Kido этому уже три месяца, детектят его все, так что тут всё честно.
Printable View
Kido этому уже три месяца, детектят его все, так что тут всё честно.
Вроде как появилась модификация, и статистики по ней пока нет.
Почему же нет, есть. Вот:
[CODE]
File flic received on 03.14.2009 21:02:11 (CET)
Current status: finished
Result: 35/37 (94.59%)
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.14 Net-Worm.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.03.13 Win32/Conficker.worm.88576
AntiVir 7.9.0.114 2009.03.13 Worm/Conficker.D.1
Authentium 5.1.0.4 2009.03.14 W32/Conficker.B
Avast 4.8.1335.0 2009.03.13 Win32:Trojan-gen {Other}
AVG 8.0.0.237 2009.03.14 Worm/Generic.WLO
BitDefender 7.2 2009.03.14 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.03.14 I-Worm.Kido.ip
Comodo 1056 2009.03.14 Worm.Win32.Exploit.Conficker.c.~
DrWeb 4.44.0.09170 2009.03.14 Win32.HLLW.Shadow.based
eSafe 7.0.17.0 2009.03.12 Win32.Conficker.X
eTrust-Vet 31.6.6388 2009.03.09 Win32/Conficker.C
F-Prot 4.4.4.56 2009.03.14 W32/Conficker.B
F-Secure 8.0.14470.0 2009.03.14 Worm:W32/Downadup.DY
Fortinet 3.117.0.0 2009.03.14 W32/Kido.IP!worm.im
GData 19 2009.03.14 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.45.0 2009.03.14 Net-Worm.Win32.Kido
K7AntiVirus 7.10.671 2009.03.14 Net-Worm.Win32.Downadup.iw
Kaspersky 7.0.0.125 2009.03.14 Net-Worm.Win32.Kido.iw
McAfee 5553 2009.03.14 W32/Conficker.worm.gen.c
McAfee+Artemis 5553 2009.03.14 W32/Conficker.worm.gen.c
McAfee-GW-Edition 6.7.6 2009.03.13 Worm.Conficker.D.1
Microsoft 1.4405 2009.03.14 Worm:Win32/Conficker.D
NOD32 3935 2009.03.13 a variant of Win32/Conficker.X
Norman 6.00.06 2009.03.13 W32/Conficker.KL
nProtect 2009.1.8.0 2009.03.14 Worm/W32.Kido.88576
Panda 10.0.0.10 2009.03.14 W32/Conficker.B.worm
Prevx1 V2 2009.03.14 Medium Risk Malware
Rising 21.20.52.00 2009.03.14 Worm.Win32.MS08-067.c
Sophos 4.39.0 2009.03.14 W32/Confick-G
Sunbelt 3.2.1858.2 2009.03.13 Worm.Win32.Downadup.Gen
Symantec 1.4.4.12 2009.03.14 W32.Downadup.C
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 WORM_DOWNAD.AD
VBA32 3.12.10.1 2009.03.14 Net-Worm.Win32.Kido.iw
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.6.5.0 2009.03.14 Worm.Kido.Z
Additional information
File size: 88576 bytes
MD5...: 5e279ef7fcb58f841199e0ff55cdea8b
SHA1..: 97256a110c2d1910278f057034b5716448dc04e8
SHA256: 99ec85d7edd42bb77a3975865d43002ed3db280958f70d4979d2c46ced49e22d
SHA512: 97b4db923fe26c1ae2f9e0896d55878078d6067348edcf488dd0a2a1143b99f1
46501824807f29c9260a1d6f31d75244cb6bed478b35446cb691c6b8d72b034c
ssdeep: 1536:rJN0t50iI+H+OWJmQhOs9NSeL+HcNQuFktdHXXGNUweCnqdUjjECQE76:T0
tXeZJNUsTSeL+8NQuFmHmkCxjcp
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1336f
timedatestamp.....: 0x335c1ed7 (Tue Apr 22 02:13:43 1997)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12c1c 0x12e00 7.90 de0b84a1754768605d7aa3060fa1eb7e
.data 0x14000 0x290c 0x1e00 4.73 fac71472195d11acd014af00bc8eb393
.reloc 0x17000 0x92e 0xa00 5.90 ee809ac1bbb655074a9aaa6999de7c9e
( 7 imports )
> KERNEL32.dll: VirtualAlloc, VirtualFree, InterlockedIncrement,
GetUserDefaultLCID, GetLocalTime, GetVersion, SleepEx, LoadLibraryA,
InterlockedExchange, GetProcAddress, IsBadWritePtr, GetVersionExA, lstrcpyW,
IsDBCSLeadByte, GetACP, GetTickCount, SetLastError, VirtualProtect
> USER32.dll: GetClientRect, IsCharUpperA, GetIconInfo, GetWindow, IsChild,
GetTopWindow, GetWindowContextHelpId, WindowFromDC, IsCharAlphaA,
GetWindowPlacement, CopyIcon, IsIconic, GetGUIThreadInfo, GetDC, GetTitleBarInfo,
IsWindowUnicode, IsMenu, GetWindowRect, IsWindowVisible, GetForegroundWindow,
InSendMessage, GetWindowTextA
> ADVAPI32.dll: RevertToSelf, AreAnyAccessesGranted
> GDI32.dll: GetBkMode, GdiFlush, GetROP2, GetBkColor, GdiGetBatchLimit
> SHELL32.dll: -
> SHLWAPI.dll: StrCmpW, StrSpnA, StrCmpIW, StrCpyW, StrChrIA, StrCSpnIA,
StrChrIW, StrCmpNW, StrCmpNIW, StrCSpnIW
> MSVCRT.dll: difftime, _CIfmod, _getdrive, _strdate, _mbsncpy, _stricoll,
malloc, free, _itoa, time, wcsxfrm, wcspbrk, _mbstrlen, _mbctokata, _mbclen, _wcsset,
_errno, wctomb, _initterm, _adjust_fdiv, _getdrives, _mbsnicoll, _copysign, _wstrtime,
strstr, mbstowcs, _wstrdate, wcstombs, modf, _mbctombb, clock, _mbsninc,
strerror, getenv, strxfrm, _getmbcp, wcscoll, _hypot, _mbsncmp, _mbsrchr,
strcoll, _strlwr, _pctype, _isctype, __mb_cur_max
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C4DFC887006B54245A1B013D5B62D000D499B3A9
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5e279ef7fcb58f841199e0ff55cdea8b
[/CODE]
[B]NOD32 3935 2009.03.13 a variant of Win32/Conficker.X[/B] - мда. У них просто ужасная вирусная лаборатория
Мне там что-то Аваст не полюбился :\
похоже на эвристический детект...
