то же самое про Beagle.pac - это видимо тоже детектирование упаковщика, при условии что начинка неизвестнаСообщение от Sanja
то же самое про Beagle.pac - это видимо тоже детектирование упаковщика, при условии что начинка неизвестна
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
То есть это ложное срабатывание?
Если мне не изменяет склероз, так детектились битые бигли (видимо, ошибка в червяке, вот и генерировал такое). Потому начинки там нету.
Мусор, но его было много - добавили, чтоб юзера это больше не присылали.
не знаю, как задумывалось изначально, но вроде бы под этим именем детектируются и те файлы, которые выкладываются авторами для автообновления. неужели и там битые файлы?
Нашлась пропажа. Переехали по новому адресу.
hxxp://69.50.184.90/cntr/bin/latest.exe
Проверил - все верно, каспер о крипторе не пишет ни слова. Детектит поверх сам упаковщик.
Дрвеб распаковывает:
---------------------------------------------------------
latest.exe packed by YODA
В файле >latest.exe обнаружен вирус Trojan.Galapoper
---------------------------------------------------------
Еще одна шутка юмора от каспера (с битдефендером).
This is a report processed by VirusTotal on 11/13/2005 at 18:27:03
(CET) after scanning the file "hosts.txt" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.11.2005 no virus found
Avast 4.6.695.0 11.11.2005 no virus found
AVG 718 11.11.2005 no virus found
Avira 6.32.0.6 11.11.2005 no virus found
BitDefender 7.2 11.13.2005 Trojan.Qhost.EL
CAT-QuickHeal 8.00 11.12.2005 no virus found
ClamAV devel-20051108 11.11.2005 no virus found
DrWeb 4.33 1 1.12.2005 no virus found
eTrust-Iris 7.1.194.0 11.13.2005 no virus found
eTrust-Vet 11.9.1.0 11.11.2005 no virus found
Fortinet 2.48.0.0 11.10.2005 no virus found
F-Prot 3.16c 11.10.2005 no virus found
Ikarus 0.2.59.0 11.11.2005 no virus found
Kaspersky 4.0.2.24 11.13.2005 Trojan.Win32.Qhost.el
McAfee 4626 11.11.2005 no virus found
NOD32v2 1.1284 11.11.2005 no virus found
Norman 5.70.10 11.11.2005 no virus found
Panda 8.02.00 11.13.2005 no virus found
Sophos 3.99.0 11.13.2005 no virus found
Symantec 8.0 11.12.2005 no virus found
TheHacker 5.9.1.033 11.11.2005 no virus found
VBA32 3.10.4 11.12.2005 no virus found
Фишка в том, что это обычный файл hosts, блокирующий как раз вирусные сайты
http://iframetraff.biz/progs/hosts.txt
Это известно. КАВ вроде даже лечит такое. Т.е. видимо удаляет лишние записиФишка в том, что это обычный файл hosts, блокирующий как раз вирусные сайты . Что-то вроде борьбы с конкурентами.
Кстати, кто сомневался, что лечения не будет (только удаление файла) - троян внутри уже не раз сменился (был лопата, стал галапоппер, да и этих уже был не один), а детект каспера остался прежним - криптор используется тот же, от 21.08.Нашлась пропажа
hxxp://69.50.184.90/cntr/bin/latest.exe
Проверил - все верно, каспер о крипторе не пишет ни слова. Детектит поверх сам упаковщик.
Дрвеб распаковывает:
---------------------------------------------------------
latest.exe packed by YODA
В файле >latest.exe обнаружен вирус Trojan.Galapoper
---------------------------------------------------------
А чего лечить в трояне?
Конечно способ корявый, но в данном случае есть приемущество. Даже если троян неизвестен всёравно ругаться будет
Вот как раз этот файл лечить бы и не стоило
Сайты там неслабые заблокированы, один toolbarpartner чего стоит.
То, что с этим hosts приходит - детская забава по сравнению.
В трояне лечить нечего. А то, что им дропнуто/прописано, очень не вредно бы.А чего лечить в трояне?
Конечно способ корявый, но в данном случае есть приемущество. Даже если троян неизвестен всёравно ругаться будет
Лечить - в смысле систему от трояна.
Да и немало уж добра этой Yoda паковано, этот голопоппер далеко не один. Этот криптер мне уже давно попадается.
yoda crypt 1.3 ? о да!
я бы еще запретил FSG, MEW и Upack (Dwing).
Последний раз редактировалось Alexey P.; 14.11.2005 в 00:07.
yoda crypt 1.3 ? о да!
я бы еще запретил FSG, MEW и Upack (Dwing).
Точности для - это, видимо, Yoda-based. Не чистый - тот все знают.
ЗЫ: А VBA вообще чихал на упаковщики, он их эмулятором распаковывает. Медленный, правда - когда попадается неизвестная упаковка, жует файл очень долго, но результат того стоит. Эту патченную йоду он сразу распаковывал, от рождения
ну да, исходники-то доступны.
еще бы он как распаковщик работал - цены бы ему не было...ЗЫ: А VBA вообще чихал на упаковщики, он их эмулятором распаковывает. Медленный, правда - когда попадается неизвестная упаковка, жует файл очень долго, но результат того стоит. Эту патченную йоду он сразу распаковывал, от рождения
Угу, вот это точно.
To Dr.Xmas - мож, сделаете такой ключик ? Действительно была бы сильнейшая вещь.
И фиг с ней, таблицей импорта, кому она нужна. Нам бы ссылки изнутри выдрать, и ладушки.
/unpack_archives совсем не то, это все и архиваторы раскрывают.
Last file scanned at least one scanner reported something about: jhgf.zip, detected by:
Scanner Malware name
AntiVir Dropper/Sober.W
ArcaVir X
Avast X
AVG Antivirus I-Worm/Sober.CB
BitDefender Win32.Sober.W@mm
ClamAV Worm.Sober.T
Dr.Web X
F-Prot Antivirus W32/VB.NB
Fortinet W32/Sober.X-dr
Kaspersky Anti-Virus Email-Worm.Win32.Sober.w
NOD32 X
Norman Virus Control X
UNA X
VBA32 X
Лучше тоже самое на virustotal сделать...
Last file scanned at least one scanner reported something about: Word-Text_packedList.xex, detected by:
Scanner Malware name
AntiVir Worm/Sober.V.1
ArcaVir Worm.Sober.Z
Avast Win32:Sober-X2
AVG I-Worm/Sober.CC
BitDefender Win32.Sober.U@mm
ClamAV Worm.Sober.T-3
Dr.Web Win32.HLLM.Sober
F-Prot W32/Sober.T@mm
Fortinet W32/Sober.V-dr
Kaspersky Email-Worm.Win32.Sober.u
NOD32 X
Norman Vir X
UNA X
VBA32 X
virustotal -не могу
Тогда, к сожалению, в зачет не идет
Там очень часто не актуальные базы....
Отличный график. Еще посортировать его по количеству детектов
Ваши права в разделе
