

MedvedD
07.09.2006, 00:40
да, явно это жжж неспроста..

Sanja
08.09.2006, 00:53
Перестанет т.к так надо Ж)

resident-x
11.09.2006, 23:46
Перестанет т.к так надо Ж) Ну-ну...;)

userr
21.09.2006, 14:44
Все-таки имхо интересно было бы завести тему "Исследование антивирусов - через 2 суток" - проверка тех же файлов через 2 дня. Понятно, что напр. российские заклятые друзья будут в лучшем положении, чем какая-нибудь Avira, поскольку им эти вирусы еще и руками в ав службу посылаются. Но все равно любопытно.

gines
21.09.2006, 16:35
А что, если включать в "Исследование антивирусов" файлы, которые присланы пользователями из раздела Помогите? В принципе это не противоречит правилам исследования.

ALEX(XX)
21.09.2006, 16:59
А что, если включать в "Исследование антивирусов" файлы, которые присланы пользователями из раздела Помогите? В принципе это не противоречит правилам исследования.
В большинстве случаев это так и есть.

kvit
02.10.2006, 15:33
В продолжении Update'а-KB5984-x86.exe

NOD32v2 1.1786 10.02.2006 no virus found


очень странно... проверил на версии:

NOD32 antivirus system information
Virus signature database version: 1.1786 (20061002)
Dated: 2 октября 2006 г.
Virus signature database build: 8120

получил в результате:

Update-KB5984-x86.exe Win32/Stration.FO worm quarantined - deleted

PS Это обновление было в районе 13 часов по Москве

Winsent
02.10.2006, 15:47
получил в результате:

Update-KB5984-x86.exe Win32/Stration.FO worm quarantined - deleted

PS Это обновление было в районе 13 часов по Москве

Что выдал, то и Ctrl+C Ctrl+V ;)

MOCT
07.10.2006, 16:22
Судя по названию разработчик пинча, а некотыре антивирусы похоже с ним до сих пор не знакомы:'-(

у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.

Синауридзе Александр
07.10.2006, 16:59
у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.

К сожалению уже многие здесь постят не по правилам данной темы.:embarasse

ISO
09.10.2006, 05:19
у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.
Удалите проверку этого файла, поправьте статистику. Раз нарушил правила, значит должен ответить. В дальнейшем буду более внимательным. Правила читал давно, помню что нельзя отправлять файлы которые нашел антивирус, установленный на системном блоке. Этот файл проверял сразу на virustotal, оказывается есть еще второе правило. Извините.

Sanja
23.10.2006, 11:42
hmm, false alarm?

Alex_Goodwin
23.10.2006, 15:54
hmm, false alarm?
Нет! Просто в ЛК и в Вэбе правильно задетектили все части- разобрали все. Остальные не потрудились. PHP- это загрузчик. Другая часть (сам бот здесь -http://virusinfo.info/showpost.php?p=81840&postcount=189)

Синауридзе Александр
01.11.2006, 17:55
Ромео! Зачем постить то, что уже всем известно! Откройте наконец первое сообщение данной темы, внимательно и несколько раз перечитайте его. Особенно то, что написано красным и синим цветом.

ZDM
05.11.2006, 12:23
Давненько шото итогов небыло. Какова там ситуаций ?

ALEX(XX)
10.11.2006, 12:24
2 Alex_Goodwin А почему все файлы, которые Вы проверяете, называются __1056?

Alex_Goodwin
10.11.2006, 14:05
2 Alex_Goodwin А почему все файлы, которые Вы проверяете, называются __1056?

Я всё гружу через рабочий стол (т.е. файл который аплоадится находится на рабочем столе), в вирустотал русские имена каталогов не воспринимает, т.е. если грузить с корня диска файл с английским именем все будет ОК.

MOCT
13.11.2006, 11:15
STATUS: FINISHEDComplete scanning result of "__1056", received in VirusTotal at 11.13.2006, 08:08:06 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.12.2006 Worm/Rbot.148480.13

а это почему в данной теме? перепутали топик?

Alex_Goodwin
13.11.2006, 15:37
Сорри. просто в офтоп мало кто заглядывает.

MOCT
16.11.2006, 22:16
обратите внимание: не только пропал несчастный Norton, но и еще вчера появился некий Prevx1 V2.
судя по выдаваемым сообщениям типа "Polynomial.Code.Exploit" это какой-то искусственный интеллект ;)

может пора подвести итоги и перейти к исследованию-5 ?

Alexey P.
17.11.2006, 11:46
Битый же явно.

ALEX(XX)
17.11.2006, 12:00
ИМХО, надо новую тему заводить и регулярно её подчищать... Тут уже давно "Смешались вместе монстры, кони..." :)

Terry
17.11.2006, 12:37
Да, помоему тест превратился в классические тесты из серии "кто больше задетектит" без разбора ложняк это был, битый файл или реальная инфекция :(

userr
19.11.2006, 15:07
Kaspersky 4.0.2.24 11.18.2006 Trojan-PSW.Win32.LdPinch.bad
- скажите, кто специалист в классификации вирусов Касперским, не значит ли это, что Kaspersky сам считает этот экземпляр битым, но все-таки детектит, чтобы юзеры не приставали?

