Вирус Win32.Polipos

Всем здравствуйте!
Сегодня получил очередную рассылку от Dr.Web. В ней было сказано о начале распространения вируса Win32.Polipos. В частности писалось, что это очень опасный полиморфный вирус и определят его пока только Dr.Web. Так же было написано, что только Доктор может успешно лечить этот вирус благодаря высокому технологическому уровню антивирусного ядра. В связи с чем просьба ко всем у кого есть образец данной заразы слить для закачки, а также высказаться по данной теме (реакция других антивирусов, возможность лечения и др.). Есть предположение, что Dr.Web в очередной раз хвалится.:P
Заранее всем спасибо.

Почитайте эту: [url]http://forum.drweb.com/viewtopic.php?t=2810[/url] тему.

Сам пресс релиз:[QUOTE][B]Антивирус Dr.Web защищает пиринговые сети от опасного вируса Win32.Polipos [/B]
[I]19 апреля 2006 года [/I]

Служба вирусного мониторинга компании «Доктор Веб» информирует всех пользователей пиринговых сетей об опасном полиморфном вирусе Win32.Polipos, который уже в течение целого месяца распространяется по различным пиринговым сетям.

Началось распространение Win32.Polipos в марте этого года. Тогда же (20 марта) он был добавлен в вирусную базу антивируса Dr.Web и с этого момента для наших пользователей он не представлял никакой угрозы. Помимо сложного полиморфного механизма, реализованного в вирусе, в нем содержалась и опасная функция "нейтрализации" целого ряда антивирусных программ и прочих средств безопасности. С легкостью распространяясь по P2P-сетям, вирус проникает на подключенные машины, и, будучи запущенным, скрытно делает их участниками общедоступной P2P-сети.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом вирус создает новую секцию и размещает в ней свой основной зашифрованный код, сдвигая секцию ресурсов - при ее наличии - "вниз". При внедрении в файл он не изменяет оригинальную точку входа, а подменяет адреса вызовов API, выбранных случайным образом, стартовым адресом вируса.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют процессы со следующими именами:

[I]savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp[/I]

Таким образом, в памяти оказываются несколько копий вируса, каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся общедоступными для участников этой сети.

Резидентные копии Win32.Polipos перехватывают следующие API функции: ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW. При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, файлов инсталляции и т.п.) вирус пытается создать оригинальную копию файла во временном каталоге с именем ptf*.tmp, которую и запускает. Это делается для обхода контроля целостности, используемого некоторыми инсталляторами.

Безусловно, распространение подобного вируса вызвало беспокойство среди пользователей соответствующих P2P сетей. Однако обращает на себя внимание довольно любопытное обстоятельство. Несмотря на то, что присутствие в P2P-сетях Win32.Polipos не является ни для кого новостью уже около месяца, антивирус Dr.Web до последних дней был единственным, кто его детектировал. В самом начале эпидемии пользователи Dr.Web сетовали на срабатывание антивируса на якобы чистые файлы, но вирусные аналитики компании «Доктор Веб» подтвердили факт существования именно нового вируса. Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.

В настоящее время Служба вирусного мониторинга компании «Доктор Веб» разработала и процедуру лечения зараженных вирусом Win32.Polipos файлов. Сделано это, в частности, по просьбам тех пользователей, чьи антивирусные программы до сих пор не детектируют этот вирус и позволяют ему беспрепятственно заражать файлы на, казалось бы, защищенных компьютерах. Механизм лечения довольно сложен, поскольку требует обработки сложного криптоалгоритма XTEA, поэтому порой на дешифровку кода вируса может уходить довольно значительное (по компьютерным меркам) время. Для лечения зараженных файлов не требуется скачивания никаких дополнительных утилит - все осуществляется средствами самого антивируса Dr.Web при условии своевременного обновления вирусных баз.[/QUOTE]

[B]Описание[/B] [url]http://info.drweb.com/virus_description/102959[/url][QUOTE][B]Win32.Polipos[/B]
()

Сложный полиморфный вирус.

