Исследование антивирусов 2

[quote=Sanja]> а судя по всему детект одноименного хакерского криптера-упаковщика

Подтверждаю - такая запись есть в базах[/quote]
то же самое про Beagle.pac - это видимо тоже детектирование упаковщика, при условии что начинка неизвестна

[QUOTE=Grey]This is a report processed by VirusTotal on 11/07/2005 at 10:30:09 (CET) after scanning the file "SLaunch.dll" file.

Antivirus Version Update Result
...
ClamAV devel-20050917 11.06.2005 Trojan.Gobot-7
McAfee 4621 11.05.2005 MultiDropper-JD
...
-------
Сама Dll-ка - это FAR-оский плагин.[/QUOTE]
То есть это ложное срабатывание?

[QUOTE=MOCT]то же самое про Beagle.pac - это видимо тоже детектирование упаковщика, при условии что начинка неизвестна[/QUOTE]
Если мне не изменяет склероз, так детектились битые бигли (видимо, ошибка в червяке, вот и генерировал такое). Потому начинки там нету.
Мусор, но его было много - добавили, чтоб юзера это больше не присылали.

[QUOTE=Alexey P.]Если мне не изменяет склероз, так детектились битые бигли (видимо, ошибка в червяке, вот и генерировал такое). Потому начинки там нету.
Мусор, но его было много - добавили, чтоб юзера это больше не присылали.[/QUOTE]
не знаю, как задумывалось изначально, но вроде бы под этим именем детектируются и те файлы, которые выкладываются авторами для автообновления. неужели и там битые файлы?

[QUOTE=Alexey P.]
Угу, именно так. Не в первый раз такое вижу - вот это, к примеру:
DrWeb Trojan.Lopata [url]http://65.75.151.192/cntr/bin/latest.exe[/url]
(ссылка уже не действует, перенесли куда-то)
каспером детектилось как Win32.Crypt.l
причем, судя по l - очередная модификация.

Эвристиком тут, конечно, и не пахло. Как и лечением - в смысле чистки от упакованного внутри трояна/червя. Только удаление файла.[/QUOTE]

Нашлась пропажа :). Переехали по новому адресу.
hxxp://69.50.184.90/cntr/bin/latest.exe

Проверил - все верно, каспер о крипторе не пишет ни слова. Детектит поверх сам упаковщик.
Дрвеб распаковывает:
---------------------------------------------------------
latest.exe packed by YODA
В файле >latest.exe обнаружен вирус Trojan.Galapoper
---------------------------------------------------------

Еще одна шутка юмора от каспера (с битдефендером).

This is a report processed by VirusTotal on 11/13/2005 at 18:27:03
(CET) after scanning the file "hosts.txt" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 11.11.2005 no virus found
Avast 4.6.695.0 11.11.2005 no virus found
AVG 718 11.11.2005 no virus found
Avira 6.32.0.6 11.11.2005 no virus found
BitDefender 7.2 11.13.2005 Trojan.Qhost.EL
CAT-QuickHeal 8.00 11.12.2005 no virus found
ClamAV devel-20051108 11.11.2005 no virus found
DrWeb 4.33 1 1.12.2005 no virus found
eTrust-Iris 7.1.194.0 11.13.2005 no virus found
eTrust-Vet 11.9.1.0 11.11.2005 no virus found
Fortinet 2.48.0.0 11.10.2005 no virus found
F-Prot 3.16c 11.10.2005 no virus found
Ikarus 0.2.59.0 11.11.2005 no virus found
Kaspersky 4.0.2.24 11.13.2005 Trojan.Win32.Qhost.el
McAfee 4626 11.11.2005 no virus found
NOD32v2 1.1284 11.11.2005 no virus found
Norman 5.70.10 11.11.2005 no virus found
Panda 8.02.00 11.13.2005 no virus found
Sophos 3.99.0 11.13.2005 no virus found
Symantec 8.0 11.12.2005 no virus found
TheHacker 5.9.1.033 11.11.2005 no virus found
VBA32 3.10.4 11.12.2005 no virus found

Фишка в том, что это обычный файл hosts, блокирующий как раз вирусные сайты :). Что-то вроде борьбы с конкурентами.

[url]http://iframetraff.biz/progs/hosts.txt[/url]

[QUOTE]Фишка в том, что это обычный файл hosts, блокирующий как раз вирусные сайты . Что-то вроде борьбы с конкурентами.
[/QUOTE]Это известно. КАВ вроде даже лечит такое. Т.е. видимо удаляет лишние записи

[QUOTE=Alexey P.]Нашлась пропажа :). Переехали по новому адресу.
hxxp://69.50.184.90/cntr/bin/latest.exe

Проверил - все верно, каспер о крипторе не пишет ни слова. Детектит поверх сам упаковщик.
Дрвеб распаковывает:
---------------------------------------------------------
latest.exe packed by YODA
В файле >latest.exe обнаружен вирус Trojan.Galapoper
---------------------------------------------------------[/QUOTE]

Кстати, кто сомневался, что лечения не будет (только удаление файла) - троян внутри уже не раз сменился (был лопата, стал галапоппер, да и этих уже был не один), а детект каспера остался прежним - криптор используется тот же, от 21.08.

