Printable View
[QUOTE=memorex]В смысле? То есть установила прогу для "защиты", и приехал вирус? Я от адварей сейчас Lavasoft Ad-aware опставила, надеюсь, что это не то же самое....[/QUOTE]
Не, лавасофт - приличные люди.
Бред сивой кобылы, правда, порой ловят - куки всякие и т.п. ерунду, это они юзают модный на западе бзик на секурности. Себя, родного, не прорекламируешь, никто и не оценит :).
Но заразу не втюхивают, это точно.
P.S. А с SAV Вы еще к нам наведаетесь, это как пить дать :).
Да вроде все относительно продвинутые мониторы сейчас по своей сути руткиты с той или иной функциональностью. Вопрос, как обычно, для чего предназначен топор, для рубки дров или... %))
[QUOTE=Shu_b]Пришел ответ от VMS DrWeb (если кому ещё интересно...):
C:\Program Files\NoAdware4\noadwareutils.dll
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.NtRootkit.103[/QUOTE]
Это, вероятнее всего, ошибка аналитиков "Антивирусной лаборатории Данилова". Я не стал "поднимать волну" во вторник вечером, когда увидел это сообщение - думал, что тема уже исчерпала себя и фидбека больше не будет. Оказалось - нет!
Тогда же для удовлетворения любопытства я сделал две проверки этого файла, [I]noadwareutils.dll[/I], в онлайне (после всех этих экспериментов с программами TrojanHunter и NoAdware у меня последняя еще до сих пор установлена, а, значит, и файл на своем месте!) - на сайте [URL="http://www.drweb.ru/scan/"]DrWeb[/URL] и [URL="http://www.viruslist.com/ru/scanforvirus"]Viruslist.com[/URL]. Вот результат: [URL="http://aintrust.narod.ru/images/noadware/noadwareutils_dll_drweb.png"]DrWeb - [I]noadwareutils.dll[/I] - OK[/URL] и [URL="http://aintrust.narod.ru/images/noadware/noadwareutils_dll_kav.png"]Viruslist - [I]noadwareutils.dll[/I] - OK[/URL]. ОК, подумал я - или не успели обновить вирусную базу, или же у меня действительно "чистый" файл! В других местах проверять было влом, решил подождать немного. И что же! Вчера DrWeb уже радостно сообщил мне, что этот файл - троян ([URL="http://aintrust.narod.ru/images/noadware/noadwareutils_dll_drweb_15032006.png"]DrWeb -[I] noadwareutils.dll[/I] - Trojan.NtRootKit.103[/URL])! Не может быть, решил я - что-то тут не так, надо копать!
Что же оказалось? Файл [I]noadwareutils.dll[/I] - это обычный keylogger по способу своего внедрения в процессы. Он служит для организации real-time protection в программе NoAdware 4-й версии (в 3-й, возможно, его еще не было), перехватывая в user-mode функции CreateProccessA, CreateProccessW и WinExec. Ничего подозрительно, в общем, вполне нормальный файл. Как же он тогда мог попасть в лаборатории Данилова в трояны? Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103! ;)
В общем, полагаю, это ложная тревога. Для тех, кому интересно самостоятельно посмотреть на файл, я сделал вложение ([I]noadwareutils.zip[/I]). Кроме того, можно зайти на сайт программы NoAdware ([URL="http://www.noadware.net/"]NoAdware.net[/URL]) и скачать оттуда триальную 4-ю версию. Кстати, инсталлятор программы подписан цифровой подписью (сами же программные модули - нет), сертификат от VeriSign действителен: [URL="http://aintrust.narod.ru/images/noadware/noadware_exe_certificate.png"][I]noadware.exe[/I] certificate[/URL]. Правда, почему сертификат выдан какой-то "левой" компании - MarketFlip Technologies (не нашел о ней толком ничего, кроме того, что ее домен зарегистрирован на Go Daddy, а сайта нет вообще), и почему не подписаны сами модули - неясно...
И, самое главное - чуть не забыл! ;) Этот файл, [I]noadwareutils.dll[/I], находится в "базе чистых" утилиты AVZ - и именно поэтому утилита не давала в своем отчете информацию о том, что это keylogger!!! Как он туда попал (вполне заслуженно, впрочем!) и когда - это уже вопрос к Олегу Зайцеву. :P
[QUOTE=aintrust]Как же он тогда мог попасть в лаборатории Данилова в трояны?[/QUOTE]Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку. :) [QUOTE=aintrust]Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103! ;) [/QUOTE]
Естественно, пересылались только те файлы, которые были присланы, но не совсем без контекста... ссылка на эту тему была включена в письмо.
