-
Сообщение от
memorex
В смысле? То есть установила прогу для "защиты", и приехал вирус? Я от адварей сейчас Lavasoft Ad-aware опставила, надеюсь, что это не то же самое....
Не, лавасофт - приличные люди.
Бред сивой кобылы, правда, порой ловят - куки всякие и т.п. ерунду, это они юзают модный на западе бзик на секурности. Себя, родного, не прорекламируешь, никто и не оценит .
Но заразу не втюхивают, это точно.
P.S. А с SAV Вы еще к нам наведаетесь, это как пить дать .
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да вроде все относительно продвинутые мониторы сейчас по своей сути руткиты с той или иной функциональностью. Вопрос, как обычно, для чего предназначен топор, для рубки дров или... %))
-
Сообщение от
Shu_b
Пришел ответ от VMS DrWeb (если кому ещё интересно...):
C:\Program Files\NoAdware4\noadwareutils.dll
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Trojan.NtRootkit.103
Это, вероятнее всего, ошибка аналитиков "Антивирусной лаборатории Данилова". Я не стал "поднимать волну" во вторник вечером, когда увидел это сообщение - думал, что тема уже исчерпала себя и фидбека больше не будет. Оказалось - нет!
Тогда же для удовлетворения любопытства я сделал две проверки этого файла, noadwareutils.dll, в онлайне (после всех этих экспериментов с программами TrojanHunter и NoAdware у меня последняя еще до сих пор установлена, а, значит, и файл на своем месте!) - на сайте DrWeb и Viruslist.com. Вот результат: DrWeb - noadwareutils.dll - OK и Viruslist - noadwareutils.dll - OK. ОК, подумал я - или не успели обновить вирусную базу, или же у меня действительно "чистый" файл! В других местах проверять было влом, решил подождать немного. И что же! Вчера DrWeb уже радостно сообщил мне, что этот файл - троян (DrWeb - noadwareutils.dll - Trojan.NtRootKit.103)! Не может быть, решил я - что-то тут не так, надо копать!
Что же оказалось? Файл noadwareutils.dll - это обычный keylogger по способу своего внедрения в процессы. Он служит для организации real-time protection в программе NoAdware 4-й версии (в 3-й, возможно, его еще не было), перехватывая в user-mode функции CreateProccessA, CreateProccessW и WinExec. Ничего подозрительно, в общем, вполне нормальный файл. Как же он тогда мог попасть в лаборатории Данилова в трояны? Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103!
В общем, полагаю, это ложная тревога. Для тех, кому интересно самостоятельно посмотреть на файл, я сделал вложение (noadwareutils.zip). Кроме того, можно зайти на сайт программы NoAdware (NoAdware.net) и скачать оттуда триальную 4-ю версию. Кстати, инсталлятор программы подписан цифровой подписью (сами же программные модули - нет), сертификат от VeriSign действителен: noadware.exe certificate. Правда, почему сертификат выдан какой-то "левой" компании - MarketFlip Technologies (не нашел о ней толком ничего, кроме того, что ее домен зарегистрирован на Go Daddy, а сайта нет вообще), и почему не подписаны сами модули - неясно...
И, самое главное - чуть не забыл! Этот файл, noadwareutils.dll, находится в "базе чистых" утилиты AVZ - и именно поэтому утилита не давала в своем отчете информацию о том, что это keylogger!!! Как он туда попал (вполне заслуженно, впрочем!) и когда - это уже вопрос к Олегу Зайцеву.
Последний раз редактировалось aintrust; 14.08.2007 в 22:40.
-
-
Сообщение от
aintrust
Как же он тогда мог попасть в лаборатории Данилова в трояны?
Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку.
Сообщение от
aintrust
Возможный сценарий такой: файл был "выдернут из контекста", т.е. послан им на исследование без своего окружения (без головного модуля и без к.-л. исследования системы, где был обнаружен), что и привело к ошибке аналитиков. Они, очевидно, не знали о программе NoAdware и, даже не поискав в Интернете ссылки на этот файл, увидели перехваты, не разобравшись, что к чему, и нате вам - новый троян Trojan.NtRootKit.103!
Естественно, пересылались только те файлы, которые были присланы, но не совсем без контекста... ссылка на эту тему была включена в письмо.
