Printable View
Что с файлом в сообщении 276?
[url]http://virusinfo.info/showpost.php?p=437575&postcount=276[/url]
Это файл винды C:\WINDOWS\system32\wininet.dll
Так выгдядит оригинальный файл:
[url]http://www.virustotal.com/analisis/750701728ca521ac32163e571ba8d38d4954fb93cfc2964da0b9c4a975ebaa12-1248599838[/url]
Таким файл становится после вируса :
[url]http://www.virustotal.com/analisis/4da8a225fde147ab8d17ea30c1053753177c6a2c492a23cb19244e2948455b76-1248599875[/url]
[QUOTE='tempnet;437945']Что с файлом в сообщении 276? [/QUOTE]
wininet.dll файл действительной патченый, но вирусный аналитик не посчитал его опасным. Откуда этот файл? Из какой-нибудь сборки Windows?
[QUOTE=AndreyKa;438084]wininet.dll файл действительной патченый, но вирусный аналитик не посчитал его опасным. Откуда этот файл? Из какой-нибудь сборки Windows?[/QUOTE]
Нет, это не сборка, файл модифицировал вирус для своих целей и судя по всему именно из-за него оставались проблемы на зараженном компьютере, хотя на 100% не уверен. ....
У меня сейчас виртуалка не установлена чтобы протестировать. Потом когда поставлю - отпишуь.
Если у Вас есть установленная вируталка XP SP3 - попробуйте заменить оригинальный файл винды и запустить IE
[B]Результат загрузки[/B]
Файл сохранён как 090728_112438_virus_4a6ea7b66dbab.zip
Размер файла 333493
MD5 3e257594b7dc6b3b1890cf2565b6ef16
Файл сохранён как 090729_124810_virus_4a700ccae4922.zip
Размер файла 324374
MD5 3d6d85247cf487d6a9fd8704ea651eb3
Это в уже установленном Outpost Firewall Free. Вроде бы скачан с оф.сайта, но AVZ dll'ка чем-то не понравилась :)
(добавлено)
Virustotal молчит:
[url]http://www.virustotal.com/ru/analisis/0e794e8b087fad928daf8ea8ed703769a6aab87cb68f448f1ace1c4e30e52ff8-1242457389[/url]
Возможно, мне надо было запостить это в загрузке "чистых" файлов?
[B]Torvic99[/B],
c:\test\virus\foto19.scr Trojan-Ransom.Win32.SMSer.gw
c:\test\virus\icq.jar Trojan-SMS.J2ME.Konov.i
[B]Wiesel[/B], файл чистый.
Подозрение AVZ выдает на действия dll-ки (но они такими и должны быть)
Файл сохранён как 090731_011834_virus_4a720e2a39832.zip
Размер файла 4728222
MD5 76f6b3c6377cc9bda5c724cf9157839e
[QUOTE=Kuzz;439595][B]Torvic99[/B],
c:\test\virus\foto19.scr Trojan-Ransom.Win32.SMSer.gw
c:\test\virus\icq.jar Trojan-SMS.J2ME.Konov.i
[/QUOTE]
А по 3 файлу что то слышно?
[B]Nikkollo[/B],
C:\RECYCLER\inst\winlogon.exe - вердикт - новый зловред
C:\WINDOWS\system\system\AledensoftSoundLib.dll - not-a-virus:RemoteAdmin.Win32.ROM.c
C:\WINDOWS\system\system\services.exe - Оценка по оперативным базам чистых ЛК: Безопасный
c:\windows\system32\estrade_server.exe - вердикт - чистый
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[B]Torvic99[/B],
c:\test\virus\icqspam.exe - Trojan-Downloader.Win32.Agent.cknz
Файл сохранён как 090803_051635_wmpnetw_4a763a73583de.zip
Размер файла 118144
MD5 4c9066a4eb8cfe3b50693350754b8111
[B]Erekle[/B],
BitDefender=Зловред Gen:Trojan.Heur.qm0@fH0NqSii
Вирлаб ЛК=вердикт - чистый
Что-то новенькое.
Сидело в WINDOWS\system32\servises.exe
Файл сохранён как 090804_071618_avz00001_4a77a80232ddc.zip
Размер файла 17895
MD5 a60e72eab77209f3da3ec0b9330eaed3
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
добрый день..
спамил вирлабы (разные) содержимым этого архива..
получал только ответы типа "файл испорчен", но тем не менее
вот пример на [URL="http://www.virustotal.com/ru/analisis/74b71d0fb3c6cdf5f16ab4a56d6c59adfe74799d12ca70308496c6c194fc5c89-1248732709"]вирустотале[/URL]..
файлов таких на больной машине было порядком 200.. лежали в %systemroot%\system32, машину кто-то до меня уже лечил и АКТИВНОГО заражения обнаружено небыло.. как заметил в системе неладное: curit сканил каждый из них ОЧЕНЬ долго и не находил в них вредоносного кода.. проверка застянулась.. открыл system32 и ужаснулсо.. часть скопировал чтобы проверить позже..
