Printable View
Имеет Ж) на [url]http://www.wilderssecurity.com[/url] об этом написано Ж)
Цитата -
Also, I am glad to see other av experts like Severyanin (Dr.Web), Siarheika (VBA32), Inspector Closeau (former NOD32), Stefan Kurtzhals (Avira), and any others I missed........
Я правда в последнее, так сказать, выпал из струи, в связи с тем что комп сломался, да и вообще нет времени. Но когда последний раз я отправлял новых зверей, то ДрВеб реагировали первые. Нужно отдать должное. Другое дело, что у них хватает других проблем.
Dr.Web действительно очень прилично отладил работу своего вирус-лаба, что и не преминул пропиарить на подходящем примере Polipos - надо же было хоть что-то получить от написанного ими довольно непростого лечения этого виря (вот лечение два дня писали, имхо).
Тем более к дню рождения Технического директора :).
Ничего зазорного в этом я лично не вижу.
ЗЫ: По телевизору и на сайтах некоторых антивирусов ежедневно идет куда более тупая и не подтвержденная ничем реклама - и ничего, все живы :).
Насколько я помню, утром было спрошено "так что, сделать вам лечение?". Народ крикнул "да!", и вечером было сказано: "оно есть".
За то, что сделано - спасибо, это действительно прорыв. И KAV6, побивающий, как я понял, руткиты, - тоже прорыв. Всем спасибо. А когда этим начинают меряться, как пацанва в подворотне размером мужского достоинства - бррр... Главное, я не могу понять, зачем - мы же все по одну сторону баррикады, и общий враг вооружён и очень опасен.
[QUOTE=pig]Насколько я помню, утром было спрошено "так что, сделать вам лечение?". Народ крикнул "да!", и вечером было сказано: "оно есть".
[/QUOTE]
Угу. Скорость подбора ключа XTEA была до минуты на некоторых файлах. А уже потом сделали то, что есть - до 10 сек. В принципе и первый вариант лечения уже можно считать сделанным :).
[QUOTE]
За то, что сделано - спасибо, это действительно прорыв. И KAV6, побивающий, как я понял, руткиты, - тоже прорыв. Всем спасибо. А когда этим начинают меряться, как пацанва в подворотне размером мужского достоинства - бррр... Главное, я не могу понять, зачем - мы же все по одну сторону баррикады, и общий враг вооружён и очень опасен.[/QUOTE]
Ну так весна или где ? Это такая народная забава :).
[QUOTE=Синауридзе Александр]Если мои слова для Вас веса не имеют мне все равно>:( Сейчас меня уже гонят с работы! Смена пришла.
Файлы остались. Для неверующих отчет сделаю попозже>:([/QUOTE]
Юноша, твои слова веса не имеют не только для окружающих, но, очевидно, и для тебя самого. На форуме Dr.Web ты прямо обвинил Игоря Данилова и его фирму в преступлении, предусмотренном соответствующей статьей, а именно, в создании и распространении вируса. Я уже не говорю, что согласно российскому законодательству, человек может быть признан преступником только по решению суда, но ты даже мало-мальских доказательств своих "весомых" слов не привел. Милый юноша, это называется распространением клеветнических измышлений, порочащих честь и достоинство. Кстати, тоже деяние предусмотренное соответствующей статьей.
Офф
[QUOTE=Синауридзе Александр]Форум Dr.Web совсем скучный и его я читал.
Чуть не уснул.[/QUOTE]
Зато здесь теперь жутко весело. Веселье аж на две с половиной темы растянули.
Прочитал от начала до конца, мало что понял, но было не до сна - написано увлекательно и с юмором :) Всем искреннее спасибо.
21.04.06, Пт, 17:30
В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a. На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии, и не выявлено до сих пор. В то же время были зафиксированы множественные обращения по поводу других, более опасных вредоносных программ — например, Bagle, Gpcode, LdPinch и целого ряда других, значительно распространившихся в Сети в последние недели». В Panda Software нам заявили, что образец вируса у них уже имеется, не сообщив других подробностей. На данный момент, по информации «Лаборатории Касперского», кроме Dr.Web, вирус детектируют Avira (определяется как W32/Regenig) и Fortinet (W32/Polipos.V12).
В «Доктор Веб», в свою очередь, говорят, что на официальном сайте Fortinet в режиме онлайн вирус не обнаруживается, а Avira не определял его еще вчера. «До сих пор ни один известный на российском рынке антивирус не определяет этот вирус», — заявили CNews в пресс-службе «Доктор Веб»
Как сообщили корреспонденту CNews специалисты «Доктор Веб», ими были получены десятки запросов от пользователей (в основном, пользователей P2P-клиентов), пострадавших от Polipos, из разных стран, на счету вируса — тысячи зараженных файлов. Степень опасности вируса оценивается как высокая: Polipos пытается блокировать нормальную работу антивирусов, удаляя важные для них файлы, может раскрывать конфиденциальную информацию, открывая доступ к зараженной системе.