Это Вы про НОДа?
Я им неделю назад отсылал файлы, на которые он ругается - базы обновляю 2-3 раза в день и он до сих пор ругается на них.
2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.
[quote=Rampant;372977]2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.[/quote]
как бы этого не хотелось, но думаю никогда
Nod32 практически никогда не использовал, но вот однажды, в ноябре прошлого года был случай. Жутко пиратский DVD из серии "золотой софт..." явно содержал малварь: после того, как этот диск побывает в руках у шибко грамотного юзера, подменивается стартовая страница IE. Итак этот диск по очереди оказался у трех юзеров. У первого стояла триальная версия NOD32 от Дом.ру, регулярно обновляемая - срок триала еще не закончился, у второго AVG, поставленная мной лично, у третьего drWeb AV-Desk от того же Дом.ру с проплаченной подпиской. Итак:
[LIST][*]У первого юзера NOD32 даже не пискнул, стартовая страница браузера была замещена, последующее сканирование харддиска NOD32 ничего не обнаружило, только CureIT обнаружило и удалило зловреда.[*]У второго и третьего зловред был обнаружен при запуске диска, стартовая страница не была подменена, сканирование жесткого диска ничего не обнаружило.[/LIST]DVD был очень древний, т.е. этому малваре было по крайней мере года два. Да и такое действо, как подмена стартовой, по крайне мере должно вызвать подозрение.
Как-то принесли ноутбук, заражённый вируснёй. Винду переставили, владельцу про антивирус намекнули, был купилен третий нод. Не шибко много времени прошло, привёз ноутбук снова. Реестр, диспетчер задач не открываются, ещё куча всего залочено. Нод считал, что всё чисто. В итоге безопасный режим + CureIT.
Третий нод ловит конечно слабенько, причём в основном на подлёте. Если вирус внутри, то тут он уже абсолютно бесполезен. У знакомого на работе целый зоопарк. 2.7 не видит ничего, 3-ий видит больше, но пропускает неприлично много. Недавно начал четвёртый ставить. Но по первым впечатлениям не сильно отличается от 3-ки.
Но нод хотя бы лучше Симантека. :)
Попробовал добавить нод в свою линейку разбора сэмплов. В день там порядка сотни троянов, самых разных.
И честно - просто офигел от результата. КАК ЖЕ МАЛО ОНИ ЛОВЯТ !!!
Это жуть, как можно так плохо работать.
[QUOTE]Это жуть, как можно так плохо работать.[/QUOTE]
В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.
Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:
[CODE]dows.se/download/free-antivirus/nod32_20090326.exe
зеркало:
codecpack.nl/nod32_20090326.exe[/CODE]
И прогоните его по своему набору сэмплов. Потом скажите как результаты:)
(но все равно, как показывает практика, результаты ниже того же куреита)
юзерам то от этого не легче, они стандартом пользуются.
[QUOTE]юзерам то от этого не легче, они стандартом пользуются.[/QUOTE]
я это прекрасно понимаю. свой пост я адресовал не юзерам, а конкретно к Alexey P. в виду того, что он
[QUOTE]Попробовал добавить нод в свою линейку разбора сэмплов.[/QUOTE]
поэтому я сказал, что не стоит так уж сразу выкидывать нодовский сканер по требованию с флешки - может быть он и понадобиться - на он-деманд версии хорошие настройки. сканит быстро и можно самому выбирать что сканить, настройки также самому можно править.
а юзеры пока остаются с носом:)
[QUOTE=priv8v;378493]
Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:
[/QUOTE]
Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.
[QUOTE]Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.[/QUOTE]
Сделал на всякий случай ссылки неактивными
Теперь и santy надо ссылки сделать неактивными.
вот, кстати, скрин настроек по умолчанию в этом сканере:
[IMG]http://s56.radikal.ru/i154/0903/90/255feb2322bb.png[/IMG]
[QUOTE=priv8v;378493]В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.
[/QUOTE]
нет, я сканер запускаю из комстроки со всеми включенными опциями (кроме памяти).
nod32.exe /selfcheck- /quit+ /sound- /subdir+ /pattern+ /heur+ /scanfile+ /scanboot- /scanmbr- /scanmem- /arch+ /sfx+ /pack+ /adware /unsafe /log+ /wrap- /logrewrite
Результаты, повторюсь, грустные. По сравнению с доктором или касперским детектятся вообще слезы, максимум 10-12 на сотню, а то и меньше.