что интересно.. на разные файлы из этого архива, вирустотал дает разные результаты..
что же это?? считается "вирусом" или нет??
[B]Dionis[/B], Trojan.Win32.Tdss.aluj
Пожалуйста проверьте файл.
Результат загрузки
Файл сохранён как 090804_154850_virus_4a782022613e7.zip
Размер файла 2811656
MD5 e60df9662ede2c34fc90cd7266ae057b
Файл закачан, спасибо!
[B]DoggoD[/B],
update10034906.exe - вердикт - поврежден (BitDefender=Зловред Trojan.Generic.2197938 )
update10124687.exe - вердикт - поврежден (VBA32=Зловред Trojan.Win32.Waledac; BitDefender=Зловред Trojan.Generic.2043963)
update10132828.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10192015.exe - вердикт - чистый
update10433515.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10494593.exe - Email-Worm.Win32.Joleee.cyl
update10647250.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10758531.exe - Trojan-GameThief.Win32.OnLineGames.bmok
update10758750.exe - Email-Worm.Win32.Joleee.cyk
update10803921.exe - Email-Worm.Win32.Joleee.cyj
update9579968.exe - вердикт - чистый
update9723843.exe - вердикт - поврежден (VBA32=Подозрение Malware-Cryptor.Win32.General.3; BitDefender=Зловред Trojan.Generic.2106895)
update9815859.exe - Email-Worm.Win32.Joleee.cyi
update9815875.exe - Email-Worm.Win32.Joleee.cyh
update9882843.exe - вердикт - чистый
111.zip - файлы в архиве чистые.
Не знаю, кто посылал.
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
[QUOTE]<some[at]virlab.com>
Файл серьезно поврежден, запущен быть не может, а потому угрозы не представляет.[/QUOTE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL]
[B]DoggoD[/B], ваш файлик прекрасно запускается, скачивает из Интернета "дружков", таких как Trojan-Spy.Win32.Zbot.gen.
[QUOTE=AndreyKa;443168][B]DoggoD[/B], ваш файлик прекрасно запускается, скачивает из Интернета "дружков", таких как Trojan-Spy.Win32.Zbot.gen.[/QUOTE]
тада мне вот это сафсем не понятно.. выдержки..
[QUOTE][drweb.com #960877]
Hello,
User sent us a suspicious file.
User ip: xx.xxx.xx.xx
User agent: Opera/9.64 (X11; Linux i686; U; ru) Presto/2.1.1
User comment:
User language: ru
User email: [email][email protected][/email]
Original file name: autorun.exe
File size: 24068
MD5: 367bf350436402c353188d8c47bb3bca
--
WBR, send-suspic-file.pl v2 [/QUOTE]
[QUOTE]От кого:Vladimir Martyanov via RT <[email protected]>
Кому:[email protected]
Дата:Tue, 04 Aug 2009 12:12:38 +0400
Тема:[drweb.com #940944] SUBMITTED VIRUS
Файл серьезно поврежден, запущен быть не может, а потому угрозы не представляет.[/QUOTE]
подобный ответ был последован и на
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
архив с таким же содержанием в [drweb.com #956228]
т.е. ниодин из всех этих файлов не детектируется DrWeb по сей день..
моя возмущается :furious3:
[B]DoggoD[/B], Странно, Владимир Мартьянов вроде неплохой специалист..
Попробуйте написать ему письмо со ссылкой [url]http://virusinfo.info/showthread.php?p=443105#post443105[/url]
Т.е. пост, с которого это обсуждение начинается
А как эти семплы отправлялись в вирлаб? может где по дороге их побило?
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.
[B]DoggoD[/B], Антивирус Касперского этот файл будет детектировать как Worm.Win32.Bezopi.p
Vladimir Martyanov не прав, можете так и написать в ответе.
[B]Torvic99[/B], контрольные суммы совпадают..
[B]Geser[/B]
[QUOTE]Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.[/QUOTE]
может быть, но похоже на "живой" текст..
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
ответ последовал
[QUOTE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/QUOTE]
подскажите, стоит ли "бить тревогу" насчет [URL="http://virusinfo.info/showpost.php?p=442675&postcount=296"]этого[/URL] ?
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Ай-ай-ай! Как нехорошо людей в заблуждение вводить! Вы ведь приводите ответ на тикет №...944, о том, что файл поврежден и угрозы не представляет, верно?
В тикете-то файлик имеет размер 20734, а не 22639, как вы указали. Ну и MD5 совершенно другая. Так что давайте запустите именно тот файл, который был послан, а еще лучше видео снимите, как сначала проверяется MD5 файла, а потом он тут же запускается. А я пока за попкорном схожу.
