[B]DoggoD[/B], Странно, Владимир Мартьянов вроде неплохой специалист..
Попробуйте написать ему письмо со ссылкой [url]http://virusinfo.info/showthread.php?p=443105#post443105[/url]
Т.е. пост, с которого это обсуждение начинается
Printable View
[B]DoggoD[/B], Странно, Владимир Мартьянов вроде неплохой специалист..
Попробуйте написать ему письмо со ссылкой [url]http://virusinfo.info/showthread.php?p=443105#post443105[/url]
Т.е. пост, с которого это обсуждение начинается
А как эти семплы отправлялись в вирлаб? может где по дороге их побило?
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.
[B]DoggoD[/B], Антивирус Касперского этот файл будет детектировать как Worm.Win32.Bezopi.p
Vladimir Martyanov не прав, можете так и написать в ответе.
[B]Torvic99[/B], контрольные суммы совпадают..
[B]Geser[/B]
[QUOTE]Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.[/QUOTE]
может быть, но похоже на "живой" текст..
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
ответ последовал
[QUOTE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/QUOTE]
подскажите, стоит ли "бить тревогу" насчет [URL="http://virusinfo.info/showpost.php?p=442675&postcount=296"]этого[/URL] ?
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Ай-ай-ай! Как нехорошо людей в заблуждение вводить! Вы ведь приводите ответ на тикет №...944, о том, что файл поврежден и угрозы не представляет, верно?
В тикете-то файлик имеет размер 20734, а не 22639, как вы указали. Ну и MD5 совершенно другая. Так что давайте запустите именно тот файл, который был послан, а еще лучше видео снимите, как сначала проверяется MD5 файла, а потом он тут же запускается. А я пока за попкорном схожу.
[QUOTE='v.martyanov;443731']В тикете-то файлик имеет размер 20734, а не 22639, как вы указали. Ну и MD5 совершенно другая. Так что давайте запустите именно тот файл, который был послан, а еще лучше видео снимите, как сначала проверяется MD5 файла, а потом он тут же запускается. [/QUOTE]
Думаю, zip-файл не получится запустить. ;)
[QUOTE=AndreyKa;443757]Думаю, zip-файл не получится запустить. ;)[/QUOTE]
В любом случае, я слабо верю в исполняемый файл, который сжимается ZIPом с увеличением размера. Так что файлик там другой.
А что вы запускали - вообще боюсь спрашивать :-) Без видео не поверю, короче говоря.
[B]DoggoD[/B],
[B]v.martyanov[/B], На форуме Доктора есть топик про разбор полетов с тикетами, данная тема называется "Ответы на вопрос: Вирус или нет ?".
[QUOTE=Alex_Goodwin;443769][B]DoggoD[/B],
[B]v.martyanov[/B], На форуме Доктора есть топик про разбор полетов с тикетами, данная тема называется "Ответы на вопрос: Вирус или нет ?".[/QUOTE]
А, то есть фразы типа "а у меня все запускается" и т.п. - это ответы на вопросы, а у меня нет? Все-все, ухожу в свою берлогу, не буду более беспокоить столь высококлассных специалистов, которые EXE без импортов запускают.
По-моему конфликт исчерпан. Вы говорили о разных файлах. В первом сообщении DoggoD видны разные тикеты.
[QUOTE=Alex_Goodwin;443776]По-моему конфликт исчерпан. Вы говорили о разных файлах. В первом сообщении DoggoD видны разные тикеты.[/QUOTE]
И все они битые, я больше 15 файлов проверил - ни SP1 ни SP3 их не хотят запускать.
А то что они детектятся - так добавление могло быть по "живым" файлам, а у нас политика простая - мусор не добавлять. Будут целые файлы - будет и детект.
А этот при повторном осмотре живым оказался?
[CODE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/CODE]
[QUOTE=Alex_Goodwin;443790]А этот при повторном осмотре живым оказался?
[CODE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/CODE][/QUOTE]
Я без номера тикета ничего не скажу, увы.
[QUOTE=Alex_Goodwin;443790]А этот при повторном осмотре живым оказался?[/QUOTE]
Alex, вы и сами можете проверить содержимое присланного. ;)
090805_104451_virus_4a792a634d3e1.zip
[InfectedFile]
Src=f:\autorun.exe
Infected=avz00001.dta
Virus=Добавлен пользователем (карантин по списку)
QDate=03.08.2009 23:14:40
Size=0
MD5=367BF350436402C353188D8C47BB3BCA
FileDate=30.07.2009 0:36:10
размер его 24*068
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
сравниваем:[QUOTE]размер 20734, тикет №...944[/QUOTE]
ps. на цитаты размера и мд5 зип файла.... наверное не надо обращать внимание ;)
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах :)
[QUOTE=Зайцев Олег;443808]Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах :)[/QUOTE]
Похоже на то. Не, всякие хитрые тулзы по распаковке может и смогут с файлом работать... Но ответ о том, что файл поврежден и угрозы не представляет, корректен, если на системе его не запустить :-)
[QUOTE=v.martyanov;443815]Похоже на то. Не, всякие хитрые тулзы по распаковке может и смогут с файлом работать... Но ответ о том, что файл поврежден и угрозы не представляет, корректен, если на системе его не запустить :-)[/QUOTE]
Если речь о данном файле, то особенность "кибера" в том, что у него в составе есть аппаратный антивирус и он может запустить семпл "на реальной машине" для его хитрого изучения. Что "он" и сделал, и отметил, что на реальном ПК реального юзера этот семпл запустился бы с гарантией. Я для надежности дал команду перепроверить - результат повторяем, зверь вполне рабочий
Файл сохранён как 090806_170248_virus_4a7ad4785b5c1.zip
Размер файла 368906
MD5 0b9c73c4158f8468c8e27a69d28b1def
[B]v.martyanov[/B], прошу меня простить.. все перепроверил -- да, то на разные тикеты ответы..
уточняю..
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
это тикет #956228
файл из этого архива
[CODE]update10034906.exe[/CODE]
это тикет #940944
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
соответствует файлу autorun.exe тикет #960877
на который был последован единственный ответ
[QUOTE]Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/QUOTE]
---
прошу у всех прощения за внесенную смуту..