Специалисты «Доктор Веб» разработали и процедуру лечения файлов, зараженных вирусом Win32.Polipos. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит — все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.
Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция «нейтрализации» целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.
Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы «покрывая тело файла-жертвы собственными пятнами». При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов — при ее наличии — «вниз». При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.
CNews.ru
Всем привет!
Бросьте мне кто-нибудь сэмпл виря для тестов, а то меня тут народ на форуме просит прогнать его под DW.
Да и мне тоже
[QUOTE]В «Лаборатории Касперского» CNews сообщили, что детектирование данной вредоносной программы добавлено в базу данных «Антивируса Касперского» лишь сегодня — он получил название P2P-Worm.Win32.Polipos.a
[/QUOTE]
[QUOTE]
Complete scanning result of "c.exe", received in VirusTotal at 04.24.2006, 17:16:04 (CET).
Antivirus Version Update Result
[b]AntiVir 6.34.0.24 04.20.2006 no virus found[/b]
[b]Avast 4.6.695.0 04.21.2006 no virus found [/b]
[b]AVG 386 04.22.2006 no virus found [/b]
Avira 6.34.1.58 04.24.2006 W32/Polipos
BitDefender 7.2 04.24.2006 Win32.Polipos.A
[b]CAT-QuickHeal 8.00 04.24.2006 no virus found [/b]
[b]ClamAV devel-20060202 04.24.2006 no virus found [/b]
DrWeb 4.33 04.24.2006 Win32.Polipos
[b]eTrust-InoculateIT 23.71.137 04.23.2006 no virus found [/b]
[b]eTrust-Vet 12.4.2175 04.24.2006 no virus found [/b]
[b]Ewido 3.5 04.24.2006 no virus found [/b]
Fortinet 2.71.0.0 04.24.2006 W32/Polipos
[b]F-Prot 3.16c 04.21.2006 no virus found [/b]
Ikarus 0.2.59.0 04.24.2006 P2P-Worm.Win32.Polipos.a
[b]Kaspersky 4.0.2.24 04.24.2006 no virus found [/b]
[b]McAfee 4746 04.21.2006 no virus found [/b]
[b]NOD32v2 1.1504 04.24.2006 no virus found [/b]
[b]Norman 5.90.16 04.24.2006 no virus found [/b]
[b]Panda 9.0.0.4 04.24.2006 no virus found [/b]
Sophos 4.05.0 04.24.2006 W32/Polipos-A
Symantec 8.0 04.24.2006 W32.Polip
[b]TheHacker 5.9.7.134 04.24.2006 no virus found [/b]
[b]UNA 1.83 04.21.2006 no virus found[/b]
VBA32 3.11.0 04.24.2006 Virus.Win32.Polipos.A
[/QUOTE]
[QUOTE] На вопрос, почему это произошло спустя месяц после первого обнаружения вируса, нам ответили, что «службой антивирусного мониторинга „Лаборатории Касперского“ в течение этого периода не было выявлено наличия сколько-нибудь заметной эпидемии.[/QUOTE]
А упреждение угрозы?
Или хотя бы пользователям своим хоть что-то на форуме ответить...
Да, как видно до сих пор, многие просто игнорируют проблему.
[QUOTE]
Complete scanning result of "asd.exe", received in VirusTotal at 04.24.2006, 17:08:56 (CET).
Antivirus Version Update Result
[b]AntiVir 6.34.0.24 04.20.2006 no virus found [/b]
[b]Avast 4.6.695.0 04.21.2006 no virus found [/b]
[b]AVG 386 04.22.2006 no virus found [/b]
Avira 6.34.1.58 04.24.2006 W32/Polipos
BitDefender 7.2 04.24.2006 Win32.Polipos.A
[b]CAT-QuickHeal 8.00 04.24.2006 (Suspicious) - DNAScan [/b]
[b]ClamAV devel-20060202 04.24.2006 no virus found [/b]
DrWeb 4.33 04.24.2006 Win32.Polipos
eTrust-InoculateIT 23.71.137 04.23.2006 Win32/Polipos!Worm
[b]eTrust-Vet 12.4.2175 04.24.2006 no virus found [/b]
[b]Ewido 3.5 04.24.2006 no virus found [/b]
Fortinet 2.71.0.0 04.24.2006 W32/Polipos.A!worm.p2p
[b]F-Prot 3.16c 04.21.2006 no virus found [/b]
Ikarus 0.2.59.0 04.24.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.24.2006 P2P-Worm.Win32.Polip.a
[b]McAfee 4746 04.21.2006 no virus found [/b]
[b]NOD32v2 1.1504 04.24.2006 no virus found [/b]
[b]Norman 5.90.16 04.24.2006 no virus found [/b]
[b]Panda 9.0.0.4 04.24.2006 no virus found [/b]
Sophos 4.05.0 04.24.2006 W32/Polipos-A
Symantec 8.0 04.24.2006 W32.Polip
[b]TheHacker 5.9.7.134 04.24.2006 no virus found [/b]
[b]UNA 1.83 04.21.2006 no virus found [/b]
VBA32 3.11.0 04.24.2006 Virus.Win32.Polipos.A
[/QUOTE]
Вот чего Каспы говорять (отмазка, но очень веселая)
Данилов какой то напрочь безумный чувак ...
