Вирус Win32.Polipos

[serge]

Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):

http://virusscan.jotti.org
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Win32.Polipos.A
ClamAV Found nothing
Dr.Web Found Win32.Polipos
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found P2P-Worm.Win32.Polipos.a
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Virus.Win32.Polipos.A

http://www.virustotal.com
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.21.2006 no virus found
Avira 6.34.0.56 04.21.2006 no virus found
BitDefender 7.2 04.22.2006 Win32.Polipos.A
CAT-QuickHeal 8.00 04.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.22.2006 no virus found
DrWeb 4.33 04.21.2006 Win32.Polipos
eTrust-InoculateIT 23.71.136 04.22.2006 Win32/Polipos!Worm
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.21.2006 no virus found
Fortinet 2.71.0.0 04.22.2006 W32/Polipos.V12
F-Prot 3.16c 04.21.2006 no virus found
Ikarus 0.2.59.0 04.21.2006 no virus found
Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a
McAfee 4746 04.21.2006 no virus found
NOD32v2 1.1501 04.21.2006 no virus found
Norman 5.90.16 04.21.2006 no virus found
Panda 9.0.0.4 04.21.2006 no virus found
Sophos 4.04.0 04.21.2006 W32/Polipos-A
Symantec 8.0 04.22.2006 no virus found
TheHacker 5.9.7.132 04.21.2006 no virus found
UNA 1.83 04.21.2006 no virus found
VBA32 3.11.0 04.19.2006 Virus.Win32.Polipos.A

[K_Mikhail]

Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):

http://virusscan.jotti.org
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Win32.Polipos.A
ClamAV Found nothing
Dr.Web Found Win32.Polipos
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found P2P-Worm.Win32.Polipos.a
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Virus.Win32.Polipos.A

http://www.virustotal.com
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.21.2006 no virus found
Avira 6.34.0.56 04.21.2006 no virus found
BitDefender 7.2 04.22.2006 Win32.Polipos.A
CAT-QuickHeal 8.00 04.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.22.2006 no virus found
DrWeb 4.33 04.21.2006 Win32.Polipos
eTrust-InoculateIT 23.71.136 04.22.2006 Win32/Polipos!Worm
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.21.2006 no virus found
Fortinet 2.71.0.0 04.22.2006 W32/Polipos.V12
F-Prot 3.16c 04.21.2006 no virus found
Ikarus 0.2.59.0 04.21.2006 no virus found
Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a
McAfee 4746 04.21.2006 no virus found
NOD32v2 1.1501 04.21.2006 no virus found
Norman 5.90.16 04.21.2006 no virus found
Panda 9.0.0.4 04.21.2006 no virus found
Sophos 4.04.0 04.21.2006 W32/Polipos-A
Symantec 8.0 04.22.2006 no virus found
TheHacker 5.9.7.132 04.21.2006 no virus found
UNA 1.83 04.21.2006 no virus found
VBA32 3.11.0 04.19.2006 Virus.Win32.Polipos.A

Вот и остальные подтягиваются...

[_HEKTO_]

Вот такое получается соревнование

DrWeb идет вне конкурса, а на остальных можно посмотреть. Тут тебе и скорость реакции на новые угрозы, и способность разбираться со "сложными" случаями.

Что-то вроде теста антивирусов от DrWeb(R)

Во всем можно найти положительную строну.

[_HEKTO_]

Состояние на данный момент (файл свежерастравленный и нигде пока не засвеченный):

А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию? Были, например, высказывания, что после заражения система сразу же рушится.

[Iceman]

А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию? Были, например, высказывания, что после заражения система сразу же рушится.

поддерживаю вопрос. интересно услышать мнение "незаинтересованной" стороны

[Sanja]

>Вот и остальные подтягиваются...

Это все к теме что "Ни один антивирус неспособен" и "Только у дрвеба движок высокотехнологичный". Хотя на самом деле все сводится к тому что вирус нераспространен и не попал на стол аналитикам по (значимости или как обьект).

[Sanja]

DrWeb 4.33 04.21.2006 Win32.Polipos
Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a

Ж))) В выходные базы не выпускам?

[Ilya_K]

DrWeb 4.33 04.21.2006 Win32.Polipos
Kaspersky 4.0.2.24 04.22.2006 P2P-Worm.Win32.Polipos.a

Ж))) В выходные базы не выпускам?

По необходимости выпускаем.