на данный момент так:
DrWeb 4.33 03.16.2006 Trojan.NtRootKit.103
Ewido 3.5 03.16.2006 Adware.WebRebates
-
-
Сообщение от
Shu_b
Странный вопрос... если я давал ответ от VMS, то логично что я туда и отсылал его на проверку.
Нет, я тут другое имел ввиду: не путь (способ) попадания, а "логику" попадания - т.е. что заставило ребят из лаборатории так думать об этом файле!
Сообщение от
Shu_b
Естественно, пересылались только те файлы, которые были присланы, но не совсем без контекста... ссылка на эту тему была включена в письмо.
Ну, а что еще вы могли сделать в вашей ситуации? Вы-то как раз все сделали правильно - это просто недоработка аналитиков. В данной ситуации невозможно (или затруднительно) было провести анализ "вне контекста", а аналитики, насколько я понимаю, его (контекст) так и не получили - это следует уже хотя бы из того факта, что головной модуль этой программы, NoAdware4.exe, который управляет этой noadwareutils.dll, обеспечивает ее внедрение в процессы и всячески с ней взаимодействует, не попал в трояны (я только что специально это проверил).
Сообщение от
Shu_b
на данный момент так:
DrWeb 4.33 03.16.2006 Trojan.NtRootKit.103
Ewido 3.5 03.16.2006 Adware.WebRebates
Хм... Ну, с первым, допустим, мне все ясно. А вот со вторым надо разбираться, т.к. описания на сайте Ewido я не нашел, поэтому трудно судить, что они имеют ввиду. Лично я, допустим, никакого adware в программе NoAdware не заметил, хотя и видел в и-нете какие-то нарекания на этот счет (м.б., это в старой версии было?). С другой же стороны, со стороны компании Ewido это может быть такая своеобразная форма конкурентной борьбы - пристреливать "чужаков" на рынке...
Последний раз редактировалось aintrust; 16.03.2006 в 13:24.
-
-
Сообщение от
aintrust
Кстати, инсталлятор программы подписан цифровой подписью (сами же программные модули - нет), сертификат от VeriSign действителен:
noadware.exe certificate. Правда, почему сертификат выдан какой-то "левой" компании - MarketFlip Technologies (не нашел о ней толком ничего, кроме того, что ее домен зарегистрирован на Go Daddy, а сайта нет вообще), и почему не подписаны сами модули - неясно...
троянов подписанных цифровой подписью - ВАГОН.
-
-
Сообщение от
Shu_b
Ewido 3.5 03.16.2006 Adware.WebRebates
а это уже серьезная заявка. то ли автор один, то ли и правда используется в WebRebates
-
-
Сообщение от
MOCT
а это уже серьезная заявка. то ли автор один, то ли и правда используется в WebRebates
Возможно и первое, и второе, и даже оба одновременно - кто их там разберет! Однако в безвредности этой отдельно взятой dll-ки я почти не сомневаюсь (пишу почти, т.к. не хочу заниматься детальной трассировкой - мне, в общем, и так все ясно). Как правильно заметил Xen - это как история с топором: можно и дом построить, а можно и старуху-процентщицу замочить. Так и с этой dll...
PS. Только что обсудили с Олегом Зайцевым ее попадание в базу "чистых" AVZ. Он ее тоже смотрел - ничего подозрительного...
PPS. Заодно и еще одно замечание:
Сообщение от
MOCT
троянов подписанных цифровой подписью - ВАГОН.
Я статистику по троянам не собираю - для уточнения сейчас спросил у Олега, действительно ли это так? Он говорит, что подписанный троян - большая редкость. Очень часто подписывают adware/spyware - но это и не удивительно, т.к. типа почти "легально"...
Последний раз редактировалось aintrust; 16.03.2006 в 14:30.
-
-
Сообщение от
aintrust
И, самое главное - чуть не забыл!
Этот файл,
noadwareutils.dll, находится в "базе чистых" утилиты AVZ - и именно поэтому утилита не давала в своем отчете информацию о том, что это keylogger!!! Как он туда попал (вполне заслуженно, впрочем!) и когда - это уже вопрос к Олегу Зайцеву.
