Вирус Win32.Polipos

[Casper]

Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол
Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость.

А отчеты проверок не предоставите?

[Ilya_K]

Да, слишком от темы отошли. Теперь по теме. Из образцов которые у меня имеются VBA не детектит 1, а Dr.Web - 2 !!!!!!! Вот прикол
Да, перехвалили себя Dr.Web-овцы. Хорошо, что самую малость.

Позвольте узнать, как вы определили, что эти файлы "грязные"?

И для них не плохо бы статистику с www.virustotal.com (скриншот).

[Синауридзе Александр]

А отчеты проверок не предоставите?

Отчет я не собирался делать, но один из вариантов определяет только BitDefender и VBA.

[K_Mikhail]

А Вы, всё-таки, сделайте отчёт, пожалуйста. Для наглядного подтверждения Ваших же слов.

[Casper]

Отчет я не собирался делать, но один из вариантов определяет только BitDefender и VBA.

Всё таки Ваши слова имели бы бОльше веса, если бы Вы предоставили здесь скриншоты проверок этого файла на Virustotal!
Сам файл то, наверное, остался!

[Синауридзе Александр]

Позвольте узнать, как вы определили, что эти файлы "грязные"?

Очень просто. Просканил архив антивирусами которые у меня были (BitDefender 8 и VBA console). Dr.Web on line - OK. Сейчас у меня NOD32 стоит, но он пока ничего не определяет. Правда вчера, он поймал эвристиком нового червя (молодец!!!). Я Вам вчера отправил его и через 30 минут получил ответ о добавлении в базы (новый Perf).

И для них не плохо бы статистику с www.virustotal.com (скриншот).

На virustotal я заразу проверяю редко. virusscan.jotti.org вообще загружен. Приходится ждать до потери пульса. Лучше на сайтах антивирусного ПО проверить и надежнее.

[K_Mikhail]

На virustotal я заразу проверяю редко. virusscan.jotti.org вообще загружен. Приходится ждать до потери пульса. Лучше на сайтах антивирусного ПО проверить и надежнее.

virusscan.jotti.org на данный момент более менее свободен, а virustotal - что-то вроде эталона. Так что, ждём наглядного отчёта либо с virusscan.jotti.org, либо с virustotal.

[Tengu]

Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать!

о чем речь? о каком хвастовстве говорится?
Обратите внимание на хронологию событий. Доктор добавил в базы вирус win32.polipos,
как многим тут казавшийся концепт-вирусом. Другие вендоры тоже получили его, но
отложили из-за сложности или просто не обратили внимания. А доктор сделал свою работу,
обезопасил своих пользователей от дальнейшего заражения. При этом никаких заявлений
об опасности, которые тут называют PR-ом не было!
Вдруг на форумах начинают появляться вопросы что это за зверь, а может и не вирус вовсе?
Пользователи описывают симптомы, продвинутые вычисляют зараженные файлы и кидают их на
онлайн-проверки. Удивляются, что только доктор его детектирует, и начинают искать правду
уже непосредственно на форуме доктора. А в это время остальные антивирусники продолжают
молчать и откладывать вирус "на потом" (теперь то экземпляр зверя есть точно у всех ) или
им пользователи ничего не присылают? Тогда это просто проблемы их отношения к
пользователям и их количества.
Снова никто не "кричит". И вот сюрприз , оказывается "концепт-вирус" заразил сотни
файлов, причем не в лабораторных условиях, а в реальных, причем с весьма широкой географией.
На форумах друг другу начинают рекомендовать качать DrWeb CureIt как единственное средство
от вируса. Пользователи начинают теребить сапорты своих антивирусов, некоторые из которых
только со второго раза признают в зараженных файлах вирус . По просьбам пользователей
доктор создает лечение!
Вирус расходится, быстро заражает систему и коллекции полезного софта ( скаченного за
годы пользования p2p сетями ) у кого-то рушит системы. И только после этого доктор пишет
предупреждение.
На что другие вендоры придумываю отмазки, вроде "это грязный PR", да и вовсе это не вирус,
и заражать то он не умеет, и образец этого редкого коллекционного зверя мы получили только
сегодня. Реакция понятна, надо как-то оправдать своё бездействие перед своими пользователями.
И вот уже все уважающие себя антивирусники оперативно внесли polipos-а в свои базы,
это здорово, все пользователи довольны.