Можно даже посмотреть на updates.drweb.com :-)

[Ilya_K]

"Если не видно разницы, то зачем платить больше?" (с) реклама

Complete scanning result of "c.exe", received in VirusTotal at 04.22.2006, 15:45:08 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.21.2006 no virus found
AVG 386 04.21.2006 no virus found
Avira 6.34.0.56 04.22.2006 no virus found
BitDefender 7.2 04.22.2006 Win32.Polipos.A
CAT-QuickHeal 8.00 04.21.2006 no virus found
ClamAV devel-20060202 04.22.2006 no virus found
DrWeb 4.33 04.21.2006 Win32.Polipos
eTrust-InoculateIT 23.71.136 04.22.2006 no virus found
eTrust-Vet 12.4.2171 04.21.2006 no virus found
Ewido 3.5 04.22.2006 no virus found
Fortinet 2.71.0.0 04.22.2006 W32/Polipos.V12
F-Prot 3.16c 04.21.2006 no virus found
Ikarus 0.2.59.0 04.21.2006 no virus found
Kaspersky 4.0.2.24 04.22.2006 no virus found
McAfee 4746 04.21.2006 no virus found
NOD32v2 1.1502 04.22.2006 no virus found
Norman 5.90.16 04.21.2006 no virus found
Panda 9.0.0.4 04.22.2006 no virus found
Sophos 4.04.0 04.21.2006 no virus found
Symantec 8.0 04.22.2006 no virus found
TheHacker 5.9.7.133 04.22.2006 no virus found
UNA 1.83 04.21.2006 no virus found
VBA32 3.11.0 04.22.2006 Virus.Win32.Polipos.A

:-(

[serge]

А можно услышать мнение VBA по поводу этой заразы? Действительно ли оно потенциально способно вызвать эпидемию?

Если к нему в следующей модификации приделают 'крылья', т.е. массовую e-mail рассылку, то эпидемия вполне возможна. Будет ли такая модификация? Не знаю. Дело в том, что люди, способные написать вирус такой сложности, обычно не совсем отморожены Они понимают, что в случае эпидемии и больших сумм ущерба все чревато проблемами с правоохранительными органами. Если поймают, мало не покажется. Поэтому высокотехнологичные вирусы обычно не рассчитаны на массовое распространение и размножаются только в специально созданных условиях, т.е. представляют из себя концепт-вирусы и оседают в коллекциях.

Были, например, высказывания, что после заражения система сразу же рушится.

Такое встречается сплошь и рядом. Очень многие поделия содержат множество ошибок и некорректно инфицируют файлы. В случае таких проблемных вирусов, лечение системы не дает полного восстановления работоспособности и поэтому лечение для них делается только в исключительных случаях. Если кто помнит, например, не так давно была такая история: http://virusinfo.info/showthread.php?t=3544

"Если не видно разницы, то зачем платить больше?" (с) реклама

Не переживайте, все будет нормально Как видно, у части антивирусов (KAV, Sophos, eTrust-InoculateIT) еще не реализовано полное детектирование всех вариантов (как и у нас было вчера), но прогресс есть, люди работают. Подождем еще.

У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим. Вчера должно было ловиться большинство инфицированных файлов (из нашей коллекции так точно ловились все), но в самый последний момент обнаружилось, что часть файлов из коллекций других людей все же не детектируется. Скорее всего та же самая же проблема сейчас и у KAV и у остальных, если они еще ее не успели решить, пока я пишу эти строки

Кстати, на вашем месте, я бы не так сильно радовался. DrWeb ловит данный вирус очень хорошо, но все же не во всех файлах, он как минимум пропускал один инфицированный файл из нашей коллекции сегодня утром. Если интересно, можете попробовать потестировать сканер VBA32 на вашей коллекции, если мы что-то тоже пропускаем, потом обменяемся военнопленными

[незарег]

Если к нему в следующей модификации приделают 'крылья', т.е. массовую e-mail рассылку, то эпидемия вполне возможна. Будет ли такая модификация? Не знаю. Дело в том, что люди, способные написать вирус такой сложности, обычно не совсем отморожены Они понимают, что в случае эпидемии и больших сумм ущерба все чревато проблемами с правоохранительными органами. Если поймают, мало не покажется. Поэтому высокотехнологичные вирусы обычно не рассчитаны на массовое распространение и размножаются только в специально созданных условиях, т.е. представляют из себя концепт-вирусы и оседают в коллекциях.

его крылья - осел. should be enough. (c)

Такое встречается сплошь и рядом. Очень многие поделия содержат множество ошибок и некорректно инфицируют файлы. В случае таких проблемных вирусов, лечение системы не дает полного восстановления работоспособности и поэтому лечение для них делается только в исключительных случаях. Если кто помнит, например, не так давно была такая история: http://virusinfo.info/showthread.php?t=3544



Не переживайте, все будет нормально Как видно, у части антивирусов (KAV, Sophos, eTrust-InoculateIT) еще не реализовано полное детектирование всех вариантов (как и у нас было вчера), но прогресс есть, люди работают. Подождем еще.