При запуске заражает скринсейвер (получает из реестра), заражает logonui.exe и logon.scr в системной директории, внедряет свой код во все процессы.

Удаляет файлы:


drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc
chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms
smartchk.cps, aguard.dat, avgqt.dat, lguard.vps

Не заражает процессы в памяти:


savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll
smss, csrss, spoolsv, ctfmon, temp

Не заражает файлы, имена которых содержат:


tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav
adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp
secure upx forti scan zone labs alarm symantec retina eeye virus
firewall spider backdoor drweb viri debug panda shield kaspersky
doctor trend micro sonique cillin barracuda sygate rescue pebundle ida
spf assemble pklite aspack disasm gladiator ort expl process eliashim
tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg
armor numega mirc softice norman neolite tiny ositis proxy webroot
hack spy iss pkware blackice lavasoft aware pecompact clean hunter
common kerio route trojan spyware heal alwil qualys tenable avast a2
etrust spy steganos security principal agnitum outpost avp personal
softwin defender intermute guard inoculate sophos frisk alwil protect
eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate
slysoft hijack roxio imapi newtech infosystems adaptec swift sound
copystar astonsoft gear software sateira dfrgntfs

Зараженный компьютер становится участником децентрализованной peer2peer сети Gnutella.

Содержит строку:


Win32.Polipos v1.2 by Joseph [/QUOTE]

Спасибо за информацию! Правда она уже известна. Интересно посмотреть образцы заразы, а также реакцию других антивирей на нее.
Может кто писал в ЛК или еще куда? Что ответили?

[QUOTE=Синауридзе Александр]Может кто писал в ЛК или еще куда? Что ответили?[/QUOTE]Вы тему то на форуме ( [url]http://forum.drweb.com/viewtopic.php?t=2810[/url] ) читали???

[QUOTE=oig, 19.04.2006 19:24]На даный момент ситуация:

[url]http://www.virustotal.com/[/url]
CAT-QuickHeal 8.00 04.19.2006 (Suspicious) - DNAScan
DrWeb 4.33 04.19.2006 Win32.Polipos
Fortinet 2.71.0.0 04.19.2006 W32/Polipos.V12
------------------------------------------------------------------------------------
[url]http://virusscan.jotti.org/[/url]
Dr.Web Found Win32.Polipos
------------------------------------------------------------------------------------
[url]http://www.fortinet.com/FortiGuardCenter/virus_scanner.html[/url]
The file mshearts.rar appears to be clean
[/QUOTE]

[QUOTE]на каспере, скрепя сердце, признали в инфицированных файлах наличие Worm Win32.Plipos - цитирую - и то со второго раза, правда, в список всяческих зараз отчего то не занесли. Остальные противостолбнячные монстры молчат, как рыба об лёд......[/QUOTE]

К сожалению до сих пор никто [i](кроме Dr.Web)[/i] уверенно не детектирует.

Fortinet на [url]www.virustotal.com[/url] детектирует, но на официальном сайте Fortinet онлайн сканер говорит
>The file calc.exe appears to be clean

Лечение было создано для тех, кто всё же успел подхватить - для них есть cureit!.

Кто что думает по этому поводу? Интересная ситуация... Какие данные в настоящее время? Кто из АВ-компаний ещё детектирует эту заразу?

[QUOTE=ALEX(XX)]Кто что думает по этому поводу? Интересная ситуация... [/QUOTE]

Т.е. если я правильно понял, получается, что другие антивирусы не могут не то что лечить от этой заразы, но даже детектировать ее ?!
Вот это да. В пресс-релизе написано
[QUOTE]Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web.
[/QUOTE]
Это наводит на размышления...