[незарег]

[QUOTE=Синауридзе Александр]

И при таком раскладе герр Данилов имеет нахальство обзывать коллег из VBA в форуме Dr.Web "псевдо-экспертами"? А как же профессиональная этика? Выходит, что с детектированием они хоть и запоздали, но сделали качественнее чем "внеконкурсная" фирма? Кто-то, помнится, тут сомневался в этом... Пусть вот теперь еще и лечение напишут, чтобы кое-кому носы утереть

Да, верно говоришь. Dr.Web-овцы взяли дурной пример с ЛК хвастать о своих подвигах. Да не зря говорят дурной пример заразителен. Лучше бы они молча добавили эту заразу в свои базы А то и на сайте похвалились и в рассылке. И везде где только можно. Даже сам г-н Данилов засветился на форуме!!!!!!!!!!!!!!
У любого антивирусного ПО есть свои недостатки и преимущества. Над недостатками надо работать, а преимущества - преумножать!

Добавили еще 35 дней назад и неделю лечат уже.

[Iceman]

первопроходцем быть всегда приятно. правда, вылилось это в разбрызгивание отстоев по сторонам. ИМХО, не нужно этого делать здесь.

[Синауридзе Александр]

Всё таки Ваши слова имели бы бОльше веса, если бы Вы предоставили здесь скриншоты проверок этого файла на Virustotal!
Сам файл то, наверное, остался!

Если мои слова для Вас веса не имеют мне все равно Сейчас меня уже гонят с работы! Смена пришла.
Файлы остались. Для неверующих отчет сделаю попозже

[Синауридзе Александр]

На форумах друг другу начинают рекомендовать качать DrWeb CureIt как единственное средство
от вируса. Пользователи начинают теребить сапорты своих антивирусов, некоторые из которых
только со второго раза признают в зараженных файлах вирус . По просьбам пользователей
доктор создает лечение!

Не знаю, я лично не скачивал ничего. Сапорты не теребил.
И тем более не просил создавать лечение!

[severyanin]

Однако встрепенулось мировое сообщество!
Давно такого не припомню. Самое удивительное здесь то, что вирусок объявлен "полуколлекционным". Это, оказывается нынче оправдание для антивирусных компаний. "коллекционные" уже не котируются, теперь дошло дело до "полуколлекционных". Кстати, кто мне объяснит, что значит "полу" в данной теме? Одним концом в коллекциях, а другим - на компьютерах пользователей?

Смешно еще, что говорится это все на форуме, где мало случайных людей - все так или иначе близки обсуждаемой теме. И тем не менее пытаются этих людей убедить, что "ведущие" антивирусные компании кладут вирусы In the Wild под сукно (или в очередь, неважно) и выдерживают его. Интересно, это потому что он полуколлекционный или потому что он сложный? Так что теперь можно будет четко сказать пользователям: все, что вам говорят про быстроту реакции - это чушь собачья. Решения о детектировании вирусов принимается совершенно из других соображений.

Интересно, что все западные компании резко рванули (причем молча) его добавлять в базы. На форумах - сначало просто признавали, что не ловят. Не кричали про дрвебовский пиар, просто признавали, что не сделали детектирование. А сейчас - поскольку резонанс явно большой - все срочно напряглись. Как результативно - посмотрим, поскольку этот вирусок явно попадет в Virus Bulletin.

А в завершение - пару ссылок:
http://www.wilderssecurity.com/showthread.php?t=128576

и, наконец,
http://securityresponse.symantec.com...w32.polip.html

Не самый большой авторитет, это понятно, но степень опасности и распространения определил, как видите, высоко.

Александру: присоединяюсь к Tengu - Доктор Веб ничего никому не кричал в течение месяца. Не передергивайте факты. Оставаться единственным антивирусом, детектирующим вирус спустя месяц после его появления, согласитесь, непривычно, мягко говоря. Причем достаточно пройтись по форумам, чтобы понять, что разговоры о вирусе пошли еще в марте - это не эпидемия, разумеется, но он жил и плодился!

[Severyanin]

Н-да, устроенным представителями Dr.Web пиаром относительно собственной гениальности в отношении борьбы с Polipos, могли бы гордиться даже матерые обещатели "конца Интернета" Куда там, ЛК отдыхает Удивляюсь, как только вебовцы успевают расхваливать себя на все лады чуть ли не на всех более-менее известных форумах, посвященных безопасности в Сети? Что, господа Данилов с Шаровым поставили "в ружье" все резервы? Есть повод воспеть "неоспоримое технологическое превосходство" собственного движка только потому, что у аналитиков веба было больше времени на анализ? Раскопать и распиарить на весь Интернет полу-коллекционный вирус, пусть даже технологически сложный, считается теперь круто? Новые методы маркетинга пошли в ход? ;-) Западные компании, кажется, вообще не слишком озабочены "эпидемией" Polipos.