[QUOTE='v.martyanov;443731']В тикете-то файлик имеет размер 20734, а не 22639, как вы указали. Ну и MD5 совершенно другая. Так что давайте запустите именно тот файл, который был послан, а еще лучше видео снимите, как сначала проверяется MD5 файла, а потом он тут же запускается. [/QUOTE]
Думаю, zip-файл не получится запустить. ;)
[QUOTE=AndreyKa;443757]Думаю, zip-файл не получится запустить. ;)[/QUOTE]
В любом случае, я слабо верю в исполняемый файл, который сжимается ZIPом с увеличением размера. Так что файлик там другой.
А что вы запускали - вообще боюсь спрашивать :-) Без видео не поверю, короче говоря.
[B]DoggoD[/B],
[B]v.martyanov[/B], На форуме Доктора есть топик про разбор полетов с тикетами, данная тема называется "Ответы на вопрос: Вирус или нет ?".
[QUOTE=Alex_Goodwin;443769][B]DoggoD[/B],
[B]v.martyanov[/B], На форуме Доктора есть топик про разбор полетов с тикетами, данная тема называется "Ответы на вопрос: Вирус или нет ?".[/QUOTE]
А, то есть фразы типа "а у меня все запускается" и т.п. - это ответы на вопросы, а у меня нет? Все-все, ухожу в свою берлогу, не буду более беспокоить столь высококлассных специалистов, которые EXE без импортов запускают.
По-моему конфликт исчерпан. Вы говорили о разных файлах. В первом сообщении DoggoD видны разные тикеты.
[QUOTE=Alex_Goodwin;443776]По-моему конфликт исчерпан. Вы говорили о разных файлах. В первом сообщении DoggoD видны разные тикеты.[/QUOTE]
И все они битые, я больше 15 файлов проверил - ни SP1 ни SP3 их не хотят запускать.
А то что они детектятся - так добавление могло быть по "живым" файлам, а у нас политика простая - мусор не добавлять. Будут целые файлы - будет и детект.
А этот при повторном осмотре живым оказался?
[CODE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/CODE]
[QUOTE=Alex_Goodwin;443790]А этот при повторном осмотре живым оказался?
[CODE]Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/CODE][/QUOTE]
Я без номера тикета ничего не скажу, увы.
[QUOTE=Alex_Goodwin;443790]А этот при повторном осмотре живым оказался?[/QUOTE]
Alex, вы и сами можете проверить содержимое присланного. ;)
090805_104451_virus_4a792a634d3e1.zip
[InfectedFile]
Src=f:\autorun.exe
Infected=avz00001.dta
Virus=Добавлен пользователем (карантин по списку)
QDate=03.08.2009 23:14:40
Size=0
MD5=367BF350436402C353188D8C47BB3BCA
FileDate=30.07.2009 0:36:10
размер его 24*068
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
сравниваем:[QUOTE]размер 20734, тикет №...944[/QUOTE]
ps. на цитаты размера и мд5 зип файла.... наверное не надо обращать внимание ;)
[QUOTE=DoggoD;443105][CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
это нормально?? или стоит переходить на другой антивирус??
[URL="http://www.virustotal.com/ru/analisis/98b7e514d1aa93305e6e045d747e403d4bcf8dc8ed1be5e63ffa64ddab1be78f-1249455026"]тыц[/URL][/QUOTE]
Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах :)
[QUOTE=Зайцев Олег;443808]Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах :)[/QUOTE]
Похоже на то. Не, всякие хитрые тулзы по распаковке может и смогут с файлом работать... Но ответ о том, что файл поврежден и угрозы не представляет, корректен, если на системе его не запустить :-)
[QUOTE=v.martyanov;443815]Похоже на то. Не, всякие хитрые тулзы по распаковке может и смогут с файлом работать... Но ответ о том, что файл поврежден и угрозы не представляет, корректен, если на системе его не запустить :-)[/QUOTE]
Если речь о данном файле, то особенность "кибера" в том, что у него в составе есть аппаратный антивирус и он может запустить семпл "на реальной машине" для его хитрого изучения. Что "он" и сделал, и отметил, что на реальном ПК реального юзера этот семпл запустился бы с гарантией. Я для надежности дал команду перепроверить - результат повторяем, зверь вполне рабочий
Файл сохранён как 090806_170248_virus_4a7ad4785b5c1.zip
Размер файла 368906
MD5 0b9c73c4158f8468c8e27a69d28b1def
[B]v.martyanov[/B], прошу меня простить.. все перепроверил -- да, то на разные тикеты ответы..
уточняю..
[CODE]Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip
Размер файла 315399
MD5 c4c2f5ecc90081b92d5a1fd193b49253[/CODE]
это тикет #956228
файл из этого архива
[CODE]update10034906.exe[/CODE]
это тикет #940944
[CODE]Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip
Размер файла 22639
MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7[/CODE]
соответствует файлу autorun.exe тикет #960877
на который был последован единственный ответ
[QUOTE]Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008[/QUOTE]
---
прошу у всех прощения за внесенную смуту..