-
Сообщение от
AndreyKa
Это другой случай. Данный вариант Bagle не имеет функции размножения. Видимо, рассылали по спамерским спискам и брали два соседних адреса из отсортированных по алфавиту.
а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 69
This is a report processed by VirusTotal on 11/07/2005 at 10:30:09 (CET) after scanning the file "SLaunch.dll" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.07.2005 no virus found
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.07.2005 no virus found
BitDefender 7.2 11.07.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 no virus found
ClamAV devel-20050917 11.06.2005 Trojan.Gobot-7
DrWeb 4.33 11.07.2005 no virus found
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.07.2005 no virus found
Fortinet 2.48.0.0 11.06.2005 no virus found
F-Prot 3.16c 11.06.2005 no virus found
Ikarus 0.2.59.0 11.06.2005 no virus found
Kaspersky 4.0.2.24 11.07.2005 no virus found
McAfee 4621 11.05.2005 MultiDropper-JD
NOD32v2 1.1277 11.05.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.06.2005 no virus found
Sophos 3.99.0 11.07.2005 no virus found
Symantec 8.0 11.06.2005 no virus found
TheHacker 5.9.1.029 11.07.2005 no virus found
VBA32 3.10.4 11.06.2005 no virus found
-------
Сама Dll-ка - это FAR-оский плагин.
-
This is a report processed by VirusTotal on 11/08/2005 at 10:07:46 (CET) after scanning the file "__1087" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.08.2005 no virus found
Avast 4.6.695.0 11.07.2005 Win32:Beagle-gen5
AVG 718 11.03.2005 I-Worm/Bagle
Avira 6.32.0.6 11.07.2005 no virus found
BitDefender 7.2 11.08.2005 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 11.07.2005 (Suspicious) - DNAScan
ClamAV devel-20050917 11.07.2005 no virus found
DrWeb 4.33 11.07.2005 no virus found
eTrust-Iris 7.1.194.0 11.08.2005 no virus found
eTrust-Vet 11.9.1.0 11.08.2005 Win32.Mitglieder.DG
Fortinet 2.48.0.0 11.08.2005 suspicious
F-Prot 3.16c 11.07.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 11.07.2005 Email-Worm.Win32.Bagle.EE
Kaspersky 4.0.2.24 11.08.2005 Email-Worm.Win32.Bagle.pac
McAfee 4622 11.07.2005 W32/Bagle.gen
NOD32v2 1.1278 11.07.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 11.08.2005 W32/Malware
Panda 8.02.00 11.07.2005 Trj/Mitglieder.gen
Sophos 3.99.0 11.08.2005 no virus found
Symantec 8.0 11.07.2005 no virus found
TheHacker 5.9.1.030 11.07.2005 W32/Bagle.GEN@MM
VBA32 3.10.4 11.06.2005 suspected of Email-Worm.Bagle.22
-
-
Junior Member
- Вес репутации
- 69
Без "промежуточных итогов" тяжко стало просматривать тему
-
Сообщение от
MOCT
а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?
не только можно , но и нужно. вот потому я прошу Gesser_a подкинуть нам новый архивчик вирусов, так по старой дружбе )))
-
-
Сообщение от
MOCT
а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?
Спам рассылается достаточно неслабо. Видимо, и этого хватает.
Плюс CA в описании упоминает о загрузке его другими троянами.
Перевод их описания я выложил тут: http://www.virusinfo.info/showthread.php?t=3894
-
-
Visiting Helper
- Вес репутации
- 76
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Sanja
Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект
-
-
Сообщение от
Зайцев Олег
Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект
Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...
-
Сообщение от
kvit
Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...
а я думаю, что это парсер логов ошибся - принял сообщение об упаковке за сообщение о вредоносной программе
-
-
Full Member
- Вес репутации
- 69
Сообщение от
MOCT
а я думаю, что это парсер логов ошибся - принял сообщение об упаковке за сообщение о вредоносной программе
Э нет, я такое часто вижу. Это точно каспер на пакованные файлы ругатся. А вот когда AntiVir на том же Jotti обругался на файл "Yoda/Packed", вот это уже похоже на ошибку парсера.
-
Сообщение от
ZDM
Э нет, я такое часто вижу. Это точно каспер на пакованные файлы ругатся. А вот когда AntiVir на том же Jotti обругался на файл "Yoda/Packed", вот это уже похоже на ошибку парсера.
я верю только в то, что вижу сам.
раз у Вас часто такое встречается - пришлите лог работы касперского, в котором он детектирует файл именно как вредоносную программу и под именем типа приведенного на картинке. всякие очеты парсеров в рассмотрение не принимаются.
-
-
Visiting Helper
- Вес репутации
- 76
>Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...
Ошибаетесь... в 99% пишется унпакер
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Full Member
- Вес репутации
- 69
Сообщение от
MOCT
раз у Вас часто такое встречается - пришлите лог работы касперского, в котором он детектирует файл именно как вредоносную программу и под именем типа приведенного на картинке.
Надо верить людям
Логи всегда можно сфабриковать, так что если Вы не верите мне ... то зачем вам логи. А файлы кидать я не собираюсь.
А парсеры тут непричём, просто попользуйтесь Каспером какое то время, сами всё увидите (кстати последнее время от такие перлы откалывает ... могу выкладку таких детектов подобрать, но это опять таки логи )
-
Сообщение от
ZDM
Надо верить людям
как-нибудь в другой раз
Сообщение от
ZDM
Логи всегда можно сфабриковать, так что если Вы не верите мне ... то зачем вам логи. А файлы кидать я не собираюсь.
А парсеры тут непричём, просто попользуйтесь Каспером какое то время, сами всё увидите (кстати последнее время от такие перлы откалывает ... могу выкладку таких детектов подобрать, но это опять таки логи
)
у меня в графическом файле сдетектировал зеленых человечков. проверил - и правда зеленые человечки...
-
-
Сообщение от
Sanja
Ошибаетесь... в 99% пишется унпакер
Я основывал свои выводы на высказываниях Dr.Golova:
Сообщение от
Dr.Golova
vmprotect_105b3.exe
по велению тов. Касперского субж объявлен вирусом
А вот если бы продукт был коммерческим, этот подход бы непрокатил. Хотя некоторые AV даже SVKP детектят как Virus.SVKP =)
А насчет тенденции это понятно, если каждый китайский школьник считает своим долгом написать "пакер", то его проще задетектить чем впихивать в движок распаковку, учитывая что этот пакер встретится на сотне китайских же троянов и одной полулегальной китайской же проге (типа кейлоггер но с анинсталлером
-
Промежуточные результаты:
-
Цитата:
Сообщение от Sanja
Чудеса... или касперы начали эвристику развивать?
http://img257.imageshack.us/img257/2...ristic23xb.png
Сообщение от
Зайцев Олег
Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект
Угу, именно так. Не в первый раз такое вижу - вот это, к примеру:
DrWeb Trojan.Lopata http://65.75.151.192/cntr/bin/latest.exe
(ссылка уже не действует, перенесли куда-то)
каспером детектилось как Win32.Crypt.l
причем, судя по l - очередная модификация.
Эвристиком тут, конечно, и не пахло. Как и лечением - в смысле чистки от упакованного внутри трояна/червя. Только удаление файла.
-
-
Visiting Helper
- Вес репутации
- 76
> а судя по всему детект одноименного хакерского криптера-упаковщика
Подтверждаю - такая запись есть в базах
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Visiting Helper
- Вес репутации
- 76
> в смысле чистки от упакованного внутри трояна/червя
Г это пока перебор - если анпакер и можно написать то пакер в 5 раз сложнее
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-