Того и гляди, аналитики конкурирующих фирм между собой переругаются Не хотелось бы. Пусть лучше все живут в мире между собой и каждый совершенствует свой продукт. Тогда каждый пользователь сможет тогда выбрать себе AV по вкусу и цвету. На личности ведь перейти достаточно просто, но вот какую пользу это принесет всем нам? Я прав, народ?

Я читал-читал и не вытерпел.
Все-таки что-то побудило Вас, уважаемый saicat, написать то, что Вы написали!
Где слова про "неоспоримое технологическое превосходство" на сайте "Доктор Веб"? Почему в кавычках? Ведь это значит цитирование. Кого Вы цитируете? На сайте www.drweb.com написано только это:

"Успешное детектирование различных вариантов этого сложного полиморфика возможно благодаря высокому технологическому уровню антивирусного ядра Dr.Web." Остального в упор не вижу.

Слово "эпидемия" в информации на сайте Доктора Веба хоть где-то упоминается? Или распространение теперь приравнивается к "эпидемии"? Ну не нравится лично Вам, когда пиарится Доктор Веб - так и скажите! Хочется Вам, чтобы он сидел все время и молчал в тряпочку - ну и отлично! Зачем же перевирать то, что есть? Ну ладно бы написали они, что страшная эпидемия бушует уже 3 часа, что пользователи толпами рвутся на сайт drweb.com, админы побежали за дополнительными серверами обновлений, Dr.Web единственный детектирует зверя, а в ночь на Пасху будет конец интернета.
Упреки были бы справедливы. Но написали то ведь 30 дней спустя!
И добавили его в базы в свое время молча - именно так, как Вы теперь и советуете сделать...

[saicat]

Не самый большой авторитет, это понятно, но степень опасности и распространения определил, как видите, высоко.

Александру: присоединяюсь к Tengu - Доктор Веб ничего никому не кричал в течение месяца. Не передергивайте факты. Оставаться единственным антивирусом, детектирующим вирус спустя месяц после его появления, согласитесь, непривычно, мягко говоря. Причем достаточно пройтись по форумам, чтобы понять, что разговоры о вирусе пошли еще в марте - это не эпидемия, разумеется, но он жил и плодился!

О самом появлении этого вируса я, к примеру, узнал не от "страдающих пользователей", хотя

Полиморфик путешествовал по интернету и заражал файлы целый месяц (c) Ilya_K

а из появления моря постов на форумах и СМИ о том, что "высокотехнологичный движок суперского антивируса распознает новый безжалостный и неуловимый вирус-полиморф..." и так далее. Факты никто не передергивает. Вставка этого вируса в базы представляет собой ,imho, больше академический интерес для аналитиков, как проверку своих знаний и умений. Я не буду говорить за СНГ - тем, кто там живет, виднее, но здесь, в Германии, никто не пострадал от этого "неизлечимо-неуловимого" монстра. По крайней мере, по нашим сведениям. Мы попросили всех клиентов фирмы, (а их почти две сотни, разбросанных по разным городам) просканировать свои машины в обязательном порядке - ни у кого не оказалось ни одного экземпляра этого вируса, хотя почти все сидят на широкополосном доступе в Сеть. Предугадывая возможный вопрос скажу, что антивирусное ПО, установленное на компах наших пользователей (я умышленно не называю здесь производителя дабы избежать встречных обвинений в попытке пропиарить это ПО), определяет наличие Win32.Polipos с вероятностью, приближающейся к 100%.

И кто-то скажет, что это не пиар? Чистейшей воды. Давайте тогда каждый начнет кричать: "Мы добавили вирус ХХХ на 32 секунды раньше конкурентов!" Я даже не поленился поставить клиента Gnutella, в надежде получить экземпляр этого вируса из "живой природы", но тщетно. Революция, о которой так долго (месяц) твердили большевики из города двух революций, не получилась

Подведу итог: вместо того, чтобы грызть друг друга, доказывая, кто на свете всех умнее, всех полиморфней и быстрее, производителям антивирусного ПО из СНГ, imho, следовало бы, сотрудничая друг с другом, вывести свои продукты на такой технологический уровень, чтобы все западные производители AKA "собиральщики денег" отправились нервно курить и закрыли свой бизнес вообще Вот тогда можно будет поднять реальные деньги, а так, они перекусают друг друга еще в СНГ, на радость западным колоссам с миллионными бюджетами на глиняных ногах.