[deleted]
такое детектирование каждый дурак сделать может... [deleted].. мде...
--
Senior Virus analyst, Kaspersky Lab.
Malware Research and Analysis Group
и
> Aleks.. Ну как там у вас с 99 / 100% детектом полипоса?! А лучше еще и с
> лечением Ж)
Делаем делаем.
Юзеры не жалуются, партнеры не жалуются. Лечение, кстати, не сильно сложная задача (по сравнению с детектированием).
> ПС - vba32 по качеству детекта уже обогнала дрвеб )) на 1 сампл. А нас (вас)
> пока %50 ловится Ж(
а VBA говорит что мы берем 80%
А что касается самплов которые веб не берет - у нас их примерно 1000 есть и чего ? )
пусть дальше радуются...
GG
[QUOTE=Alexey P.]Угу. Скорость подбора ключа XTEA была до минуты на некоторых файлах. А уже потом сделали то, что есть - до 10 сек. В принципе и первый вариант лечения уже можно считать сделанным :).
Ну так весна или где ? Это такая народная забава :).[/QUOTE]
А вы уверены что там XTEA? :))) А если открыть иду то сомнения возникают.
XTEA 64 bit data na 128 bit key
А у вируса - 32 bit data(DWORD) & 32 bit key(DWORD)
Вобщем не XTEA там....
[QUOTE=Sanja]Вот чего Каспы говорять (отмазка, но очень веселая)
Данилов какой то напрочь безумный чувак ...
[deleted]
такое детектирование каждый дурак сделать может... [deleted].. мде...
--
Senior Virus analyst, Kaspersky Lab.
Malware Research and Analysis Group
и
> Aleks.. Ну как там у вас с 99 / 100% детектом полипоса?! А лучше еще и с
> лечением Ж)
Делаем делаем.
Юзеры не жалуются, партнеры не жалуются. Лечение, кстати, не сильно сложная задача (по сравнению с детектированием).
> ПС - vba32 по качеству детекта уже обогнала дрвеб )) на 1 сампл. А нас (вас)
> пока %50 ловится Ж(
а VBA говорит что мы берем 80%
А что касается самплов которые веб не берет - у нас их примерно 1000 есть и чего ? )
пусть дальше радуются...
GG[/QUOTE]
А ещё смешнее сам факт таких слов :)))))
Болтаем-болтаем, а задетектить нормально не можем :grin: :grin:
Это уже не ко мне ж) Подождем увидим как говорится...
Кста илья, в посте выше, там где вы написали "Да, как видно до сих пор, многие просто игнорируют проблему." вы 2 раза проверяли один и тотже файл? или 2 разных?!
[QUOTE=Sanja]вы 2 раза проверяли один и тотже файл? или 2 разных?![/QUOTE]
Естественно, два разных.
Я не знаю, игнорируют ли они проблему или просто не могут создать запись для устойчивого детектирования. Загадка для меня. Серьёзно.
[QUOTE=serge]Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.[/QUOTE]
[url]http://security.compulenta.ru/264929/[/url] - оригинал новости
[url]http://www.anti-virus.by/press/viruses/1749.html[/url] - во что новость превратилась у вас.
Вот это действительно некрасиво. :( По общению на этом форуме у меня сложилось очень высокое мнение о человеческих и профессиональных качествах коллектива VBA. Не хотелось бы его пересматривать. :(
[QUOTE=userr][url]http://security.compulenta.ru/264929/[/url] - оригинал новости
[url]http://www.anti-virus.by/press/viruses/1749.html[/url] - во что новость превратилась у вас.
Вот это действительно некрасиво. :( По общению на этом форуме у меня сложилось очень высокое мнение о человеческих и профессиональных качествах коллектива VBA. Не хотелось бы его пересматривать. :([/QUOTE]
в этом нет и не было злого умысла. не секрет, что в компаниях существует разделение труда, и позиция технических специалистов может расходиться с позицией рекламщиков, коммерсантов и т.п. новости готовят люди, которые может быть далеки от существа этого вопроса, но у которых есть свои взгляды на тот же подбор новостей для дайджеста. чтобы доказать, что это действительно недоразумение, новость удалена с нашего сайта.
Кста Илья - можете прислать c.exe на alex(+at+)ssxp.net