-
Visiting Helper
- Вес репутации
- 71
W32.Sasser.Worm по определению Дядюшки Нортона
Ситуация следующая. У меня на работе установлен Norton для Корпоративных Сетей. Я регулярно извлекаю из Карантина файлы пойманые им и проверяю у себя DrWeb-ом. Не так давно, еще до того, как наши сетевики успели установить везде второй Сервиспак для Windows XP, в карантин попал W32.Sasser.Worm в виде файла "cmd.ftp". Я был немного поражен тем, что после проверки Вэбом, вирус не был обнаружен (обычно все происходило в точности до наоборот Вэб видит, Нортон нет). Онлайн проверка на http://www.virustotal.com еще более меня удивила!
Вот результаты:
Antivirus*** Update*** Result***
AntiVir*** 03.11.2005***no virus found***
AVG****** 03.11.2005***no virus found***
BitDefender*03.11.2005***no virus found***
ClamAV*** 03.10.2005***no virus found***
DrWeb*** 03.11.2005***no virus found***
eTrust-Iris***03.11.2005***no virus found***
eTrust-Vet**03.11.2005***Win32.Sasser!FTP***
Fortinet*** 03.10.2005***BAT/Sasser.A-net***
F-Prot*** 03.11.2005***no virus found***
Ikarus****** 03.11.2005***no virus found***
Kaspersky*** 03.11.2005***no virus found***
McAfee*** 03.11.2005***no virus found***
NOD32v2*** 03.11.2005***no virus found***
Norman*** 03.10.2005***no virus found***
Panda****** 03.11.2005***W32/Sasser.ftp***
Sybari****** 03.11.2005***W32/Sasser-A***
Symantec*** 03.10.2005***W32.Sasser.Worm
Такие антивирусы как Вэб, Касперский, NOD32, BitDefender ничего не видят! А ведь они считаются лучшими. Ладно, возможно, что эти файлы просто не попали к ним на "прием" и поэтому их нет в базах...
Ладно, посылаю с пометкой "срочно!" этот файл на анализ DrWeb - через 15 минут ответ: "Ваш запрос был проанализирован. Это был не вирус."
Меня озадачило то, что Нортон и Панда вроде бы не грешили "мертвыми" вирусами. Что это? Мое заблуждение относительно Нортона с Пандой или ошибка аналитиков Вэба?
Geser, я отослал этот файл на [email protected], может ты сможешь помочь разобраться в этой интересной ситуации? Если бы была возможность прикрепить файл к топику - непременно бы прикрепил, но нет такой ф-ии...
P.S. Отправил этот же файл Касперскому, с той же пометкой "Срочно" ... ответа пока нет! Пологаю, что должны будут добавить, ведь брат близнец - Sybari имеет запись у себя в базе.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Можешь открыть этот файл с помощью блокнота, по идее nам будет что-то типа:
[tt]open xxx.xxx.xxx.xxx 5554
anonymous
bin
get 4557_up.exe
bye[/tt]
Как видишь - это набор стандартных FTP команд для загрузки файла (тела вируса) с ftp сервера. Правильные антивирусы не должны такое детектировать, т.к. это не как не подпадает под определение вируса и указанный файл сам по себе опасности не несет. Занесением таких файлов в базы вызывает неоправданное раздутие баз и, потенциально, ложные срабатывания.
-
Visiting Helper
- Вес репутации
- 71
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Значит всё-таки болезнь "Касперского" встречается и у других антивирусных продуктов...
-
-
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Сообщение от
Casper
Значит всё-таки болезнь "Касперского" встречается и у других антивирусных продуктов...
Это не болезнь "Касперского", эта контора не страдает, обычно, добавлением явного мусора в базы, относительно опасности программ занесенных туда конечно можно поспорить... Это скорее храническая болезнь Norton с его 300 000 записей.
-
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Файл пришел на препарацию ...
Как и ожидалось, это не вирус, а текстовый файл с командами FTP для утилиты ftp.exe. Детектирование у NAV идет явно по сигнатуре open <что-то там> 5554 <cr><lf>anonymous<cr><lf>bin. А присланный файл как раз и содержит такие сигнатуры ...
Внесение такого файла в базы спорно ... с одной стороны, детектирование может быть полезно для монитора - он поймает такой файл в момент сохранения и удалит его, помешав закачке вируса (поэтому это не мертвая ссылка). С другой стороны - файл этот не вирус, вредоносных команд не несет и сам по себе запуститься не может. Поэтому классифицировать его как вирус нельзя.
-
-
Visiting Helper
- Вес репутации
- 71
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Сообщение от
Minos
Это не болезнь "Касперского", эта контора не страдает, обычно, добавлением явного мусора в базы, относительно опасности программ занесенных туда конечно можно поспорить... Это скорее храническая болезнь Norton с его 300 000 записей.
Проверим это предположение, относительно Касперского!
Как только получу ответ от них - опубликую!
Как я уже писал выше, его брат-близнец Sybari всё-таки внес этот файл к себе в базы...
-
-
Visiting Helper
- Вес репутации
- 71
Re:W32.Sasser.Worm по определению Дядюшки Нортона
[quote author=Зайцев Олег link=board=2;threadid=863;start=0#msg8359 date=1110570231]
Файл пришел на препарацию ...
Как и ожидалось, это не вирус, а текстовый файл с командами FTP для утилиты ftp.exe. Детектирование у NAV идет явно по сигнатуре open <что-то там> 5554 <cr><lf>anonymous<cr><lf>bin. А присланный файл как раз и содержит такие сигнатуры ...
Внесение такого файла в базы спорно ... с одной стороны, детектирование может быть полезно для монитора - он поймает такой файл в момент сохранения и удалит его, помешав закачке вируса (поэтому это не мертвая ссылка). С другой стороны - файл этот не вирус, вредоносных команд не несет и сам по себе запуститься не может. Поэтому классифицировать его как вирус нельзя.
[/quote]
Надо же, Олег, пришел письменный ответ о результатах анализа посланного файла...
Поддержка у тебя прям как у коммерческих антивирусов!
Так держать!!!
-
-
Visiting Helper
- Вес репутации
- 71
Re:W32.Sasser.Worm по определению Дядюшки Нортона
От ВирусЛаб Касперского пришел ответ на вчерашний запрос:
"Здраствуйте!
Это троянский BAT-скрипт загрузчик
Trojan-Downloader.BAT.Ftp.u.
Детектирование будет добавлено в следующее обновление
антивирусных баз.
С уважением,
Павел Зеленский
Вирусный аналитик"
-
-
Visiting Helper
- Вес репутации
- 73
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Сообщение от
Casper
Проверим это предположение, относительно Касперского!
Как только получу ответ от них - опубликую!
Как я уже писал выше, его брат-близнец Sybari всё-таки внес этот файл к себе в базы...
Sybari использует не только базы KAV, но и, кажется, McAfee и Sophos. Название W32/Sasser-A по Sophos.
-
-
Re:W32.Sasser.Worm по определению Дядюшки Нортона
Сообщение от
Casper
От ВирусЛаб Касперского пришел ответ на вчерашний запрос:
"Здраствуйте!
Это троянский BAT-скрипт загрузчик
Trojan-Downloader.BAT.Ftp.u.
Детектирование будет добавлено в следующее обновление
антивирусных баз.
С уважением,
Павел Зеленский
Вирусный аналитик"
Ну, хоть не червем обозвали, уже радует ???. А вообще если какой нибудь админ перенесет свой ftp сервер с 21 на 5554 порт, его ждет неприятный сюрприз .