"AV-XP 2008" -- не желаете ли свежего трояна?

Вот мне пришло писмецо:
[quote]
Добрый день.

Наша компания "AV-XP 2008" производит методы борьбы с "Компьютерными вирусами". В данное время мы осуществлям в порядке теста БЕСПЛАТНО проверку компьютеров "ON-Lain".
Предлогаем Вам проверить свой компьютер на наличие вирусов в тесте "ON-Lain".
Для полного ознакомления с нашей услугой, предлогаем Вам пройти по этой ссылки:
[color=red][i]Ссылка удалена[/i][/color]
Спасибо за внимание.[/quote]

Проверил, зверек свежий:
[code]
Файл scan.exe получен 2008.09.23 11:55:36 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 3/36 (8.34%)

Антивирус Версия Обновление Результат
AhnLab-V3 2008.9.23.1 2008.09.23 -
AntiVir 7.8.1.34 2008.09.23 -
Authentium 5.1.0.4 2008.09.22 -
Avast 4.8.1195.0 2008.09.22 -
AVG 8.0.0.161 2008.09.22 -
BitDefender 7.2 2008.09.23 -
CAT-QuickHeal 9.50 2008.09.23 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.09.23 -
DrWeb 4.44.0.09170 2008.09.23 -
eSafe 7.0.17.0 2008.09.22 Suspicious File
eTrust-Vet 31.6.6099 2008.09.22 -
Ewido 4.0 2008.09.22 -
F-Prot 4.4.4.56 2008.09.22 -
F-Secure 8.0.14332.0 2008.09.23 -
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.23 -
Ikarus T3.1.1.34.0 2008.09.23 -
K7AntiVirus 7.10.467 2008.09.22 -
Kaspersky 7.0.0.125 2008.09.23 -
McAfee 5389 2008.09.22 -
Microsoft 1.3903 2008.09.23 TrojanDropper:Win32/Nuwar.gen!D
NOD32v2 3463 2008.09.23 -
Norman 5.80.02 2008.09.19 -
Panda 9.0.0.4 2008.09.22 -
PCTools 4.4.2.0 2008.09.22 -
Prevx1 V2 2008.09.23 -
Rising 20.63.12.00 2008.09.23 -
Sophos 4.33.0 2008.09.23 -
Sunbelt 3.1.1662.1 2008.09.23 -
Symantec 10 2008.09.23 -
TheHacker 6.3.0.9.091 2008.09.23 -
TrendMicro 8.700.0.1004 2008.09.23 -
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.23.1389 2008.09.23 -
VirusBuster 4.5.11.0 2008.09.22 -
Webwasher-Gateway 6.6.2 2008.09.23 -
Дополнительная информация
File size: 55808 bytes
MD5...: 13372975fae922475469edab70540a98
SHA1..: d0ded085e7b5624e33dfb79d19165bfa45254501
SHA256: a03a0aa773ab45428d74a1abba698a407d105417fdb0bdefeabdd4abd2bd2e06
SHA512: d404063e0724cbb7b3eef60582dc3475a944f795f20fa0b5b47bbfc9881ad5c8
fde10536a0bf7c792d3d8d20f34a56c108fc6c5379faa91571fc6ea3b5a0f9d4
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (35.2%)
Win32 Dynamic Link Library (generic) (31.3%)
Win16/32 Executable Delphi generic (8.5%)
Clipper DOS Executable (8.3%)
Generic Win/DOS Executable (8.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40190a
timedatestamp.....: 0x48d7572f (Mon Sep 22 08:28:31 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x10940 0x1600 5.55 52a574ba9edd5e9257034c7b3c6d82c9
.data 0x12000 0xcd3c 0xb800 8.00 938afe181b8669ca7c876a78e089ac29
.rsrc 0x1f000 0x1000 0x200 6.24 9e89d4c4b3386daed1c68c6b9ea2d13a
.idata 0x20000 0xee4 0x600 2.59 96f3e1bae3bb6bd65688febac67f777c

( 3 imports )
> kernel32.dll: DeleteVolumeMountPointW, FlushFileBuffers, MapUserPhysicalPagesScatter, QueryPerformanceCounter, FindFirstFileExA, IsBadHugeReadPtr, HeapWalk, GetCommandLineA, ExitProcess, GetStartupInfoA
> user32.dll: CharLowerW, OemKeyScan, CallMsgFilter, MonitorFromRect, DdeCreateStringHandleW
> shell32.dll: ExtractAssociatedIconExW, SHGetNewLinkInfoA, ExtractIconA, SHGetDataFromIDListW, DragAcceptFiles, Shell_NotifyIcon

( 0 exports )

[/code]
Удаленную ссылку опубликовал в закрытом разделе:
[url]http://virusinfo.info/showpost.php?p=287655&postcount=1537[/url]

А вы уверены что это троян? А то те антивирусы которые его определили не вызывают большого доверия, тем более что бывало, что половина из представленных здесь антивирусов ругалось на совершенно безвредный файл, а тут только три из 36.

При соотношении 3/36 я обычно делаю вывод что ложное срабатывание.