[quote]Это наводит на размышления...[/quote]
На какие же? :-)

[QUOTE=kps]Это наводит на размышления...[/QUOTE][QUOTE=Ilya_K]На какие же? :-)[/QUOTE] Во всех темах одно и тоже... :))))))
вспоминается: Сегодня читал SMS, много думал...

[QUOTE=kps]Это наводит на размышления...[/QUOTE]
Действительно, если учесть, что вирус сносит основную вирусную базу ДрВеба - drwebase.vdb.

Вот что на форуме НОД ответили

That's after a long time after ZMist one of the "best" viruses i've seen.
It's indeed highly complex - the encryption algo is medium difficult and the virus uses a lot of tricks. I've here some samples with nice antiemulation tricks, such as code performance speed tests (meaning the virus will know when it runs in a virtual environment) and registry dummy - writing tricks, such as trying to write a random value to the registry and trying to read it later and compare it. If not equ or if it doesn't exist the virus exits. The virus is able to act as space filler, same technic was used by the tschernobyl virus already (CIH). The virus is able to use EPO functionallity, it looks for common API calls after the entry point and hooks/redirects them. Means the virus does not execute its own code/decrypter at a fixed position after the entry point.

Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time.

описание поменялось
[quote]
Win32.Polipos представляет собой сложный полиморфный вирус.

Данный вирус заражает исполняемые файлы Windows, записывая код полиморфного расшифровщика в неиспользуемые пространства кодовых секций, как бы "покрывая тело файла-жертвы собственными пятнами". При этом основное зашифрованное тело вируса записывается в новой секции.

При запуске вирус внедряет свой код во все запущенные процессы. Исключение составляют следующие имена процессов:

savedump, dumprep, dwwin, drwtsn32, drwatson, kernel32.dll, smss, csrss, spoolsv, ctfmon, temp.
Таким образом, в памяти оказываются несколько копий вируса каждая из которых отвечает за определенную деятельность, а именно: поиск подходящих файлов для заражения, непосредственное заражение файлов, функции работы с P2P на основе сетей Gnutella и пр. Зараженные файлы становятся обще доступными для участников этой сети.

Win32.Polipos перехватывает следующие API функции:

ExitProcess, CreateProcess, CreateFileA, LoadLibraryExA, SearchPathA, CreateProcessW, CreateFileW, LoadLibraryExW, SearchPathW.
При вызове вышеперечисленных функций происходит заражение новых файлов. При передаче управления файлу-жертве с оверлеями (sfx-архивы, дистрибутивы и т.д.) вирус создает чистую копию во временном каталоге с именем ptf*.tmp, которую и запускает.

Вирус удаляет следующие файлы антивирусных программ:

drwebase.vdb, avg.avi, vs.vsn, anti-vir.dat, avp.crc, chklist.ms,ivb.ntz, ivp.ntz, chklist.cps, smartchk.ms, smartchk.cps, aguard.dat, avgqt.dat, lguard.vps.
Win32.Polipos не заражает файлы, имена которых содержат следующие строки:

tb dbg f- nav pav mon rav nvc fpr dss ibm inoc scn pack vsaf vswp fsav adinf sqstart mc watch kasp nod setup temp norton mcafee anti tmp secure upx forti scan zone labs alarm symantec retina eeye virus firewall spider backdoor drweb viri debug panda shield kaspersky doctor trend micro sonique cillin barracuda sygate rescue pebundle ida spf assemble pklite aspack disasm gladiator ort expl process eliashim tds3 starforce safe'n'sec avx root burn aladdin esafe olly grisoft avg armor numega mirc softice norman neolite tiny ositis proxy webroot hack spy iss pkware blackice lavasoft aware pecompact clean hunter common kerio route trojan spyware heal alwil qualys tenable avast a2 etrust spy steganos security principal agnitum outpost avp personal softwin defender intermute guard inoculate sophos frisk alwil protect eset nod32 f-prot avwin ahead nero blindwrite clonecd elaborate slysoft hijack roxio imapi newtech infosystems adaptec swift sound copystar astonsoft gear software sateira dfrgntfs
Вирус содержит строку Win32.Polipos v1.2 by Joseph .
[/quote]