P.S. Доктор Веб я лично считаю одной из лучших программ в отрасли, но вот такая политика лично мне не по душе.

[Ilya_K]

P.S. Доктор Веб я лично считаю одной из лучших программ в отрасли, но вот такая политика лично мне не по душе.

Удивительно, что до сих пор мало кто Win32.Polipos _нормально_ детектирует.

Вы бы предпочли, что бы пользователи других антивирусов работали с Win32.Polipos в системе?

Думаю, если бы Доктор Веб промолчал, так и не детектировал бы никто .

[Severyanin]

В том, что лично Вы и все клиенты Вашей фирмы, не нашли Polipos у себя на компьютерах, нет ничего удивительного.
Участие в p2p сетях в офисах однозначно не приветствуется. Политика безопасности в этих компаниях (наверняка, разработанная не без Вашего участия) в данном случае просто не допустила попадания этого червя в сети Ваших клиентов.
Но у антивирусной компании по определению информационная база больше. И информационный поток от пострадавших больше. Надеюсь, Вы не будете с этим спорить.
Кстати, по поводу Вашего эксперимента с Gnutella - Вы не один, кто ничего не поймал. Могу предположить, что Вы не уделяли этому достаточно времени. Но те, кто к нам обратился, а также те, кто рассказал об этом на форумах (в том числе, на зарубежных) - они поймали его. А Вам просто повезло. Потому что если бы не повезло - не понятно, что бы Вы делали со своим антивирусным ПО.

А в остальном - я вижу, Вы особо не читаете то, что другие пишут... Не о 32 секундах шла речь, а о 30 днях! Такого еще просто не было...

[saicat]

Удивительно, что до сих пор мало кто Win32.Polipos _нормально_ детектирует.

Тут я полностью согласен, благодаря "рекламе" Веба наши производители антивирусов быстро побежали с ним разбираться ;-) Но кому-то недостает самплов, которые они не могут получить опять-таки из-за малой распространенности вируса, ну а кто-то просто счел его низкоприоритетным.

Вы бы предпочли, что бы пользователи других антивирусов работали с Win32.Polipos в системе?

Работать с этим вирусом в системе невозможно - он рушит её в считанные секунды после инфицирования. Поэтому и представляет чисто академический интерес. Хотя, если выйдут отлаженные модификации без "детских болезней" и чуть более протестированные, то всё может быть.

Думаю, если бы Доктор Веб промолчал, так и не детектировал бы никто .

Думаю, что все же бы сделали со временем, но не так быстро и без громких заявлений с трибуны. На скорость выхода обновлений других производителей Доктор, безусловно, повлиял в лучшую сторону. Многим аналитикам пришлось, похоже, ночевать в вирлабах, чтобы не уронить престиж продукта ;-)

[saicat]

Потому что если бы не повезло - не понятно, что бы Вы делали со своим антивирусным

Ничего - вставили бы пистон своему производителю, чтобы те начинали усиленно думать в этом направлении. При определенном количестве таких жалоб любой нормальный производитель стал бы тут же разбираться в чем дело и разобрался бы через некоторое время. Ибо, афаик, вирусов, которые бы никто из аналитиков "ниасилил", в природе нет.

А в остальном - я вижу, Вы особо не читаете то, что другие пишут... Не о 32 секундах шла речь, а о 30 днях! Такого еще просто не было...

Согласен. Я утрировал, говоря о 32 секундах Вопрос в том, кто за эти 30 дней пострадал? Пусть тут скажут словечко. Тут хочешь поймать этот вирус и не можешь этого сделать.

И потом, господин Severyanin, Вы, похоже, как и Ilya_K, имеете прямое отношение к компании Доктор Веб. Было бы неплохо указать это в своей подписи - избавили бы от необходимости выяснять это эмпирическим путем. Насколько я вижу, тут принято называть себя, если ты имеешь отношение к одной из фирм-разработчиков.

[AndreyKa]

Этот Win32.Polipos обладает какой-то загадочной способностью уводить диалог о нем во флуд. Или на самом деле причина в том, что пользователи перестали понимать, что такое файловые вирусы, а антивирусные компании не видят в них больше угрозы?
Всем возмущенным "наглостью" компании Dr.Web, посмевший заявить, что у их антивирусного ядра – "высокий технологический уровень" я хочу напомнить, что пресс-релиз вышел еще и по тому поводу, что кроме детектирования антивирус Dr.Web получил возможность лечения зараженных файлов.