VBA Рулит..
Printable View
VBA Рулит..
ДрВеб это детектит, Trojan.ActualSpy. Просто на вирустотал дефолтные настройки, и riskware база отключена.
Сам на эти грабли наступал как-то.
Предлагаю вообще отдельный топик по пинчу делать - встречается часто в разделе помогите, а ответы экспертов не всегда точные и полные.
[quote=Shu_b]Первые промежуточные результаты:[/quote]
С моими ([URL="http://enotus.at.tut.by/Articles/AVtest/index.html"]http://enotus.at.tut.by/Articles/AVtest/index.html[/URL]) расходятся.
[QUOTE=Участковый]Complete scanning result of "intcodec-v6.335.exe", received in VirusTotal at 08.05.2006, 19:31:11 (CET).
[/QUOTE]
Имхо, ложняк.
Файлик можно на [email][email protected][/email]? поглядим что там. Если ложняк - будем исключать.
Странно, что доктор не поймал. В базах каспера уже год.
[QUOTE=azza]Имхо, ложняк.[/QUOTE]
Не, натуральная зараза. Встречалась.
[QUOTE=azza]Имхо, ложняк.[/QUOTE]
Во всяком случае, после Вирустотала его теперь определяют и KAV, и DrWeb.
Могу залить на [url]https://virusinfo.info/upload_virus.php[/url], если интересно.
[QUOTE=Terry]Файлик можно на [email][email protected][/email]? [/QUOTE]
Отправил.
[QUOTE=Участковый]Во всяком случае, после Вирустотала его теперь определяют и KAV, и DrWeb.
Могу залить на [url]https://virusinfo.info/upload_virus.php[/url], если интересно.
[/QUOTE]
Не, вряд ли стоит. Эту заразу обновляют достаточно часто, и отдельные образцы вполне успевают устареть еще до обработки. В смысле на сайте уже все давно обновлено.
Здравствуйте!
И где же Вы берете эти pipiski уважаемый!?:P Не поделитесь...
Добрые люди в аську ссылку прислали. Мол, "вынел новый генератор премиум паролей для рапидшары!" (орфография сохранена)
Стал смотреть - оказывается, зверушка уже неплохо поработала, стырила 57 комплектов паролей. Урожай за два дня.
ЗЫ: Образец через вирустотал дойдет всем, потому делиться смысла никакого. Тем более что их как собак, гм, бродячих - сегодня еще один широко засветился, LDPinch.1092/LdPinch.atu. Этот поактивней - у него уже на счету 143 комплекта паролей, тоже за два дня.
[QUOTE=Alexey P.] Стал смотреть - оказывается, зверушка уже неплохо поработала, стырила 57 комплектов паролей. Урожай за два дня.
Этот поактивней - у него уже на счету 143 комплекта паролей, тоже за два дня.[/QUOTE]
он признался под пытками, сколько паролей увел, или это телепатические особенности? :)
Угу, телепатические.
Анекдот вспомнился, о медведе-телепате:
В цирке аншлаг, на всех плакатах - "Впервые в истории цирка. Медведь - телепат !!!".
Действительно, выходит на арену здоровенный медведь и спрашивает: "Кого тут оттелепатить ?"
Контрольная точка перенесена.
[QUOTE=MOCT]Complete scanning result of "iRcHaTaN_Ps.exe", received in VirusTotal at 08.15.2006, 12:14:32 (CET).
NOD32v2 1.1706 08.14.2006 unpack error
Aditional Information
File size: 84464 bytes
MD5: 673e6d4dc2915d899310a599f3479aad
SHA1: b8060306c2a03788fca4a118b478d6521d7d987f
packers: FSG[/QUOTE]
первый раз вижу такое сообщений от NOD32
Угу, скорее всего. Oxygen Phone Manager там стоит ?
Нет, образец не надо, спасибо - кому положено, детектят, остальные и так через вирустотал прекрасно всё получат.
ЗЫ: Такого добра нынче завались, спаммеры трудятся не покладая.
packers: UPX - вряд ли так на самом деле, скорее там криптер какой-то под модифицированным UPX.
[QUOTE=Dandy]Осторожно, ссылка по Норману - живая....
