Исследование антивирусов 2

[MOCT]

Это другой случай. Данный вариант Bagle не имеет функции размножения. Видимо, рассылали по спамерским спискам и брали два соседних адреса из отсортированных по алфавиту.

а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?

[Grey]

This is a report processed by VirusTotal on 11/07/2005 at 10:30:09 (CET) after scanning the file "SLaunch.dll" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 11.07.2005 no virus found
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.07.2005 no virus found
BitDefender 7.2 11.07.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 no virus found
ClamAV devel-20050917 11.06.2005 Trojan.Gobot-7
DrWeb 4.33 11.07.2005 no virus found
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.07.2005 no virus found
Fortinet 2.48.0.0 11.06.2005 no virus found
F-Prot 3.16c 11.06.2005 no virus found
Ikarus 0.2.59.0 11.06.2005 no virus found
Kaspersky 4.0.2.24 11.07.2005 no virus found
McAfee 4621 11.05.2005 MultiDropper-JD
NOD32v2 1.1277 11.05.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.06.2005 no virus found
Sophos 3.99.0 11.07.2005 no virus found
Symantec 8.0 11.06.2005 no virus found
TheHacker 5.9.1.029 11.07.2005 no virus found
VBA32 3.10.4 11.06.2005 no virus found
-------
Сама Dll-ка - это FAR-оский плагин.

[anton_dr]

This is a report processed by VirusTotal on 11/08/2005 at 10:07:46 (CET) after scanning the file "__1087" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.08.2005 no virus found
Avast 4.6.695.0 11.07.2005 Win32:Beagle-gen5
AVG 718 11.03.2005 I-Worm/Bagle
Avira 6.32.0.6 11.07.2005 no virus found
BitDefender 7.2 11.08.2005 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 11.07.2005 (Suspicious) - DNAScan
ClamAV devel-20050917 11.07.2005 no virus found
DrWeb 4.33 11.07.2005 no virus found
eTrust-Iris 7.1.194.0 11.08.2005 no virus found
eTrust-Vet 11.9.1.0 11.08.2005 Win32.Mitglieder.DG
Fortinet 2.48.0.0 11.08.2005 suspicious
F-Prot 3.16c 11.07.2005 could be infected with an unknown virus
Ikarus 0.2.59.0 11.07.2005 Email-Worm.Win32.Bagle.EE
Kaspersky 4.0.2.24 11.08.2005 Email-Worm.Win32.Bagle.pac
McAfee 4622 11.07.2005 W32/Bagle.gen
NOD32v2 1.1278 11.07.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 11.08.2005 W32/Malware
Panda 8.02.00 11.07.2005 Trj/Mitglieder.gen
Sophos 3.99.0 11.08.2005 no virus found
Symantec 8.0 11.07.2005 no virus found
TheHacker 5.9.1.030 11.07.2005 W32/Bagle.GEN@MM
VBA32 3.10.4 11.06.2005 suspected of Email-Worm.Bagle.22

[Dynamo_Kiev]

Без "промежуточных итогов" тяжко стало просматривать тему

[qantrom]

а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?

не только можно , но и нужно. вот потому я прошу Gesser_a подкинуть нам новый архивчик вирусов, так по старой дружбе )))

[Alexey P.]

а что же это за "вирус" такой? нафига он тогда нужен? посмотреть на него где можно?

Спам рассылается достаточно неслабо. Видимо, и этого хватает.
Плюс CA в описании упоминает о загрузке его другими троянами.
Перевод их описания я выложил тут: http://www.virusinfo.info/showthread.php?t=3894

[Sanja]

Чудеса... или касперы начали эвристику развивать?

http://img257.imageshack.us/img257/2...ristic23xb.png

[Зайцев Олег]

Чудеса... или касперы начали эвристику развивать?

http://img257.imageshack.us/img257/2...ristic23xb.png

Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект

[kvit]

Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект

Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...

[MOCT]

Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...

