-
это вы про based говорите, а тут что-то другое..
-
Где-то здесь (на форуме) об этом уже писалось:
>>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.MSI\stream000\VBAgent.exe , возможно, инфицирован BACKDOOR.Trojan
>>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.MSI\stream000\VBAgent.exe1 , возможно, инфицирован BACKDOOR.Trojan
>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.MSI\stream000 - архив содержит инфицированные объекты
C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.MSI - архив содержит инфицированные объекты
Старые ложняки присутствуют и в уникальном алгоритме несигнатурного обнаружения вредоносного кода.:P
М да. Только зря время потратил - 5 машин прогнал. После NOD32 что-то найти почти нереально.:)
-
Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.
-
[QUOTE=pig;89837]Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.[/QUOTE]
Возможно, дело обстоит именно так. Спорить не буду.:)
-
[quote=borka]Кстати, а что это было?[/quote]
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavoepl.dll - AdWare.nCase.origin
C:\WIN98\USB-IrDA\regdll.dll - Trojan.Richad.origin
Первый понятно кто, а второй от драйвера ИК-порта Tekram.
И еще одно нашел:
SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
это файл из состава ZoneAlarm 6.0.631.003
Текущая версия на него не ругается.
-
Написано же, несигнатурный метод. Каким образом несигнатурный метод может давать имя зловреда? По колебаниям астрала?
-
[QUOTE=saicat;89754]Из объяснений Valery Ledovskoy в аналогичной ветке на [URL="http://antimalware.ru/phpbb/viewtopic.php?t=1911"]antimalware.ru[/URL] я понял, что данная технология позволит движку находить новые модификации зловредов, чьи сигнатуры уже есть в базе. Причем речь идет об обычных сигнатурах, а не о generic-подобных записях. Т.е. данная технология позволит автоматически находить модификации всех зверей, известных программе.
[/QUOTE]
по всем высказываниям ответ - нет.
-
[QUOTE=AndreyKa;89848]C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavoepl.dll - AdWare.nCase.origin
C:\WIN98\USB-IrDA\regdll.dll - Trojan.Richad.origin
Первый понятно кто, а второй от драйвера ИК-порта Tekram.[/QUOTE]
AndreyKa, было бы не лишним отправить эти файлы в вируслаб Вэбу (уверен, адрес Вы помните), с указанием в теле письма об использовании бета технологии "несигнатурного анализа". Как раз подобные детекты и ждут сейчас от бета тестеров - информацию собирают, видимо, для юстировки технологии!
[QUOTE=AndreyKa;89848]И еще одно нашел:
SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
это файл из состава ZoneAlarm 6.0.631.003
Текущая версия на него не ругается.[/QUOTE]
Как уже выше писАлось, подобные детекты будут часто всплывать с данными базами, т.к. из них исключили уже исправленные ложные срабатывания. Видимо для чистоты эксперимента...
-
Регистрироваться у них неохота для получения беты - киньте кто нибудь эту версию на FTP или через службу отправки чистых файлов - заберу его и погоняю. У меня экспериментальная система на базе ИР ловит зловредов тысячами в день - я просто прогоню их сканер по кешу моей системы и можно объективно сказать, что дает эта технология.
По туманным описаниям "ноу-хау" я могу предположить, что в базе у них в дефиниции зловреда >1 сигнатуры (типовой подход - 2 сигнатуры - преддект + детект). Выдавать подозрения по совпадению сигнатуры преддетекта опасно - будет куча ложняков. Но предположим, что есть Trojan.Win32.X. Для него известно 100 разновидностей. Анализируем 101-ю - полного детектирования нет, но есть частичный, скажем по дефинициям 7, 24, 46, 67, 89, 95. В этой ситуации можно использовать этот "эффект преддетекта" - в случае множественного частичного совпадения можно использовать это как вариант эвристики - в этом случае на эвристику будет работать вся AV база.
-
[QUOTE=Зайцев Олег;89857]Регистрироваться у них неохота для получения беты - киньте кто нибудь эту версию на FTP или через службу отправки чистых файлов - заберу его и погоняю.[/QUOTE]
Сори, не могу залить на [url]http://www.virusinfo.info/upload_virus.php:[/url]
Unknown error. File not uploaded...
Может прокся на сервере хулиганит! :(
-
[QUOTE=Casper;89859]Сори, не могу залить на [url]http://www.virusinfo.info/upload_virus.php:[/url]
Unknown error. File not uploaded...
Может прокся на сервере хулиганит! :([/QUOTE]
Похоже глюк после переезда. Постараюсь глянуть вечером
-
Окей, напомните адрес ftp сервера, куда можно залить архивчик запрашиваемый Олегом?
-
[QUOTE=pig;89837]Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.[/QUOTE]
Из баз убрали ВСЕ фиксы ложняков, не только эвристика.
-
[QUOTE=AndreyKa;89848]И еще одно нашел:
SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
это файл из состава ZoneAlarm 6.0.631.003
Текущая версия на него не ругается.[/QUOTE]
Ложняк, ИМХО.
-
[QUOTE=Geser;89860]Похоже глюк после переезда. Постараюсь глянуть вечером[/QUOTE]
Такое впечатление, что ругань идет ужЕ после аплоуда. Гляньте, не пришел ли случаем betadrweb.rar
-
[QUOTE=borka;89864]Такое впечатление, что ругань идет ужЕ после аплоуда. Гляньте, не пришел ли случаем betadrweb.rar[/QUOTE]
У Вас, Борис, такая же проблема? У меня тоже сложилось такое же впечатление, т.к. сам файл мирно ушел в сеть. Отправлял 2 раза, так что помимо betadrweb.rar, там должно быть 2 архива DrWeb.rar (теоретически, естественно)...
-
[QUOTE=Casper;89865]У Вас, Борис, такая же проблема? У меня тоже сложилось такое же впечатление, т.к. сам файл мирно ушел в сеть. [/QUOTE]
Ага, то же самое. :(
-
Олег, по идее можно на ftp слить, вот только адресочек бы... ;)
-
[QUOTE=Casper;89867]Олег, по идее можно на ftp слить, вот только адресочек бы... ;)[/QUOTE]
У меня на сайте FTP не настроен, можно на ftp virusinfo.info - параметры в закрытом разделе, в теме про FTP. Но еще лучше и проще - положить его на rapidshare.ru или rapidshare.com
-
[QUOTE=Зайцев Олег;89870]У меня на сайте FTP не настроен, можно на ftp virusinfo.info - параметры в закрытом разделе, в теме про FTP. Но еще лучше и проще - положить его на rapidshare.ru или rapidshare.com[/QUOTE]
В личку.
Page generated in 0.01476 seconds with 10 queries