MOCT
19.11.2006, 15:23
Kaspersky 4.0.2.24 11.18.2006 Trojan-PSW.Win32.LdPinch.bad
- скажите, кто специалист в классификации вирусов Касперским, не значит ли это, что Kaspersky сам считает этот экземпляр битым, но все-таки детектит, чтобы юзеры не приставали?
Нет ни одного аналога у Касперского - называть файлы именами с окончанием bad. Раньше у него были *.corrupted и Corrupted.*, но теперь и эти не встречаются.
Просто счетчик разновидностей пинчей уже перевалил за 1400, поэтому их теперь называют .b** (уже точно есть .bcu).
А вообще просьба прислать этот файл на анализ.

userr
19.11.2006, 20:41
Файла у меня нет, диагноз здесь увидел
http://virusinfo.info/showpost.php?p=84597&postcount=225

MOCT
19.11.2006, 21:36
Файла у меня нет, диагноз здесь увидел
http://virusinfo.info/showpost.php?p=84597&postcount=225
ну тогда диагноз правильный.

Ilya_K
20.12.2006, 14:59
Complete scanning result of "Telekom-Rechnung.pdf.exe", received in VirusTotal at 12.19.2006, 21:24:50 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.19.2006 TR/Dldr.EbayBill.L
Authentium 4.93.8 12.19.2006 W32/Downloader.gen2
Avast 4.7.892.0 12.19.2006 Win32:Nurech
AVG 386 12.19.2006 Downloader.Generic2.TTV
BitDefender 7.2 12.19.2006 Trojan.Downloader.Nurech.G
CAT-QuickHeal 8.00 12.19.2006 no virus found
ClamAV devel-20060426 12.19.2006 Trojan.Small-373
DrWeb 4.33 12.19.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.89 12.19.2006 Win32/SillyDL.3ev!Trojan
eTrust-Vet 30.3.3262 12.19.2006 Win32/DlWreck.AW
Ewido 4.0 12.19.2006 Downloader.Nurech.g
Fortinet 2.82.0.0 12.19.2006 W32/Yabe.W!tr.dldr
F-Prot 3.16f 12.15.2006 W32/Downloader.gen2
F-Prot4 4.2.1.29 12.19.2006 W32/Downloader.gen2
Ikarus T3.1.0.27 12.19.2006 Trojan-Downloader.Win32.Nurech.g
Kaspersky 4.0.2.24 12.19.2006 Trojan-Downloader.Win32.Nurech.g
McAfee 4922 12.19.2006 Downloader-AAP
Microsoft 1.1904 12.19.2006 TrojanDownloader:Win32/Agent.ET
NOD32v2 1928 12.19.2006 Win32/TrojanDownloader.Agent.UF
Norman 5.80.02 12.19.2006 W32/DLoader.BCTW
Panda 9.0.0.4 12.19.2006 Trj/Cimuz.BE
Prevx1 V2 12.19.2006 no virus found
Sophos 4.12.0 12.18.2006 Troj/Clagger-AG
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.134 12.18.2006 Trojan/Downloader.Nurech.g
UNA 1.83 12.19.2006 TrojanDownloader.Win32.Nurech.C43F
VBA32 3.11.1 12.19.2006 Trojan-Downloader.Win32.Nurech.g
VirusBuster 4.3.19:9 12.19.2006 Trojan.DL.Nurech.H

Вот так облажался DrWeb... Этого старого трояна, который сегодня снова был массово разослан по Германии, скоро, думаю, даже "антивирус Калинина" будет детектить... :D


Не правда ли, странно, что
http://info.drweb.com/search/?q=Trojan-Downloader.Win32.Nurech.g&submit=+%CF%EE%E8%F1%EA+&searchin=virlib

и Dr.WEB определяет его как Trojan.DownLoader.15167. И добавлен этот Trojan.DownLoader.15167 был 2006-11-24 10:16:52 ( http://updates.drweb.com/ ).
Если вам не трудно, не сочтите за труд послать этот троян через страницу http://support.drweb.com/sendnew/ .