[QUOTE=ALEX(XX)]Вот что на форуме НОД ответили[/QUOTE]
а перевести... :))

[QUOTE=Shu_b]а перевести... :))[/QUOTE]
Перевод корявый получается... Счас посмеёмся. :) Кто знает толком английский, помогите. Но смысл таков: "Это - после долгого времени после ZMist один из "лучших" вирусов я видел.
Это действительно очень сложно - шифрование algo среднее трудный, и вирус использует много уловок. Я имею здесь некоторые образцы с хорошими уловками антиэмуляции, типа кодовых тестов скорости работы (будет знать значение вируса, когда это бежит в действительной окружающей среде), и кукла регистрации - пишущие уловки, типа попытки написать случайную ценность регистрации и попытке прочитать это позже и сравнить это. Если не equ или если это не существует вирусные выходы. Вирус в состоянии действовать как космический наполнитель, та же самая техника использовалась tschernobyl вирусом уже (CIH). Вирус в состоянии использовать EPO functionallity, это ищет общие запросы программного интерфейса приложения после того, как вход указывает, и вербует/переадресовывает их. Означает, что вирус не выполняет его собственный code/decrypter в неподвижном положении после пункта входа.

Очистка становится хитрой, поскольку доктор Веб уже заявил правильный, однако, уборщик будет доступен скоро через мой weblog так или иначе в течение этой недели, когда я имею некоторое время."

В целом, из английского текста я смысл уловил, но вот самостоятельно дать перевод не могу :(
Судя по постам на оф. форуме, сегодня образец этого зверя попал в лаборатории ESET. Посмотрим результат. Жаль образца нет :(

Здравствуйте!
Форум Dr.Web совсем скучный и его я читал. Чуть не уснул. У кого нибудь есть образец этой заразы или нет:? Скиньте.

Вот, что у меня с переводом получилось
[quote]
После давнего ZMist это один из "лучших" вирусов, которые я видел.
Он действительно крайне сложен - криптоалгоритм средней сложности, плюс вирус использует множество tricks (трюки, уловки). Я вижу нескоько примеров (не уверен: I've here some samples with) отличных антиэмуляционных трюков, таких как измерение скорости выполнения кода (это эзначает, что вирус будет знать, когда он запущен в виртуальном окружении) и обнаружения фиктивного реестра, такой как запись в реестр случайных значений, а затем попытка их прочесть и сравнить. Если они не совпадают или не удалось их прочесть, то вирус ничего не делает. Этот вирус "is able to act as space filler" - способен заполнять несипользуемое пространство файла (т.е. при записи в exe не увеличивается его длинна - прим. мое), аналогичную технику использовал "Чернобыль" (CIH). Вирус способен использовать "EPO functionality", он ищет типичные вызовы API после точки входа и подменяет/перенаправляет их. Т.о. вирус не начинает выполнение своего кода/расшифровщика с некоторой фиксированной позиции после точки входа ("entry point")

"Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."

Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог.[/quote]

[b]_HEKTO_[/b] Огромное спасибо! :)

Касперы говорят - работают - Сегодня / Завтра все будет.

Интересно под "все" лечение тоже подразумавается?!

[QUOTE=Sanja]Касперы говорят - работают - Сегодня / Завтра все будет.

Интересно под "все" лечение тоже подразумавается?![/QUOTE]

updates.drweb.com
win32.polipos
For a period from 1 January 2006 till ...

drwtoday.vdb (2006-03-20 20:27:25, MD5: 2e664cec370e04dfd97e0a3e0ff31275)
...
Win32.Polipos
...

-------------------------
drwtoday.vdb (2006-04-20 00:20:38, MD5: 6424ec79e376ca4579310ebe2fb8d8f1)
...
Win32.Polipos(2)
...

судя по всему (2) - запись для лечения ;)

Когда же хоть кто-то проснётся?