а я думаю, что это парсер логов ошибся - принял сообщение об упаковке за сообщение о вредоносной программе

[ZDM]

а я думаю, что это парсер логов ошибся - принял сообщение об упаковке за сообщение о вредоносной программе

Э нет, я такое часто вижу. Это точно каспер на пакованные файлы ругатся. А вот когда AntiVir на том же Jotti обругался на файл "Yoda/Packed", вот это уже похоже на ошибку парсера.

[MOCT]

Э нет, я такое часто вижу. Это точно каспер на пакованные файлы ругатся. А вот когда AntiVir на том же Jotti обругался на файл "Yoda/Packed", вот это уже похоже на ошибку парсера.

я верю только в то, что вижу сам.
раз у Вас часто такое встречается - пришлите лог работы касперского, в котором он детектирует файл именно как вредоносную программу и под именем типа приведенного на картинке. всякие очеты парсеров в рассмотрение не принимаются.

[Sanja]

>Это точно, есть такие загону у KAV, если пакер не сильно распространен и не является коммерческим, то проще на всё что им упаковано обзывать вирусом...

Ошибаетесь... в 99% пишется унпакер

[ZDM]

раз у Вас часто такое встречается - пришлите лог работы касперского, в котором он детектирует файл именно как вредоносную программу и под именем типа приведенного на картинке.

Надо верить людям
Логи всегда можно сфабриковать, так что если Вы не верите мне ... то зачем вам логи. А файлы кидать я не собираюсь.
А парсеры тут непричём, просто попользуйтесь Каспером какое то время, сами всё увидите (кстати последнее время от такие перлы откалывает ... могу выкладку таких детектов подобрать, но это опять таки логи )

[MOCT]

Надо верить людям

как-нибудь в другой раз

Логи всегда можно сфабриковать, так что если Вы не верите мне ... то зачем вам логи. А файлы кидать я не собираюсь.
А парсеры тут непричём, просто попользуйтесь Каспером какое то время, сами всё увидите (кстати последнее время от такие перлы откалывает ... могу выкладку таких детектов подобрать, но это опять таки логи )

у меня в графическом файле сдетектировал зеленых человечков. проверил - и правда зеленые человечки...

[kvit]

Ошибаетесь... в 99% пишется унпакер

Я основывал свои выводы на высказываниях Dr.Golova:

vmprotect_105b3.exe
по велению тов. Касперского субж объявлен вирусом

А вот если бы продукт был коммерческим, этот подход бы непрокатил. Хотя некоторые AV даже SVKP детектят как Virus.SVKP =)
А насчет тенденции это понятно, если каждый китайский школьник считает своим долгом написать "пакер", то его проще задетектить чем впихивать в движок распаковку, учитывая что этот пакер встретится на сотне китайских же троянов и одной полулегальной китайской же проге (типа кейлоггер но с анинсталлером

[kvit]

Промежуточные результаты:

[Alexey P.]

Цитата:
Сообщение от Sanja
Чудеса... или касперы начали эвристику развивать?

http://img257.imageshack.us/img257/2...ristic23xb.png

Это не чудеса, а судя по всему детект одноименного хакерского криптера-упаковщика, которым сжат исследуемый объект

Угу, именно так. Не в первый раз такое вижу - вот это, к примеру:
DrWeb Trojan.Lopata http://65.75.151.192/cntr/bin/latest.exe
(ссылка уже не действует, перенесли куда-то)
каспером детектилось как Win32.Crypt.l
причем, судя по l - очередная модификация.

Эвристиком тут, конечно, и не пахло. Как и лечением - в смысле чистки от упакованного внутри трояна/червя. Только удаление файла.

[Sanja]

> а судя по всему детект одноименного хакерского криптера-упаковщика

Подтверждаю - такая запись есть в базах

[Sanja]

> в смысле чистки от упакованного внутри трояна/червя

Г это пока перебор - если анпакер и можно написать то пакер в 5 раз сложнее