W32.Sasser.Worm по определению Дядюшки Нортона

[Casper]

Ситуация следующая. У меня на работе установлен Norton для Корпоративных Сетей. Я регулярно извлекаю из Карантина файлы пойманые им и проверяю у себя DrWeb-ом. Не так давно, еще до того, как наши сетевики успели установить везде второй Сервиспак для Windows XP, в карантин попал W32.Sasser.Worm в виде файла "cmd.ftp". Я был немного поражен тем, что после проверки Вэбом, вирус не был обнаружен (обычно все происходило в точности до наоборот Вэб видит, Нортон нет). Онлайн проверка на http://www.virustotal.com еще более меня удивила!
Вот результаты:

Antivirus*** Update*** Result***
AntiVir*** 03.11.2005***no virus found***
AVG****** 03.11.2005***no virus found***
BitDefender*03.11.2005***no virus found***
ClamAV*** 03.10.2005***no virus found***
DrWeb*** 03.11.2005***no virus found***
eTrust-Iris***03.11.2005***no virus found***
eTrust-Vet**03.11.2005***Win32.Sasser!FTP***
Fortinet*** 03.10.2005***BAT/Sasser.A-net***
F-Prot*** 03.11.2005***no virus found***
Ikarus****** 03.11.2005***no virus found***
Kaspersky*** 03.11.2005***no virus found***
McAfee*** 03.11.2005***no virus found***
NOD32v2*** 03.11.2005***no virus found***
Norman*** 03.10.2005***no virus found***
Panda****** 03.11.2005***W32/Sasser.ftp***
Sybari****** 03.11.2005***W32/Sasser-A***
Symantec*** 03.10.2005***W32.Sasser.Worm

Такие антивирусы как Вэб, Касперский, NOD32, BitDefender ничего не видят! А ведь они считаются лучшими. Ладно, возможно, что эти файлы просто не попали к ним на "прием" и поэтому их нет в базах...
Ладно, посылаю с пометкой "срочно!" этот файл на анализ DrWeb - через 15 минут ответ: "Ваш запрос был проанализирован. Это был не вирус."
Меня озадачило то, что Нортон и Панда вроде бы не грешили "мертвыми" вирусами. Что это? Мое заблуждение относительно Нортона с Пандой или ошибка аналитиков Вэба?
Geser, я отослал этот файл на [email protected], может ты сможешь помочь разобраться в этой интересной ситуации? Если бы была возможность прикрепить файл к топику - непременно бы прикрепил, но нет такой ф-ии...

P.S. Отправил этот же файл Касперскому, с той же пометкой "Срочно" ... ответа пока нет! Пологаю, что должны будут добавить, ведь брат близнец - Sybari имеет запись у себя в базе.

[Minos]

Можешь открыть этот файл с помощью блокнота, по идее nам будет что-то типа:

[tt]open xxx.xxx.xxx.xxx 5554
anonymous
bin
get 4557_up.exe
bye[/tt]

Как видишь - это набор стандартных FTP команд для загрузки файла (тела вируса) с ftp сервера. Правильные антивирусы не должны такое детектировать, т.к. это не как не подпадает под определение вируса и указанный файл сам по себе опасности не несет. Занесением таких файлов в базы вызывает неоправданное раздутие баз и, потенциально, ложные срабатывания.

[Casper]

Значит всё-таки болезнь "Касперского" встречается и у других антивирусных продуктов...

[Minos]

Значит всё-таки болезнь "Касперского" встречается и у других антивирусных продуктов...

Это не болезнь "Касперского", эта контора не страдает, обычно, добавлением явного мусора в базы, относительно опасности программ занесенных туда конечно можно поспорить... Это скорее храническая болезнь Norton с его 300 000 записей.

[Зайцев Олег]

Файл пришел на препарацию ...
Как и ожидалось, это не вирус, а текстовый файл с командами FTP для утилиты ftp.exe. Детектирование у NAV идет явно по сигнатуре open <что-то там> 5554 <cr><lf>anonymous<cr><lf>bin. А присланный файл как раз и содержит такие сигнатуры ...
Внесение такого файла в базы спорно ... с одной стороны, детектирование может быть полезно для монитора - он поймает такой файл в момент сохранения и удалит его, помешав закачке вируса (поэтому это не мертвая ссылка). С другой стороны - файл этот не вирус, вредоносных команд не несет и сам по себе запуститься не может. Поэтому классифицировать его как вирус нельзя.

[Casper]

Это не болезнь "Касперского", эта контора не страдает, обычно, добавлением явного мусора в базы, относительно опасности программ занесенных туда конечно можно поспорить... Это скорее храническая болезнь Norton с его 300 000 записей.

Проверим это предположение, относительно Касперского!
Как только получу ответ от них - опубликую!
Как я уже писал выше, его брат-близнец Sybari всё-таки внес этот файл к себе в базы...

[Casper]

[quote author=Зайцев Олег link=board=2;threadid=863;start=0#msg8359 date=1110570231]
Файл пришел на препарацию ...
Как и ожидалось, это не вирус, а текстовый файл с командами FTP для утилиты ftp.exe. Детектирование у NAV идет явно по сигнатуре open <что-то там> 5554 <cr><lf>anonymous<cr><lf>bin. А присланный файл как раз и содержит такие сигнатуры ...
Внесение такого файла в базы спорно ... с одной стороны, детектирование может быть полезно для монитора - он поймает такой файл в момент сохранения и удалит его, помешав закачке вируса (поэтому это не мертвая ссылка). С другой стороны - файл этот не вирус, вредоносных команд не несет и сам по себе запуститься не может. Поэтому классифицировать его как вирус нельзя.
[/quote]
Надо же, Олег, пришел письменный ответ о результатах анализа посланного файла...
Поддержка у тебя прям как у коммерческих антивирусов!
Так держать!!!

[Casper]

От ВирусЛаб Касперского пришел ответ на вчерашний запрос:

"Здраствуйте!

Это троянский BAT-скрипт загрузчик
Trojan-Downloader.BAT.Ftp.u.
Детектирование будет добавлено в следующее обновление
антивирусных баз.

С уважением,
Павел Зеленский
Вирусный аналитик"

[azza]

Проверим это предположение, относительно Касперского!
Как только получу ответ от них - опубликую!
Как я уже писал выше, его брат-близнец Sybari всё-таки внес этот файл к себе в базы...

Sybari использует не только базы KAV, но и, кажется, McAfee и Sophos. Название W32/Sasser-A по Sophos.

[Minos]

От ВирусЛаб Касперского пришел ответ на вчерашний запрос:

"Здраствуйте!

Это троянский BAT-скрипт загрузчик
Trojan-Downloader.BAT.Ftp.u.
Детектирование будет добавлено в следующее обновление
антивирусных баз.

С уважением,
Павел Зеленский
Вирусный аналитик"

Ну, хоть не червем обозвали, уже радует ???. А вообще если какой нибудь админ перенесет свой ftp сервер с 21 на 5554 порт, его ждет неприятный сюрприз .