на данный момент так:
DrWeb 4.33 03.16.2006 Trojan.NtRootKit.103
Ewido 3.5 03.16.2006 Adware.WebRebates
[QUOTE=Shu_b]Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку. :) [/QUOTE]
Нет, я тут другое имел ввиду: не путь (способ) попадания, а "логику" попадания - т.е. что заставило ребят из лаборатории так думать об этом файле!
[QUOTE=Shu_b]Естественно, пересылались только те файлы, которые были присланы, но не совсем без контекста... ссылка на эту тему была включена в письмо.[/QUOTE]
Ну, а что еще вы могли сделать в вашей ситуации? Вы-то как раз все сделали правильно - это просто недоработка аналитиков. В данной ситуации невозможно (или затруднительно) было провести анализ "вне контекста", а аналитики, насколько я понимаю, его (контекст) так и не получили - это следует уже хотя бы из того факта, что головной модуль этой программы, [I]NoAdware4.exe[/I], который управляет этой [I]noadwareutils.dll[/I], обеспечивает ее внедрение в процессы и всячески с ней взаимодействует, не попал в трояны (я только что специально это проверил).
[QUOTE=Shu_b]на данный момент так:
DrWeb 4.33 03.16.2006 Trojan.NtRootKit.103
Ewido 3.5 03.16.2006 Adware.WebRebates[/QUOTE]
Хм... ;) Ну, с первым, допустим, мне все ясно. А вот со вторым надо разбираться, т.к. описания на сайте Ewido я не нашел, поэтому трудно судить, что они имеют ввиду. Лично я, допустим, никакого [U]adware[/U] в программе NoAdware не заметил, хотя и видел в и-нете какие-то нарекания на этот счет (м.б., это в старой версии было?). С другой же стороны, со стороны компании Ewido это может быть такая своеобразная форма конкурентной борьбы - пристреливать "чужаков" на рынке... :P
[QUOTE=aintrust]
Кстати, инсталлятор программы подписан цифровой подписью (сами же программные модули - нет), сертификат от VeriSign действителен: [URL="http://aintrust.narod.ru/images/noadware/noadware_exe_certificate.png"][I]noadware.exe[/I] certificate[/URL]. Правда, почему сертификат выдан какой-то "левой" компании - MarketFlip Technologies (не нашел о ней толком ничего, кроме того, что ее домен зарегистрирован на Go Daddy, а сайта нет вообще), и почему не подписаны сами модули - неясно...
[/QUOTE]
троянов подписанных цифровой подписью - ВАГОН.
[QUOTE=Shu_b]
Ewido 3.5 03.16.2006 Adware.WebRebates[/QUOTE]
а это уже серьезная заявка. то ли автор один, то ли и правда используется в WebRebates
[QUOTE=MOCT]а это уже серьезная заявка. то ли автор один, то ли и правда используется в WebRebates[/QUOTE]
Возможно и первое, и второе, и даже оба одновременно - кто их там разберет! ;) Однако в безвредности этой отдельно взятой dll-ки я почти не сомневаюсь (пишу [U]почти[/U], т.к. не хочу заниматься детальной трассировкой - мне, в общем, и так все ясно). Как правильно заметил [B]Xen[/B] - это как история с топором: можно и дом построить, а можно и старуху-процентщицу замочить. Так и с этой dll... :P
PS. Только что обсудили с Олегом Зайцевым ее попадание в базу "чистых" AVZ. Он ее тоже смотрел - ничего подозрительного...
PPS. Заодно и еще одно замечание:
[QUOTE=MOCT]троянов подписанных цифровой подписью - ВАГОН.[/QUOTE]
Я статистику по троянам не собираю - для уточнения сейчас спросил у Олега, действительно ли это так? Он говорит, что подписанный троян - большая редкость. Очень часто подписывают adware/spyware - но это и не удивительно, т.к. типа почти "легально"...
