Немного заразы

То, что на 29 июня не распознал CureIT и не заметил AVZ.

Сейчас некоторые вирусы распознаются Вебом, некоторые Касперским.

Файл сохранён как 080703_090743_suspic_486cdd2fded24.zip
Размер файла 154541
MD5 c4577fcf47545a1b3b4023e749e84b6d

Если интересно, могу ещё кинуть msdvdr.sys, который у меня опознаётся Симантеком и грохается тут же, так что сразу прислать не могу. Симантеком опознаётся как Backdoor.HackDefender На Вирустотале известен: [url]http://www.virustotal.com/analisis/1b7a2a45fa9aed464f8cae89b003f0f4[/url]

BN1C.tmp_ - Trojan-Dropper.Win32.Mutant.d,
BNE.tmp_ - Trojan-Dropper.Win32.Mutant.e

Детектирование файлов будет добавлено в следующее обновление.

igrj430.exe_, wf721ce.exe_

Вредоносный код в файлах не обнаружен.

WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ais,
Winrb31.sys - Trojan-Downloader.Win32.Mutant.aim

Есть живые экземпляры следующих гадостей:
[url]http://www.virustotal.com/analisis/7a0ca46daa6e07cb52e6c5812e063b1c[/url]
[url]http://www.virustotal.com/analisis/5c561848200a666584e0575adacf5ab4[/url]
[url]http://www.virustotal.com/analisis/8c976ba52b5c6ca34b33eeca775fe30a[/url]
[url]http://www.virustotal.com/analisis/319f2e5f13314e193b95b29244c4d18e[/url]

Если интересны, то могу залить.

Заливайте! Кому интересно - посмотрят :)
Интуитивно догадывюсь, что 2-й образец - ложное срабатывание.

Файл сохранён как 080714_081254_virus_487b50d6331d3.zip
Размер файла 333055
MD5 8c848bd957972b8ed9bfea70fe235857

[url]http://www.virustotal.com/analisis/863df483703b9585fbdb3c454ee775db[/url]
Отловлен вчера. Касперским и Вебом не определяются.
Файл сохранён как 080716_023915_win_487da5a3dc6e2.zip
Размер файла 51310
MD5 3c5d4dcd10f78e445d5cb9873d656dfb

Strange, судя по вердиктам по ссылке, данной в вашем предыдущем сообщении, АВ ругаются на обфускатор, но не на содержимое.
[SIZE="1"]Судя по реакции на образцы зловредов, местные гуру то ли не очень интересуются ими, то ли немногословно автоматически рассылают образцы вендорам. Вот если вы заразите комп зловредом и попросите помощи, тогда вами заинтересуются больше :)[/SIZE]
Возможно, эффективней будет просто отсылать образцы на [email][email protected][/email] в .zip архиве с паролем [B]infected[/B], как описано [URL="http://virusinfo.info/showthread.php?t=5465"]тут[/URL]?

Так и буду делать :)

[QUOTE=Lemmit;255942]
[SIZE="1"]Судя по реакции на образцы зловредов, местные гуру то ли не очень интересуются ими, то ли немногословно автоматически рассылают образцы вендорам. [/SIZE]
[/QUOTE]
Скорее дело в том, что лето - это пора отпусков))
Это долгими зимними вечерами можно "расковырять" что-то.

[quote=Strange]Отловлен вчера. Касперским и Вебом не определяются[/quote]Лаборатория DrWeb добавила win.exe как BackDoor.Bulknet.217

[QUOTE=AndreyKa;255985]Лаборатория DrWeb добавила win.exe как BackDoor.Bulknet.217[/QUOTE]

Да, мне они тоже отписались. :)

[QUOTE]местные гуру то ли не очень интересуются ими, то ли немногословно автоматически рассылают образцы вендорам.[/QUOTE]

Почему не интересуются? Я например, интересуюсь "живыми" ссылками на зловредов и зажаренные сайты, так что можете мне их присылать в личку или на email...

Я постоянно, натыкаясь на мат антивируса, лезу в код сайта и ищу заражение. Буду делиться впредь.

