DoggoD, Странно, Владимир Мартьянов вроде неплохой специалист..
Попробуйте написать ему письмо со ссылкой http://virusinfo.info/showthread.php...105#post443105
Т.е. пост, с которого это обсуждение начинается
DoggoD, Странно, Владимир Мартьянов вроде неплохой специалист..
Попробуйте написать ему письмо со ссылкой http://virusinfo.info/showthread.php...105#post443105
Т.е. пост, с которого это обсуждение начинается
The worst foe lies within the self...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А как эти семплы отправлялись в вирлаб? может где по дороге их побило?
Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.Сообщение от DoggoD
DoggoD, Антивирус Касперского этот файл будет детектировать как Worm.Win32.Bezopi.p
Vladimir Martyanov не прав, можете так и написать в ответе.
Torvic99, контрольные суммы совпадают..
Geser
может быть, но похоже на "живой" текст..Скорее всего это ответ по результатам автоматического анализа. Т.е. аналитик его на самом деле не смотрел.
ответ последовалКод:Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip Размер файла 22639 MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7
подскажите, стоит ли "бить тревогу" насчет этого ?Eduard Kovalets
Дата:
Wed, 05 Aug 2009 16:37:03 +0400
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008
Последний раз редактировалось DoggoD; 06.08.2009 в 02:50.
Ай-ай-ай! Как нехорошо людей в заблуждение вводить! Вы ведь приводите ответ на тикет №...944, о том, что файл поврежден и угрозы не представляет, верно?
В тикете-то файлик имеет размер 20734, а не 22639, как вы указали. Ну и MD5 совершенно другая. Так что давайте запустите именно тот файл, который был послан, а еще лучше видео снимите, как сначала проверяется MD5 файла, а потом он тут же запускается. А я пока за попкорном схожу.
Думаю, zip-файл не получится запустить.
В любом случае, я слабо верю в исполняемый файл, который сжимается ZIPом с увеличением размера. Так что файлик там другой.Думаю, zip-файл не получится запустить.
А что вы запускали - вообще боюсь спрашивать :-) Без видео не поверю, короче говоря.
DoggoD,
v.martyanov, На форуме Доктора есть топик про разбор полетов с тикетами, данная тема называется "Ответы на вопрос: Вирус или нет ?".
А, то есть фразы типа "а у меня все запускается" и т.п. - это ответы на вопросы, а у меня нет? Все-все, ухожу в свою берлогу, не буду более беспокоить столь высококлассных специалистов, которые EXE без импортов запускают.
По-моему конфликт исчерпан. Вы говорили о разных файлах. В первом сообщении DoggoD видны разные тикеты.
И все они битые, я больше 15 файлов проверил - ни SP1 ни SP3 их не хотят запускать.
А то что они детектятся - так добавление могло быть по "живым" файлам, а у нас политика простая - мусор не добавлять. Будут целые файлы - будет и детект.
А этот при повторном осмотре живым оказался?
Код:Eduard Kovalets Дата: Wed, 05 Aug 2009 16:37:03 +0400 Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. Угроза: Trojan.Inject.6008
Я без номера тикета ничего не скажу, увы.
Alex, вы и сами можете проверить содержимое присланного.
090805_104451_virus_4a792a634d3e1.zip
[InfectedFile]
Src=f:\autorun.exe
Infected=avz00001.dta
Virus=Добавлен пользователем (карантин по списку)
QDate=03.08.2009 23:14:40
Size=0
MD5=367BF350436402C353188D8C47BB3BCA
FileDate=30.07.2009 0:36:10
размер его 24*068
Добавлено через 5 минут
сравниваем:ps. на цитаты размера и мд5 зип файла.... наверное не надо обращать вниманиеразмер 20734, тикет №...944
Последний раз редактировалось Shu_b; 06.08.2009 в 13:20. Причина: Добавлено
Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах
Последний раз редактировалось Зайцев Олег; 06.08.2009 в 13:33.
Похоже на то. Не, всякие хитрые тулзы по распаковке может и смогут с файлом работать... Но ответ о том, что файл поврежден и угрозы не представляет, корректен, если на системе его не запустить :-)Архив 090805_104451_virus_4a792a634d3e1.zip размером 22639 байта с 1F6B3C1E3FBE01BBAA27D8B5B5045CE7 содержит файл "f:\autorun.exe", 24068 байт размером, 367BF350436402C353188D8C47BB3BCA, карантинен пользователем вручную. Я смотрю внутренний отчет "кибера" по этому файлу - и из него явствует, что файл живой и исправный является злобным вирусом, запакованным, распакованный размер около 40 кб, явно троянское поведение. "Кибер" так-же отмечает, что зверь проявляет активность довнлоадера (тащит разную дрянь с downloadavr2.com и передает статистику своим создателям), отмечается так-же, что активность зверя приводит к руткит-проявлениям в системе и блокировке диспетчера задач, появлению ряда злобных процессов. Кибер так-же акцентирует, что известно 118 "дел" на VirusInfo, зачинщиком заражения в которых мог выступить данный зверь или его сородичи...
Т.е. нужно точно разобраться, о каком файле идет речь на уровне сопоставления MD5 (причем семплов), у меня почему-то есть подозрение, что спор на более чем лист длинной идет о разных семплах
Если речь о данном файле, то особенность "кибера" в том, что у него в составе есть аппаратный антивирус и он может запустить семпл "на реальной машине" для его хитрого изучения. Что "он" и сделал, и отметил, что на реальном ПК реального юзера этот семпл запустился бы с гарантией. Я для надежности дал команду перепроверить - результат повторяем, зверь вполне рабочий
Файл сохранён как 090806_170248_virus_4a7ad4785b5c1.zip
Размер файла 368906
MD5 0b9c73c4158f8468c8e27a69d28b1def
v.martyanov, прошу меня простить.. все перепроверил -- да, то на разные тикеты ответы..
уточняю..
это тикет #956228Код:Файл сохранён как 090804_085400_virus_4a77bee8f0407.zip Размер файла 315399 MD5 c4c2f5ecc90081b92d5a1fd193b49253
файл из этого архива
это тикет #940944Код:update10034906.exe
соответствует файлу autorun.exe тикет #960877Код:Файл сохранён как 090805_104451_virus_4a792a634d3e1.zip Размер файла 22639 MD5 1f6b3c1e3fbe01bbaa27d8b5b5045ce7
на который был последован единственный ответ
---Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Inject.6008
прошу у всех прощения за внесенную смуту..
Ваши права в разделе
Ответить с цитированием