Уже мертвая.;)
Хмм.. только ничего этот 1.ехе не качает. Видно у доктора эвристик неправельно сработал ибо невидно тут функционала даунлоадера.
Да, у их эвристика нету диагностики PROXY.Trojan. Надо расширять :).
[QUOTE=Shu_b]Очередная контрольная точка.[/QUOTE]
что-то Касперский не на высоте. и надеюсь все уже поняли, что эвристики у него НЕТ.
Кто хочет - тот видит.
Ещё бы Alex.P не был бы настолько очевиден. :)
Енот скорее прав. Даже без эвристики. антивир - понятно, вне статистики :)
В промежуточных результатах впечатляет эвристик NOD32.:)
> **Locates window "NULL [class AVP.AlertDialog]" on desktop.
Хех.. видно проактивка каспа сильно достала :)
Однако скоро это перестанет работатьЖ)
[QUOTE=Sanja]> **Locates window "NULL [class AVP.AlertDialog]" on desktop.
Хех.. видно проактивка каспа сильно достала :)
Однако скоро это перестанет работатьЖ)[/QUOTE]
А можно поподробней ?
Почему скоро это перестанет работать ? :)
[QUOTE=resident-x]А можно поподробней ?
Почему скоро это перестанет работать ? :)[/QUOTE]
вот как быстро авторы отреагировали ;-)
да, явно это жжж неспроста..
Перестанет т.к так надо Ж)
[quote=Sanja]Перестанет т.к так надо Ж)[/quote] Ну-ну...;)
Все-таки имхо интересно было бы завести тему "Исследование антивирусов - через 2 суток" - проверка тех же файлов через 2 дня. Понятно, что напр. российские заклятые друзья будут в лучшем положении, чем какая-нибудь Avira, поскольку им эти вирусы еще и руками в ав службу посылаются. Но все равно любопытно.
А что, если включать в "Исследование антивирусов" файлы, которые присланы пользователями из раздела Помогите? В принципе это не противоречит правилам исследования.
[QUOTE=gines]А что, если включать в "Исследование антивирусов" файлы, которые присланы пользователями из раздела Помогите? В принципе это не противоречит правилам исследования.[/QUOTE]
В большинстве случаев это так и есть.
[QUOTE=Winsent]В продолжении Update'а-KB5984-x86.exe
NOD32v2 1.1786 10.02.2006 no virus found
[/QUOTE]
очень странно... проверил на версии:
NOD32 antivirus system information
Virus signature database version: 1.1786 (20061002)
Dated: 2 октября 2006 г.
Virus signature database build: 8120
получил в результате:
Update-KB5984-x86.exe Win32/Stration.FO worm quarantined - deleted
PS Это обновление было в районе 13 часов по Москве
[QUOTE=kvit]
получил в результате:
Update-KB5984-x86.exe Win32/Stration.FO worm quarantined - deleted
PS Это обновление было в районе 13 часов по Москве[/QUOTE]
Что выдал, то и Ctrl+C Ctrl+V ;)
[QUOTE=Ромео]Судя по названию разработчик пинча, а некотыре антивирусы похоже с ним до сих пор не знакомы:'-(
[/QUOTE]
у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.
[QUOTE=MOCT]у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.[/QUOTE]
К сожалению уже многие здесь постят не по правилам данной темы.:embarasse
[QUOTE=MOCT]у этой темы есть правило - постить только тесты реального зверья, живущего в дикой природе. хакерские тулзы тут не тестируются.[/QUOTE]
Удалите проверку этого файла, поправьте статистику. Раз нарушил правила, значит должен ответить. В дальнейшем буду более внимательным. Правила читал давно, помню что нельзя отправлять файлы которые нашел антивирус, установленный на системном блоке. Этот файл проверял сразу на virustotal, оказывается есть еще второе правило. Извините.
hmm, false alarm?
[quote=Sanja]hmm, false alarm?[/quote]
Нет! Просто в ЛК и в Вэбе правильно задетектили все части- разобрали все. Остальные не потрудились. PHP- это загрузчик. Другая часть (сам бот здесь -http://virusinfo.info/showpost.php?p=81840&postcount=189)