Этот файл попал в базы 2006-03-07, т.е. совсем недавно. Я мельком посмотрел его (как обычно - дизассемблер + причие анализаторы), по моему мнению это что-то типа монитора для RealTime защиты. Вот он и попал в базы чистых, я думаю вполне законно. Кстати, в базы одновременно с ним еще один экспонат попал zlbw.dll - библиотека-компрессор. Ее часто детектят антивирусы и антишпионы, т.к. она применяется спам-ботами (но при этом совершенно безопасна)
Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов
Последний раз редактировалось Зайцев Олег; 16.03.2006 в 14:31.
-
-
Сообщение от
aintrust
Возможно и первое, и второе, и даже оба одновременно - кто их там разберет!
Однако в безвредности этой отдельно взятой dll-ки я почти не сомневаюсь (пишу
почти, т.к. не хочу заниматься детальной трассировкой - мне, в общем, и так все ясно). Как правильно заметил
Xen - это как история с топором: можно и дом построить, а можно и старуху-процентщицу замочить. Так и с этой dll...
когда я ее разглядывал, я сказал, что добавление или недобавление в базы зависит от того, кто анализирует и насколько он параноидален, т.е. на любителя (на форуме такого не нашел - наверно нетмылом кому-то написал).
Сообщение от
aintrust
Я статистику по троянам не собираю - для уточнения сейчас спросил у Олега, действительно ли это так? Он говорит, что подписанный троян - большая редкость. Очень часто подписывают adware/spyware - но это и не удивительно, т.к. типа почти "легально"...
пардон, но я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan" - все выполняют не то, что нужно (поэтому так обобщающе выразился). и таких файлов реально полно.
-
-
я не вижу принципиальных различий между понятиями "spyware, dialer или что-то типа того" и "trojan"
Принципиальные различия, технические и... экономические - есть.
-
Сообщение от
Xen
Принципиальные различия, технические и... экономические - есть.
вот в плане функциональности - есть. а в плане необходимости детектирования - нет.
-
-
Насчет необходимости детектирования согласен ;-)
-
Сообщение от
Зайцев Олег
Этот файл попал в базы 2006-03-07, т.е. совсем недавно. Я мельком посмотрел его (как обычно - дизассемблер + причие анализаторы), по моему мнению это что-то типа монитора для RealTime защиты. Вот он и попал в базы чистых, я думаю вполне законно. Кстати, в базы одновременно с ним еще один экспонат попал zlbw.dll - библиотека-компрессор. Ее часто детектят антивирусы и антишпионы, т.к. она применяется спам-ботами (но при этом совершенно безопасна)
Т.е. вопрос в том, чья это защита - заразы или нет.
На zlbw.dll аналитики дрвеба уже давненько ответили - "это не вирус". Отправлял как-то со спамботом, было.
Вообще они правильно относятся к этим вещам - если файл сам по себе безвреден, то детектировать его не будут. Достаточно сообщить, а лучше отправить. Безвинно задетектированные уберут из баз, без проблем.
Еще любопытный факт - Web детекировал еще ряд экспонатов из коллекции чистых файлов
Во-во. Хорошо бы с ними разобраться - чьи файлы.
С месяц назад мельком заметил, что некоторые файлы в автозапуске из комплекта заразы помечены зеленым цветом, но дело было уже глубокой ночью и вникать было уже некогда. А потом уже не нашел, на что именно. Давно хочу предложить перепроверить базу чистых, имхо, что-то там все же есть не слишком гуманное.
Если действительно зря детектят - отправь, плиз. Уберут и добавят в свою базу чистых (в тест-лабе).
Адреса, думаю, знаешь - [email protected], веб-форма http://support.drweb.com/sendnew. И там, и там есть учет, придет тикет от RT.
-
-
Сообщение от
Alexey P.
На zlbw.dll аналитики дрвеба уже давненько ответили - "это не вирус".
меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят!
-
-
Сообщение от
MOCT
меня умиляют их ответы - на все говорят "это не вирус". заметьте: то, что это не троян, они не говорят!
Нет, "это не вирус" - четко означает harmless.
Мне их позиция как раз кажется правильной - если этот софт сам по себе безопасен и лишь используется в составе каких-то троянов - максимум занесут в рискварь. Детектится лишь опасный софт.
Бывают ошибки, конечно, аналитики действительно здорово загружены и не всегда есть время для детального анализа. Но в целом так.
Можно с ними поспорить - лучше для этого занести отдельным запросом, т.к. ответы на уже обработанные тикеты смотрят довольно редко, можно прождать долго. Это неправильно, конечно, но оно есть.
-