[quote=aintrust]
И, самое главное - чуть не забыл! ;) Этот файл, [I]noadwareutils.dll[/I], находится в "базе чистых" утилиты AVZ - и именно поэтому утилита не давала в своем отчете информацию о том, что это keylogger!!! Как он туда попал (вполне заслуженно, впрочем!) и когда - это уже вопрос к Олегу Зайцеву. :P[/quote]
Этот файл попал в базы 2006-03-07, т.е. совсем недавно. Я мельком посмотрел его (как обычно - дизассемблер + причие анализаторы), по моему мнению это что-то типа монитора для RealTime защиты. Вот он и попал в базы чистых, я думаю вполне законно. Кстати, в базы одновременно с ним еще один экспонат попал zlbw.dll - библиотека-компрессор. Ее часто детектят антивирусы и антишпионы, т.к. она применяется спам-ботами (но при этом совершенно безопасна)
Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов
[QUOTE=aintrust]Возможно и первое, и второе, и даже оба одновременно - кто их там разберет! ;) Однако в безвредности этой отдельно взятой dll-ки я почти не сомневаюсь (пишу [U]почти[/U], т.к. не хочу заниматься детальной трассировкой - мне, в общем, и так все ясно). Как правильно заметил [B]Xen[/B] - это как история с топором: можно и дом построить, а можно и старуху-процентщицу замочить. Так и с этой dll... :P
[/QUOTE]
когда я ее разглядывал, я сказал, что добавление или недобавление в базы зависит от того, кто анализирует и насколько он параноидален, т.е. на любителя (на форуме такого не нашел - наверно нетмылом кому-то написал).
[QUOTE=aintrust]
Я статистику по троянам не собираю - для уточнения сейчас спросил у Олега, действительно ли это так? Он говорит, что подписанный троян - большая редкость. Очень часто подписывают adware/spyware - но это и не удивительно, т.к. типа почти "легально"...[/QUOTE]
пардон, но я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan" - все выполняют не то, что нужно (поэтому так обобщающе выразился). и таких файлов реально полно.
[quote]
я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan"
[/quote]
Принципиальные различия, технические и... экономические - есть.
[QUOTE=Xen]Принципиальные различия, технические и... экономические - есть.[/QUOTE]
вот в плане функциональности - есть. а в плане необходимости детектирования - нет.
Насчет необходимости детектирования согласен ;-)
[QUOTE=Зайцев Олег]Этот файл попал в базы 2006-03-07, т.е. совсем недавно. Я мельком посмотрел его (как обычно - дизассемблер + причие анализаторы), по моему мнению это что-то типа монитора для RealTime защиты. Вот он и попал в базы чистых, я думаю вполне законно. Кстати, в базы одновременно с ним еще один экспонат попал zlbw.dll - библиотека-компрессор. Ее часто детектят антивирусы и антишпионы, т.к. она применяется спам-ботами (но при этом совершенно безопасна)
[/QUOTE]
Т.е. вопрос в том, чья это защита - заразы или нет.
На zlbw.dll аналитики дрвеба уже давненько ответили - "это не вирус". Отправлял как-то со спамботом, было.
Вообще они правильно относятся к этим вещам - если файл сам по себе безвреден, то детектировать его не будут. Достаточно сообщить, а лучше отправить. Безвинно задетектированные уберут из баз, без проблем.
[QUOTE]
Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов[/QUOTE]
Во-во. Хорошо бы с ними разобраться - чьи файлы.
С месяц назад мельком заметил, что некоторые файлы в автозапуске из комплекта заразы помечены зеленым цветом, но дело было уже глубокой ночью и вникать было уже некогда. А потом уже не нашел, на что именно. Давно хочу предложить перепроверить базу чистых, имхо, что-то там все же есть не слишком гуманное.
Если действительно зря детектят - отправь, плиз. Уберут и добавят в свою базу чистых (в тест-лабе).
Адреса, думаю, знаешь - [email][email protected][/email], веб-форма [url]http://support.drweb.com/sendnew[/url]. И там, и там есть учет, придет тикет от RT.
[QUOTE=Alexey P.]
На zlbw.dll аналитики дрвеба уже давненько ответили - "это не вирус". [/QUOTE]
меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят! ;)
[QUOTE=MOCT]меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят! ;)[/QUOTE]
Нет, "это не вирус" - четко означает harmless.
Мне их позиция как раз кажется правильной - если этот софт сам по себе безопасен и лишь используется в составе каких-то троянов - максимум занесут в рискварь. Детектится лишь опасный софт.
Бывают ошибки, конечно, аналитики действительно здорово загружены и не всегда есть время для детального анализа. Но в целом так.
Можно с ними поспорить - лучше для этого занести отдельным запросом, т.к. ответы на уже обработанные тикеты смотрят довольно редко, можно прождать долго. Это неправильно, конечно, но оно есть.