Модификация Win32.Sector.5

**evglap** · 20.08.2008, 09:24

Сообщение от Groft

И, если можно, ссылочку на вирустотал с детектом этого вируса

VirisTotal:

http://www.virustotal.com/ru/analisi...ede868f15b322a

Добавлено через 7 минут

Сообщение от Shu_b

если можете, поделитесь номером запроса.

Ответа с номером запроса пока нет- появится, обязательно выложу

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**priv8v** · 20.08.2008, 09:48

VirisTotal:

www.virustotal.com/ru/analisi...ede868f15b322a

Касперский молчит

**evglap** · 20.08.2008, 10:06

Сообщение от priv8v

Касперский молчит

молчит !

что меня честно говоря несколько удивило...

даже при максимальных настройках эвристики KIS 2009 ничего пока не находит

**ALEX(XX)** · 20.08.2008, 10:11

Сообщение от priv8v

Касперский молчит

Как-то один раз он крикнул... Я чуть седым не стал...

**santy** · 20.08.2008, 11:47

Eset Russia ответили сегодня на повторную отправку.
"Присланный Вами файл отправлен в лабораторию ESET для добавления в антивирусные базы."
Это на файл, который детектируется (и лечится) как Sector.4 Cureit от 19августа.

**Maximus_1982** · 20.08.2008, 18:59

Я у себя лечил такую заразу

гадина еще та - зашел к шефу сказал надо вырубить сеть - 2-3 суток максимум (почти 200 машин)

он дал добро

тока и бегал что от машины к машине (лечение только с диска) штук 20 нарезал

тока спать домой ходил а куда деваться

поставил симантек центр и клиенты.. плюс на все расшареное доступ по логину-паролю - так центр симантека говорил с какой именно машины зараза в расшареную папку шла.. вот так вот.. при этом обнаружил бессилие и касперского и дрвеба (но куреит лечил исправно) они не показывают откуда берется зараза.. нет ничего совершенного только МОЗГ

и ставьте файрволы хотя бы тем кто в инет лазит

**Skye** · 21.08.2008, 09:18

Ну вот, вроде победил. Во всяком случае на Threat Log Nod'а больше ничего не попадает. Лечение производил на тех машинах, на которых был когда - либо зафиксирован КиллАВ.НЕ и Салити.всех_модификаций. Доступ на все сетевые ресурсы пришлось ограничить по доменной политике (Админ-Всё, Юзер - чтение), что немного мешает, но ето мелочи.

Ув. Тов. Maximus_1982, мозг тоже не совершенен)

**victor_16_87** · 26.08.2008, 22:16

Здравствуйте, я сдесь впервые! Естественно сайт посетил из за вируса! "Virus.Win32.Sality.z"- Штука страшная, что она вытворяет ужас! был в организации, ставил антивирус Панду! Он нащел все вирусы, вылечил, будто бы и спросил перезагрузку! Все комп не включается больше! Потом в нете почитал про него, в общем он заражает все exeшники и загрузчик Винды, распостраняется очень быстро, лечить трудно! Антивирус может превратить в разносчика, если его ставить на зараженную машину!

**AndreyKa** · 27.08.2008, 11:23

Сообщение от victor_16_87

Все комп не включается больше!

Антивирус удалил блок питания?

Читайте как правильно лечить файловые вирусы:
http://virusinfo.info/showpost.php?p=166807&postcount=1

**santy** · 27.08.2008, 12:29

Кстати, проверил, что НОД должен нормально лечить Sector.5/Sality.NAO. crc-32,md5,sha1 у пролеченного файла совпадает с файлом, пролеченным CureIt. На Sector.4/Sality.NAS? нет реакции.

**evglap** · 01.09.2008, 10:56

сегодня получил ответ (virus [KLAB-6079581]) от "Лаборатории Касперского" на файл определяемый Drweb как "модификация win32.sector.5", цитирую:

--------------------------------------------------
Здравствуйте.
В присланном Вами файле не найдено ничего вредоносного.
---------
С уважением, Андрей Ладиков
Вирусный аналитик
ЗАО "Лаборатория Касперского"
--------------------------------------------------

вот так !

жду, что ответит DrWeb

**Shu_b** · 01.09.2008, 11:01

Сообщение от evglap

жду, что ответит DrWeb

Номером тикета от vms доктора поделитесь... pls.

**evglap** · 01.09.2008, 11:33

Сообщение от Shu_b

Номером тикета от vms доктора поделитесь... pls.

рад бы - да только нету его у меня......

отправлял через http://support.drweb.com/sendnew/

пока ответа нет....

**Shu_b** · 01.09.2008, 12:01

Сообщение от evglap

рад бы - да только нету его у меня......

отправлял через http://support.drweb.com/sendnew/

пока ответа нет....

Значит не доехал, и ответа не дождётесь.
Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287

**evglap** · 01.09.2008, 12:20

Сообщение от Shu_b

Значит не доехал, и ответа не дождётесь.
Если есть возможность, поделитесь экземпляром, туда - http://virusinfo.info/upload_virus.php?tid=28287

отправил:

Файл сохранён как 080901_031814_mod_sector5_48bba54620784.zip
Размер файла 924750
MD5 5e88b901cd711ff9e191e9213236d501

пароль: virus

**Groft** · 01.09.2008, 13:51

Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует

**evglap** · 01.09.2008, 14:10

Сообщение от Groft

Вируснуй аналитик ВирусБлокАды мне тоже ответил, что вредоносный код отсутствует

может действительно ложное срабатывание ?

**Groft** · 01.09.2008, 15:53

Сообщение от evglap

может действительно ложное срабатывание ?

а может файл битый, а тут уж все зависит от политики вендора

**Shu_b** · 01.09.2008, 16:04

Сообщение от evglap

отправил:

Сообщение от vms@drweb

Ваш запрос был проанализирован. Это был разрушенный файл.

вот такой ответ...

**evglap** · 01.09.2008, 16:44

тогда все более-менее проясняется......

shu_b - спасибо !

Модификация Win32.Sector.5

Опции темы

Похожие темы

Win32.Sector.16, Win32.Sector.17 (Win32.Sality)

Tupe win32 (модификация) или непонятный червь

Win32.sector.17.(он же Virus.win32.Sality.aa ) Заражен каждый exe файл.

Win32.sector.12(sector.5)

Вирус Win32.Sector.xxx либо Win32.Sality.

Ваши права в разделе