[QUOTE=Ilya_K]
Когда же хоть кто-то проснётся?[/QUOTE]
Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.

Думаю, после такого громкого пресс релиза drweb'а только мертвый не проснется и теперь каждый уважающий себя антивирус разберется с данным вирусом в самые кратчайшие сроки :)

PS. Похоже, drweb поймал того самого "неуловимого Джо" :)

[QUOTE=serge]
Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.[/QUOTE]

Что ж, посмотрим ;-)

[QUOTE=serge]
PS. Похоже, drweb поймал того самого "неуловимого Джо" :)[/QUOTE]

Если бы на форуме и в тех.поддержку не писали не наши клиенты о неизвестном вирусе, то он был бы действительно неуловим... :-(

[quote=serge]Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.

Думаю, после такого громкого пресс релиза drweb'а только мертвый не проснется и теперь каждый уважающий себя антивирус разберется с данным вирусом в самые кратчайшие сроки :)

PS. Похоже, drweb поймал того самого "неуловимого Джо" :)[/quote]

Какая гнусная ложь! :-) Видимо в Минске имеется "уважающий себя антивирус".

[QUOTE=serge]Сегодня образец данного вируса попал в наш virlab, завтра будет апдейт для его детектирования.[/QUOTE]

Почему только сегодня? Его уж сколько раз через Virustotal гоняли. Неужели они образцы с такой задержкой рассылают?

[QUOTE=_HEKTO_]Почему только сегодня? Его уж сколько раз через Virustotal гоняли. Неужели они образцы с такой задержкой рассылают?[/QUOTE]
С virustotal каждый день валится большое количество вирусов. До этого именно он какое-то время валялся в очереди на вставку как неприоритетный и попал на анализ только вчера. Поступление самого первого файла с этим вирусом (с virustotal) по логам датируется 10 апреля.

Вроде свершилось...

Здравствуйте.

Вирус внесен в антивирусные базы.
Обновите базы, пожалуйста.

С уважением, Денис Назаров.
Вирусный аналитик, ЗАО "Лаборатория Касперского"
_______________________________________________
125363, Россия, г.Москва, ул. Героев Панфиловцев, 10.
Многоканальный телефон/факс: +7(095)797-87-00
E-mail: [email][email protected][/email]
[url]http://www.kaspersky.ru[/url] ; [url]http://www.viruslist.com[/url]


> Attachment: mshearts_Vir.exe.3

[QUOTE=Sanja]Вроде свершилось...

Здравствуйте.

Вирус внесен в антивирусные базы.
Обновите базы, пожалуйста.

С уважением, Денис Назаров.
Вирусный аналитик, ЗАО "Лаборатория Касперского"
_______________________________________________
[/QUOTE]

Собаки! DrWeb нашел у меня 158 Polipos, а Каспер только - 67. Касперы издеваются над своими пользователями? :-( Или они не умеют ловить такие вирусы? Ничего не понимаю :-(

[QUOTE=_HEKTO_]"Cleaning becomes tricky as Dr. Web already stated correct, however, cleaner will be available soon via my weblog somehow during this week when i have some time."

Насчет DrWeb я не понял. В общем, обещает выложить лечилку в скорости на этой неделе через свой блог[/QUOTE]

"Лечение сложно, как уже правильно заявил Dr.Web, однако, лечилка скоро будет доступна через мой блог, где-то в течение этой недели, когда у меня будет время."

Да, обоср*лся касперский по полной программе... Это вам не свистеть по телевизору фигню всякую, тут хотябы немного мозгов надо... Это вам не макровирусы пачками детектировать. Будет знать, где его место!

P.S. Долго ему видимо ещё это припоминать будут. Наповерку каспер оказался пустышкой! :P

[QUOTE=User-Polipos]DrWeb нашел у меня 158 Polipos, а Каспер только - 67. [/QUOTE]

Видимо кто-то не может нормально детектировать все заражённые файлы.