Подобного рода ссылки всегда вызывают недоверие. И все антивирусные компании это знают. Поэтому вряд ли они стали бы себя рекламировать таким способом
:http:[url]http://pandasecurityus.wordpress.com/2008/08/28/statement-of-fees-malspam-campaign-av-xp-2008/[/url]

ИМХО достаточно вот этой фразы, чтобы понять ценность этого "антивируса":
[quote]"ON-Lain"[/quote]
+ еще 4 грамматические ошибки в этом коротком тексте.
Вот копипаст [URL="http://www.hack-info.ru/showthread.php?p=265759"]интересной статьи[/URL] об этом "антивирусе".

[quote=sergey888;287731]А вы уверены что это троян? [/quote]
55 Кб и не троян?! ;)
После опубликования своего поста, я конечно же отослал в вирлаб Касперского и Dr.Web +Antivir
[quote=DrWeb]
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: BackDoor.Darkshell.22.
[/quote]
[quote=Kaspersky]
Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.[/quote]
т.е. Касперский и DrWeb уже подтвердили мои предположения.

[quote=sergey888;287731]
При соотношении 3/36 я обычно делаю вывод что ложное срабатывание.[/quote]
А я смотрю на источник получения и на конечную длину файла.

[quote=DoSTR;287798] А я смотрю на источник получения и на конечную длину файла.[/quote] В данном случае согласен. Но если я например скачиваю крэк или патч и мне 3 из 36 антивирусов начинают орать, при том что все орущие антивирусы малоизвестные, я склоняюсь к тому, что это ложное срабатывание. Но в данном случае вы правы, 55 Кб уже само по себе подозрительно.

[QUOTE=sergey888;287855]В данном случае согласен. Но если я например скачиваю крэк или патч и мне 3 из 36 антивирусов начинают орать, при том что все орущие антивирусы малоизвестные, я склоняюсь к тому, что это ложное срабатывание. Но в данном случае вы правы, 55 Кб уже само по себе подозрительно.[/QUOTE]

Креки и патчи это один из основных путей распространения заразы. И даже если один из 36 находит что-то подозрительное я бы не советовал запускать. В принципе я бы вообще их не советовал запускать никогда :)

[quote=Geser;287875]Креки и патчи это один из основных путей распространения заразы. И даже если один из 36 находит что-то подозрительное я бы не советовал запускать. В принципе я бы вообще их не советовал запускать никогда :)[/quote]

Могу похвастаться. Сейчас у меня не установлено не одной взломанной проги, все бесплатная альтернатива или бесплатные версии платных программ.

Хотя вру, сам то виндовс у меня совсем не лицензионный. Но увы тут я нормальной альтернативы для себя не нахожу.

[QUOTE=DoSTR;287653]Удаленную ссылку опубликовал в закрытом разделе:
[url]http://virusinfo.info/showpost.php?p=287655&postcount=1537[/url][/QUOTE]
Не смог зайти в этот раздел. Дайте доступ - у меня тоже есть ссылки.

у нас у всех есть ссылки))

Вот ещё один левый онлайн-сканер, адрес вроде совсем свежий, судя по whois, для меня по крайне мере - *antivi************.com/360/1/en/_freescan.php?sid=77001101*
Очень сильно навязывает скачать прогу, ну и далее приобрести её - [URL]http://www.virustotal.com/analisis/dae3427a63e8b70bd6fbd3e20e18660c[/URL]

и ещё один - *sys-******.com*

[url]http://www.virustotal.com/analisis/6dd3ee39cddf61d1f816f40fe437482e[/url]

Ещё один, не первой свежести но всё ещё на плаву...
Мдя, только за один день совершенно спокойно находятся новых по 3-4 штуки, мне как обыкновенному пользователю с 15-ти летним стажем уже как обуза это всё, но всё же интерес иногда одолевает.
[url]http://www.virustotal.com/analisis/75f6f5c9dbfe39b98ac80d3a43b164e9[/url]

О, совсем свежий. Надо бы исправить :)
Отослал Авире и Агнитуму, глянем что ответят...

ЗЫ сайт красивый

Ещё один какой то мутный антивирус, инсталятор занимает 72МБ

[quote]Ещё один какой то мутный антивирус, инсталятор занимает 72МБ[/quote]

по крайней мере о ParetoLogic Anti-Virus PLUS
что то пишут, он продается на софткей и т.д.

[quote=Damien;337278]по крайней мере о ParetoLogic Anti-Virus PLUS
что то пишут, он продается на софткей и т.д.[/quote]
Ну здесь он красный - [url]http://hosts-file.net/?s=antiviruspros.com[/url]
и пишут -
[QUOTE]Used for the distribution of "rogue" security or other such applications.[/QUOTE]

...Всё понятно, настоящий сайт у ParetoLogic Anti-Virus PLUS вот какой *paretologic.com/products/antivirusplus/index.aspx*
Всё просто :yess:
- - -
Мдя, не так всё просто, на этот настоящий сайт ещё больше ругани, ну лана, мне и симантека хватает.

Ребят, а как с этим бороться, BitDefender мочит утилитку для отправки подозрительных файлов на VirusTotal.
[url]http://www.virustotal.com/analisis/ea40090e6c562a19dc2da247b62bfd7d[/url]

[quote=Rampant;337296]Ребят, а как с этим бороться, BitDefender мочит утилитку для отправки подозрительных файлов на VirusTotal.
[/quote]
У меня интернет уже второй день нормально не работает, или нужно отключить антивирус и установить vtsetup.exe и добавить папку в исключение VirusTotalUploader если он там тоже будет принимать его за вирус