[QUOTE=Alexey P.]Кстати, кто сомневался, что лечения не будет (только удаление файла) - троян внутри уже не раз сменился (был лопата, стал галапоппер, да и этих уже был не один), а детект каспера остался прежним - криптор используется тот же, от 21.08.[/QUOTE]
А чего лечить в трояне? :)
Конечно способ корявый, но в данном случае есть приемущество. Даже если троян неизвестен всёравно ругаться будет :)

[QUOTE=Geser]Это известно. КАВ вроде даже лечит такое. Т.е. видимо удаляет лишние записи[/QUOTE]
Вот как раз этот файл лечить бы и не стоило :).
Сайты там неслабые заблокированы, один toolbarpartner чего стоит.
То, что с этим hosts приходит - детская забава по сравнению.

[QUOTE=Geser]А чего лечить в трояне? :)
Конечно способ корявый, но в данном случае есть приемущество. Даже если троян неизвестен всёравно ругаться будет :)[/QUOTE]
В трояне лечить нечего. А то, что им дропнуто/прописано, очень не вредно бы.
Лечить - в смысле систему от трояна.

Да и немало уж добра этой Yoda паковано, этот голопоппер далеко не один. Этот криптер мне уже давно попадается.

[QUOTE=Alexey P.]В трояне лечить нечего. А то, что им дропнуто/прописано, очень не вредно бы.
Лечить - в смысле систему от трояна.

Да и немало уж добра этой Yoda паковано, этот голопоппер далеко не один. Этот криптер мне уже давно попадается.[/QUOTE]
yoda crypt 1.3 ? о да!
я бы еще запретил FSG, MEW и Upack (Dwing). :P

[QUOTE=MOCT]yoda crypt 1.3 ? о да!
я бы еще запретил FSG, MEW и Upack (Dwing). :P[/QUOTE]

:).

Точности для - это, видимо, Yoda-based. Не чистый - тот все знают.

ЗЫ: А VBA вообще чихал на упаковщики, он их эмулятором распаковывает. Медленный, правда - когда попадается неизвестная упаковка, жует файл очень долго, но результат того стоит. Эту патченную йоду он сразу распаковывал, от рождения :).

[QUOTE=Alexey P.]
Точности для - это, видимо, Yoda-based. Не чистый - тот все знают.
[/QUOTE]
ну да, исходники-то доступны.

[QUOTE=Alexey P.]
ЗЫ: А VBA вообще чихал на упаковщики, он их эмулятором распаковывает. Медленный, правда - когда попадается неизвестная упаковка, жует файл очень долго, но результат того стоит. Эту патченную йоду он сразу распаковывал, от рождения :).[/QUOTE]
еще бы он как распаковщик работал - цены бы ему не было...

[QUOTE=MOCT]еще бы он как распаковщик работал - цены бы ему не было...[/QUOTE]
Угу, вот это точно.

To Dr.Xmas - мож, сделаете такой ключик ? Действительно была бы сильнейшая вещь.
И фиг с ней, таблицей импорта, кому она нужна. Нам бы ссылки изнутри выдрать, и ладушки.

/unpack_archives совсем не то, это все и архиваторы раскрывают.

Last file scanned at least one scanner reported something about: jhgf.zip, detected by:


Scanner Malware name
AntiVir Dropper/Sober.W
ArcaVir X
Avast X
AVG Antivirus I-Worm/Sober.CB
BitDefender Win32.Sober.W@mm
ClamAV Worm.Sober.T
Dr.Web X
F-Prot Antivirus W32/VB.NB
Fortinet W32/Sober.X-dr
Kaspersky Anti-Virus Email-Worm.Win32.Sober.w
NOD32 X
Norman Virus Control X
UNA X
VBA32 X

[QUOTE=WaterFish]Last file scanned at least one scanner reported something about: jhgf.zip, detected by:
[/QUOTE]

Лучше тоже самое на virustotal сделать...

Last file scanned at least one scanner reported something about: Word-Text_packedList.xex, detected by:


Scanner Malware name
AntiVir Worm/Sober.V.1
ArcaVir Worm.Sober.Z
Avast Win32:Sober-X2
AVG I-Worm/Sober.CC
BitDefender Win32.Sober.U@mm
ClamAV Worm.Sober.T-3
Dr.Web Win32.HLLM.Sober
F-Prot W32/Sober.T@mm
Fortinet W32/Sober.V-dr
Kaspersky Email-Worm.Win32.Sober.u
NOD32 X
Norman Vir X
UNA X
VBA32 X

virustotal -не могу;)

Тогда, к сожалению, в зачет не идет :(
Там очень часто не актуальные базы....

[QUOTE=kvit]Промежуточные результаты:
[/QUOTE]
Отличный график. Еще посортировать его по количеству детектов