Модификация Win32.Sector.5

[quote=Groft;270615]И, если можно, ссылочку на вирустотал с детектом этого вируса :)[/quote]


VirisTotal:

[URL]http://www.virustotal.com/ru/analisis/35122d2bb89e8e6c46ede868f15b322a[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[quote=Shu_b;270563]если можете, поделитесь номером запроса.[/quote]


Ответа с номером запроса пока нет- появится, обязательно выложу

[QUOTE]VirisTotal:
:http:[url]www.virustotal.com/ru/analisi...ede868f15b322a[/url][/QUOTE]

Касперский молчит:O
:(

[quote=priv8v;270710]Касперский молчит:O
:([/quote]


молчит ! :(


что меня честно говоря несколько удивило...

даже при максимальных настройках эвристики KIS 2009 ничего пока не находит 8)

[QUOTE=priv8v;270710]Касперский молчит:O
:([/QUOTE]

Как-то один раз он крикнул... Я чуть седым не стал... :D

Eset Russia ответили сегодня на повторную отправку.
"Присланный Вами файл отправлен в лабораторию ESET для добавления в антивирусные базы."
Это на файл, который детектируется (и лечится) как Sector.4 Cureit от 19августа.

Я у себя лечил такую заразу :) гадина еще та - зашел к шефу сказал надо вырубить сеть - 2-3 суток максимум (почти 200 машин) :) он дал добро :) тока и бегал что от машины к машине (лечение только с диска) штук 20 нарезал :) тока спать домой ходил а куда деваться :) поставил симантек центр и клиенты.. плюс на все расшареное доступ по логину-паролю - так центр симантека говорил с какой именно машины зараза в расшареную папку шла.. вот так вот.. при этом обнаружил бессилие и касперского и дрвеба (но куреит лечил исправно) они не показывают откуда берется зараза.. нет ничего совершенного только МОЗГ :) и ставьте файрволы хотя бы тем кто в инет лазит :)

Ну вот, вроде победил. Во всяком случае на Threat Log Nod'а больше ничего не попадает. Лечение производил на тех машинах, на которых был когда - либо зафиксирован КиллАВ.НЕ и Салити.всех_модификаций. Доступ на все сетевые ресурсы пришлось ограничить по доменной политике (Админ-Всё, Юзер - чтение), что немного мешает, но ето мелочи.

Ув. Тов. Maximus_1982, мозг тоже не совершенен)

Здравствуйте, я сдесь впервые! Естественно сайт посетил из за вируса! "Virus.Win32.Sality.z"- Штука страшная, что она вытворяет ужас! был в организации, ставил антивирус Панду! Он нащел все вирусы, вылечил, будто бы и спросил перезагрузку! Все комп не включается больше! Потом в нете почитал про него, в общем он заражает все exeшники и загрузчик Винды, распостраняется очень быстро, лечить трудно! Антивирус может превратить в разносчика, если его ставить на зараженную машину!

[quote=victor_16_87]Все комп не включается больше![/quote]
Антивирус удалил блок питания? ;)
Читайте как правильно лечить файловые вирусы:
[url]http://virusinfo.info/showpost.php?p=166807&postcount=1[/url]

Кстати, проверил, что НОД должен нормально лечить Sector.5/Sality.NAO. crc-32,md5,sha1 у пролеченного файла совпадает с файлом, пролеченным CureIt. На [b]Sector.4/Sality.NAS?[/b] нет реакции.

сегодня получил ответ (virus [KLAB-6079581]) от "Лаборатории Касперского" на файл определяемый Drweb как "модификация win32.sector.5", цитирую:

--------------------------------------------------
[FONT=Courier][SIZE=2][FONT=Courier][SIZE=2]Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
---------
С уважением, Андрей Ладиков
Вирусный аналитик
ЗАО "Лаборатория Касперского"
[/SIZE][/FONT][/SIZE][/FONT]--------------------------------------------------

вот так ! :)


жду, что ответит DrWeb :D

[QUOTE=evglap;277628]жду, что ответит DrWeb :D[/QUOTE]

Номером тикета от vms доктора поделитесь... pls.

[quote=Shu_b;277630]Номером тикета от vms доктора поделитесь... pls.[/quote]

рад бы - да только нету его у меня...... :(

отправлял через [URL]http://support.drweb.com/sendnew/[/URL]

пока ответа нет....

[QUOTE=evglap;277646]рад бы - да только нету его у меня...... :(

отправлял через [URL]http://support.drweb.com/sendnew/[/URL]

пока ответа нет....[/QUOTE]

Значит не доехал, и ответа не дождётесь.
Если есть возможность, поделитесь экземпляром, туда - [url]http://virusinfo.info/upload_virus.php?tid=28287[/url]

[quote=Shu_b;277666]Значит не доехал, и ответа не дождётесь.
Если есть возможность, поделитесь экземпляром, туда - [URL]http://virusinfo.info/upload_virus.php?tid=28287[/URL][/quote]

отправил: :)

Файл сохранён как [B]080901_031814_mod_sector5_48bba54620784.zip[/B]
Размер файла [B]924750[/B]
MD5 [B]5e88b901cd711ff9e191e9213236d501[/B]


пароль: [B]virus[/B]

Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует :)

[quote=Groft;277746]Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует :)[/quote]


:) может действительно ложное срабатывание ?

[quote=evglap;277755]:) может действительно ложное срабатывание ?[/quote]
а может файл битый, а тут уж все зависит от политики вендора :)

[QUOTE=evglap;277681]отправил: :)[/QUOTE]

[quote=vms@drweb]Ваш запрос был проанализирован. Это был разрушенный файл.[/quote]
вот такой ответ...

тогда все более-менее проясняется......

shu_b - спасибо !