У нас всё детектируется одной записью.

Ток неизвестно сколько вы потратили времени на ее написание Ж)

А вобще конечно наглость маленькая...


Нафик оно надо...нет никакой эпидемии.
нам бы еще с детекшеном по уму разобраться - у нас примерно 6-7% самплов не детектятся сейчас.
На выходных попробуем поправить.


--
Regards, Aleks Gostev
Senior Virus analyst, Kaspersky Lab.
Malware Research and Analysis Group

Sanja, какая уже разница, сколько писали сигнатуру?

Полиморфик путешествовал по интернету и заражал файлы целый месяц, а кто-то утешает своих (и не только) пользователй, что файл попал в очередь и просто ждал там, или, к примеру, что детектируется какой-то процент файлов.
Посмотрим, что будет, когда почти все детектировать будут. Есть мнение, что лечения попросят многие, уж не очень хочеться расставаться со своими файлами.

Детектирование у нас писалось относительно не долго. Несколько часов работы аналитика.

[QUOTE=Ilya_K]Sanja, какая уже разница, сколько писали сигнатуру?

Полиморфик путешествовал по интернету и заражал файлы целый месяц, а кто-то утешает своих (и не только) пользователй, что файл попал в очередь и просто ждал там, или, к примеру, что детектируется какой-то процент файлов.[/QUOTE]
Так вот к этому-то и основные вопросы :) Полиморфик путешествовал и заражал файлы [u]по вашей информации[/u]. Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза. Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки [u]по вашим словам[/u] бушует в дикой природе уже месяц. По [u]нашей информации[/u] эпидемии не было и на данный момент ее нет. Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.

[QUOTE]Посмотрим, что будет, когда почти все детектировать будут. Есть мнение, что лечения попросят многие, уж не очень хочеться расставаться со своими файлами.[/QUOTE]
Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей ;)

[QUOTE]Детектирование у нас писалось относительно не долго. Несколько часов работы аналитика.[/QUOTE]
Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком. Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным). Посмотрим, что будет дальше. Даже если у вас с этим вирусом прошло все легко, будут и другие. Например, может появиться следующая модификация того же самого вируса. У вас тогда не будет "форы" по времени на его анализ, вот тогда и посмотрим :) Не всегда все проходит удачно, за успехом может следовать и провал. Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.

Н-да, устроенным представителями Dr.Web пиаром относительно собственной гениальности в отношении борьбы с Polipos, могли бы гордиться даже матерые обещатели "конца Интернета" ;) Куда там, ЛК отдыхает ;) Удивляюсь, как только вебовцы успевают расхваливать себя на все лады чуть ли не на всех более-менее известных форумах, посвященных безопасности в Сети? Что, господа Данилов с Шаровым поставили "в ружье" все резервы? Есть повод воспеть "неоспоримое технологическое превосходство" собственного движка только потому, что у аналитиков веба было больше времени на анализ? Раскопать и распиарить на весь Интернет полу-коллекционный вирус, пусть даже технологически сложный, считается теперь круто? Новые методы маркетинга пошли в ход? ;-) Западные компании, кажется, вообще не слишком озабочены "эпидемией" Polipos.

Того и гляди, аналитики конкурирующих фирм между собой переругаются :embarasse Не хотелось бы. Пусть лучше все живут в мире между собой и каждый совершенствует свой продукт. Тогда каждый пользователь сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?

[QUOTE=saicat]Того и гляди, аналитики конкурирующих фирм между собой переругаются :embarasse Не хотелось бы. Пусть лучше все живут в мире между собой и каждый совершенствует свой продукт. И каждый сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?[/QUOTE] На 100%

Простите мне моё невежество, но я правильно понимаю, что Polipos отчасти использует rootkit (модификация низкоуровневых API функций), с которыми касперский и прочие антивири не умеют работать без серъезных изменений движка? [url]http://z-oleg.com/secur/articles/rootkit.php[/url]

[QUOTE=serge]Так вот к этому-то и основные вопросы :) Полиморфик путешествовал и заражал файлы [u]по вашей информации[/u]. Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза. Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки [u]по вашим словам[/u] бушует в дикой природе уже месяц. По [u]нашей информации[/u] эпидемии не было и на данный момент ее нет. Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.


Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей ;)


Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком. Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным). Посмотрим, что будет дальше. Даже если у вас с этим вирусом прошло все легко, будут и другие. Например, может появиться следующая модификация того же самого вируса. У вас тогда не будет "форы" по времени на его анализ, вот тогда и посмотрим :) Не всегда все проходит удачно, за успехом может следовать и провал. Но раздувать незначительный успех таким образом, как это делаете вы, imho, некрасиво.[/QUOTE]

все получают сэмплы с одного источника, только не все способны в них разобраться. вот собственно что эта история показывает. не нужно мне говорить что вы их не получали с онлайновых сервисов.

[quote=good goo]Простите мне моё невежество, но я правильно понимаю, что Polipos отчасти использует rootkit (модификация низкоуровневых API функций), с которыми касперский и прочие антивири не умеют работать без серъезных изменений движка? [URL="http://z-oleg.com/secur/articles/rootkit.php"]http://z-oleg.com/secur/articles/rootkit.php [/URL][/quote]

Зачем вирусу rootkit? Ладно трояну или бэкдору. И в описании про это ни слова. А перехваты API у него просто для поиска очередной жертвы

[QUOTE=serge] Мы узнали о том, что есть какая-то проблема только из вашего пресс релиза.
[/QUOTE]

Пользователи начали писать, что имеет место ложное срабатываение, хотя это было вовсе не так.
Была бы тишина, всё бы спали спокойно и мы бы не предупреждали никого.

[QUOTE]Более того, в форумах посвященных проблемам безопасности, ряд пользователей безуспешно пытаются найти этот вирус (в тех же файлообменных сетях, по которым он распространяется), и который опять таки [u]по вашим словам[/u] бушует в дикой природе уже месяц.
[/QUOTE]

Пытаются найти и уже нашли - это разное.
Законы Мёрфи, однако :)

[QUOTE]
По [u]нашей информации[/u] эпидемии не было и на данный момент ее нет.Что будет дальше, посмотрим, детектирование для данного вируса в VBA32 уже добавлено. Возможно ловятся не все файлы (ala KAV), но запись детектирования будет уточняться, до полного и надежного детектирования.
[/QUOTE]

Про эпидемию речи не шло.
Неконтролируемое распространение такого вируса способно породить эпидемию при стечение некоторых обстоятельств (как, например, массовое недетектирование). Увы, как эксперт, вы должны это понимать.

[QUOTE]
Вот когда попросят, тогда и будем делать лечение. К тому же, вы ведь уже "спасли" наших пользователей ;)
[/QUOTE]

:-) Ваш Антивирус, ваше право

[QUOTE]
Рад за вас. К сожалению эта информация с ваших же слов. У вас был как минимум месяц на то, чтобы досконально разобраться с этим вирусом, который по вашим словам является достаточно сложным полиморфиком.
[/QUOTE]
С ним разбирались не месяц, а всего-лишь пару часов (детектирование) :-)

[QUOTE]
Теперь вы пытаетесь раздуть проблему и пытаетесь убедить всех в "технологическом превосходстве", хотя многие антивирусные компании только сейчас взялись за этот вирус (возможно, считая его коллекционным).
[/QUOTE]

Имхо, известно, чем коллекционный образец отличается от живого - коллекционный, обычно, не заражает компьютеры пользователей.

[QUOTE=saicat]На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?[/QUOTE]

На личности переходить не будем :-). К чему это нужно? (риторически)
Вам детектировани и расторопность вирусной лаборатории вашего антивируса, как пользователю этого антивируса принесёт прямую пользу. Не подцепите заразу.