Спасибо.

userr
10.01.2007, 17:06
-------
Complete scanning result of "avz00006.dta", received in VirusTotal at 01.09.2007, 19:46:15 (CET).
DrWeb 4.33 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 Trojan.DL.Obfusc.Gen.4
-------------
Complete scanning result of "avz00009__1_._ta", received in VirusTotal at 01.10.2007, 08:28:03 (CET).
DrWeb 4.33 01.10.2007 Trojan.Fakealert.229
VirusBuster 4.3.19:9 01.09.2007 no virus found

Интересно
- у VirusBuster кроме движка drweb еще что-то есть?
- VirusBuster запаздывает с обновлением баз ?

azza
10.01.2007, 17:48
у VirusBuster кроме движка drweb еще что-то есть?
С Virus Chaser не перепутал случаем?

userr
10.01.2007, 22:48
С Virus Chaser не перепутал случаем?
Похоже да, перепутал. :(

Terry
22.01.2007, 13:58
Complete scanning result of "phpRemoteView.php", received in VirusTotal at 01.22.2007, 09:31:40 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.26 01.22.2007 no virus found
Authentium 4.93.8 01.21.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.22.2007 no virus found
BitDefender 7.2 01.22.2007 no virus found
CAT-QuickHeal 9.00 01.22.2007 no virus found
ClamAV devel-20060426 01.21.2007 no virus found
DrWeb 4.33 01.22.2007 no virus found
eSafe 7.0.14.0 01.21.2007 Win32.Hacktool
eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
eTrust-Vet 30.3.3343 01.22.2007 no virus found
Ewido 4.0 01.21.2007 no virus found
Fortinet 2.82.0.0 01.22.2007 RAT/RemView
F-Prot 3.16f 01.21.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.22.2007 not-a-virus:RemoteAdmin.PHP.RemView.a
McAfee 4943 01.19.2007 no virus found
Microsoft 1.1904 01.22.2007 no virus found
NOD32v2 1995 01.21.2007 PHP/RemoteAdmin.RemView.A
Norman 5.80.02 01.22.2007 no virus found
Panda 9.0.0.4 01.21.2007 no virus found
Prevx1 V2 01.22.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.154 01.22.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.22.2007 no virus found
VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information
File size: 91159 bytes
MD5: b4a09911a5b23e00b55abe546ded691c
SHA1: 9a5f1bd37fa992b69bbc3f2e8ddfc18cb27c8ea3

По последнему посту - протестую, это не вирус, и не факт что это надо детектить.

Sanja
22.01.2007, 17:58
А зальют вам на сервер этоот скрипт.. вот вам весело будет?! Ж)

Terry
22.01.2007, 18:06
А зальют вам на сервер этоот скрипт.. вот вам весело будет?! Ж)
Заранее сорри за оффтоп.
О чём мы дискутируем? Скрипт в студию!

aleksdem
02.02.2007, 20:43
Наверное, модераторы удалят мой пост, но все же осмелюсь выразить мнение, что после рассмотрения выше обнародованых исследований, как-то сама собой приходит мысль: кто создаёт вирус, тот быстрее всех и вносит в базы своих сигнатур. Среди ведущих антивирусов никакой другой закономерности не прослеживается...

deus_ex
02.02.2007, 21:13
Т.е. все ведущие вендоры договорились по некоему вероятностному (равномерному для основных) распределению писАть вирусы ? :) Новичков не сразу допускают к этому процессу, поэтому они и ловят хуже. :)

Surfer
02.02.2007, 22:30
Статейка http://www.3dnews.ru/software/free_antivirus/
Не бейте если уже была :)

maXmo
11.02.2007, 02:14
AntiVir … HEUR/Crypted
разве это детект?

MedvedD
14.02.2007, 13:56
AntiVir … HEUR/Crypted
разве это детект?
Нет, это детект того, что прога запакована и закриптована, не более того.

SuperBrat
05.03.2007, 10:48
t=8242

Shu_b, что означает это выражение?

Shu_b
05.03.2007, 10:55
Shu_b, что означает это выражение?

номер темы форума.

АлександрУ
10.04.2007, 01:36
Где можно найти пояснение к диаграммам(легенду)?
Эвристик - это определено/неопределено?
Где на вирустотале видно, что это эвристик?
Подозрение выдает соответствующий антивирус? Эта опция не у всех?
Pack/Crypt - ошибка антивируса или хакерский паковщик?

Shu_b
10.04.2007, 07:41
Где можно найти пояснение к диаграммам(легенду)?Нигде, это мой субъективный взгляд на публикуемые здесь субъективные результаты анализа на субъективном вирустотале. ;-)

Эвристик - это определено/неопределено? Эвристиком посчитано то, чему выдано подозрение с именем или классом.

Где на вирустотале видно, что это эвристик?примерно так - http://virusinfo.info/showthread.php?p=78181#post78181

Подозрение выдает соответствующий антивирус? Эта опция не у всех? Подозрение это просто "Suspicious" без какого либо описания (судя по их количеству, очень высока вероятность ложных срабатываний)

Pack/Crypt - ошибка антивируса или хакерский паковщик? это, вместо распаковки и анализа, антивирус просто предупреждает что файл упакован (упаковщиком или криптером), хотя файл может быть и чистым. Вероятно вендорам проще детектировать Pack/Crypt распространённых у вирмейкеров, чем встраивать алгоритмы распаковки и сигнатуры.