По теме [url]http://virusinfo.info/showthread.php?t=27154[/url]
прошёлся в итоге по ссылкам, в итоге с ссылки h_t_t_p://winhex.org/tds/in.cgi?5 загружается iframe с ссылкой на заражённый сайт h_t_t_p://zahodikomne.name/spl/ на нём яваскриптом зашифрована загрузка двух файлов (эти оба сайта проверяют user-agent)
файлы /spl/spl/pdf.pdf и /spl/exe.php
pdf по вирустоталу чист, exe.php на самом деле .exe-файл, вирустотал его знает: [url]http://www.virustotal.com/analisis/06240ea25970eb9dbe3a9fe5cb70fdb2[/url]

Файл сохранён как 080728_051557_check_488d9c5d99b14.zip
Размер файла 42103
MD5 a6f649fbd2eb8acabd3bc4252daa12c5

exe-шник выслал вебу и почтой вендорам.

В спаме откопал письмо с ссылкой, там, конечно же, подгружается сами знаете что.
DrWeb его знает, а Касперский - нет. Отослал им. Они как-нибудь уведомляют, что поймали и опознали?

[QUOTE=Strange;264783]В спаме откопал письмо с ссылкой, там, конечно же, подгружается сами знаете что.
DrWeb его знает, а Касперский - нет. Отослал им. Они как-нибудь уведомляют, что поймали и опознали?[/QUOTE]

Угу. Должно быть письмо

[QUOTE=ALEX(XX);264788]Угу. Должно быть письмо[/QUOTE]

Ну что ж, будем ждать (с) Жванецкий

Есть небольшой файл Касперский видит в нем : троянская программа Backdoor.Win32.Hupigon.dcvh.Проверял его на сайте того-же Касперского - все чисто.Проверял на [URL="http://www.virustotal.com/ru/"]www.virustotal.com/ru/[/URL] только 3 антивируса из 35 определили трояна.Кто нибудь слышал о таком зловреде или это перебор антивируса? На данном сайте анализируют подобные файлы или необходимо отправлять Касперскому ?:?

Оптим, упоминания зловреда с таким названием на Viruslist.com нет, но есть [URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=98957"]описание[/URL] двух разновидностей Backdoor.Win32.Hupigon.
Если имеются основания полагать, что этот файл может быть опасен, желательно [URL="http://virusinfo.info/showthread.php?t=5465"]направить его в антивирусные компании[/URL] и прислать образец, как написано [URL="http://virusinfo.info/showthread.php?t=23078"]тут[/URL].

[quote=Lemmit;265101]Оптим, упоминания зловреда с таким названием на Viruslist.com нет, но есть [URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=98957"]описание[/URL] двух разновидностей Backdoor.Win32.Hupigon.
Если имеются основания полагать, что этот файл может быть опасен, желательно [URL="http://virusinfo.info/showthread.php?t=5465"]направить его в антивирусные компании[/URL] и прислать образец, как написано [URL="http://virusinfo.info/showthread.php?t=23078"]тут[/URL].[/quote]

Благодарю за помощь , буду пробовать.

Проверил все в порядке -ложное срабатывание , базы обновил и все.:)

Отловил вот такую красотищу: [url]http://www.virustotal.com/analisis/af5a81c5abb014a0771ceeb7f604cbd7[/url]

Файл сохранён как 081001_060851_ntbios_48e35a4345b91.zip
Размер файла 61400
MD5 0a71081769906a63fea9cdcbd164aa8d

Каспер и ДрВеб его не знают в упор.

Последний файл Авира посчитала ложным срабатыванием. ЛК внёс в базу. МакАфи тоже. Ждём вестей от Веба.

[QUOTE=Strange;293552]Ждём вестей от Веба.[/QUOTE]
Говорят, ответ приходит быстрее, если пожаловаться [url=http://new-forum.drweb.com/mod/forum/thread/?id=4084&fid=2#]сюда[/url]. ;)

Пожаловался, а то на почту не реагируют.

[QUOTE=Strange;294366]Пожаловался, [/QUOTE]
Угу...

[QUOTE=Strange;294366]а то на почту не реагируют.[/QUOTE]
Отвечают, да только медленней, чем хотелось бы. :(