У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим. Вчера должно было ловиться большинство инфицированных файлов (из нашей коллекции так точно ловились все), но в самый последний момент обнаружилось, что часть файлов из коллекций других людей все же не детектируется. Скорее всего та же самая же проблема сейчас и у KAV и у остальных, если они еще ее не успели решить, пока я пишу эти строки

Кстати, на вашем месте, я бы не так сильно радовался. DrWeb ловит данный вирус очень хорошо, но все же не во всех файлах, он как минимум пропускал один инфицированный файл из нашей коллекции сегодня утром. Если интересно, можете попробовать потестировать сканер VBA32 на вашей коллекции, если мы что-то тоже пропускаем, потом обменяемся военнопленными

dr.Web его еще и лечит...

[DaUzh]

У VBA32 сегодня утром (на момент моего сообщения со статистикой детектирования) был выпущен апдейт с обновленной записью на данный вирус. Возможно теперь ловятся все файлы с данным вирусом, возможно процент детектирования близок к 100%. Посмотрим.

А 70% не хотите? Вы - антивирус?

[serge]

А 70% не хотите? Вы - антивирус?

Да, хотим... пропущенные сэмплы. Или хотя бы какую-то их часть для анализа.

Правда давайте сначала попробуем спокойно разобраться: какой версией программы проверяли, точная дата выхода обновления (информация имеется в файле *.ini файле в каталоге VBA32), с какими настройками запускали сканирование?

Спрашиваю потому, что по информации из англоязычного форума (прямо сейчас проверить не могу), похоже, мы забыли обновить бета версию и у нее есть некоторые проблемы с детектированием Win32.Polipos

Если проверка детектирования проводилась с помощью онлайн ресурсов, так и скажите. Если нет, скажите пожалуйста размер выборки для тестирования (сколько инфицированных файлов всего и сколько из них обнаружено) и попробуйте проверить хотя бы часть из пропущенных файлов на virustotal (там точно работает release build с самыми последними базами и самыми 'правильными' настройками) и сообщите, что получится.

Ждем результатов. Спасибо.

В целях тестирования можно:
1. скачать консольный сканер VBA32: ftp://anti-virus.by/pub/vbacl-window...0-20060420.zip
2. обязательно его обновить запуском 'update.bat'
3. проверить каталог с коллекцией вирусов: 'vba32w.exe /af/ha/ok/mr-/bt-/as-/r= [имя_каталога]'
4. посмотреть статистику и файл отчета vba32.rpt, если будет что-то интересное, сообщить тут

[Синауридзе Александр]

Почему у бета версии есть некоторые проблемы с детектированием? Можно поподробней?
Virustotal в последнее время работает нестабильно. Часто глючит, а иногда выдает вообще ошибочную информацию.
Да, и давно хотел спросить у разработчиков, а зачем убрали символ [/] при сканировании в beta ведь с ним скан смотрелся интереснее?

[serge]

Почему у бета версии есть некоторые проблемы с детектированием? Можно поподробней?

Бета версия просто была обновлена чуть позже, чем релиз (поскольку у релиза приоритет выше). На данный момент Win32.Polipos уже должен детектироваться как релизом, так и последней бетой.

Virustotal в последнее время работает нестабильно. Часто глючит, а иногда выдает вообще ошибочную информацию.

Наверное перегружен от наплыва пользователей, желающих проверить свои файлы в связи с последними событиями.

Да, и давно хотел спросить у разработчиков, а зачем убрали символ [/] при сканировании в beta ведь с ним скан смотрелся интереснее?

Посчитали его ненужным аппендиксом, но об этом лучше в соответствующем топике: http://virusinfo.info/showthread.php?t=3623

[Синауридзе Александр]

Посчитали его ненужным аппендиксом, но об этом лучше в соответствующем топике: http://virusinfo.info/showthread.php?t=3623[/QUOTE]
Очень зря, что так посчитали. И многие такого мнения (кроме разработчиков). Назад Вы конечно это не вернете. А зря.

[Синауридзе Александр]

Без [/] консольный VBA стал напоминать мне Aidstest

[Синауридзе Александр]

Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол
Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость.

[saicat]

И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"? А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть

http://forum.drweb.com/index.php?met...st&fromid=2810

[Синауридзе Александр]

[QUOTE=saicat]И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"? А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть

Да, верно говоришь. Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать!