-
Касперский обнаружил Packed.Win32.PolyCrypt.b
При ежемесячной проверке Касперский обнаружил в аське (поставил последний билд + русификатор) Packed.Win32.PolyCrypt.b. На http://www.viruslist.com/ru/viruses/encyclopedia?virusid=156717 описания вообще никакого нет. Packed-это паковщик? в вирлабе KL его решили попросту задетектить сигнатурно, но при чем тут аська, опасное ПО?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Это значит что файл "закриптован" при помощи RPolyCrypt
как правило криптуют зловредов.. но если закриптовать им даже нормальный файл - вердикт будет Packed.Win32.PolyCrypt.b (что довольно нелогично)
Вот этот криптор
Последний раз редактировалось mayas; 11.07.2007 в 20:49.
-
Да спасибо я разобрался, Каспер ругался не на саму аську, а на заархивированный дистрибутив и русификатор который я не удалил из папки downioads после закачки.
-
-
Сообщение от
SDA
но при чем тут аська, опасное ПО?
Думаю - false positive.
-
-
Ошибочный допуск [к системе] Касперского
-
-
Каспер реагирует так только на те пакеры, которые используются только в малваре. Чтоб не тратить процессорное время на распаковку. Так что в довесок к русику там может быть пинч.
-
-
Каспер реагирует так только на те пакеры, которые используются
только в малваре.
Точнее, наверное, будет - "используются часто в малваре"
-
-
Сообщение от
Alex_Goodwin
Каспер реагирует так только на те пакеры, которые используются только в малваре.
нет, далеко не на все
-
Обычно используются только в малваре и в самоделках на коленке народных умельцев. Приведите пример серьезной проги запакованой поликрипт.
-
-
Сообщение от
Alex_Goodwin
Обычно используются только в малваре и в самоделках на коленке народных умельцев. Приведите пример серьезной проги запакованой поликрипт.
я не про это. странно с сортировкой самих хак-криптеров лабораторией Касперерского
большинство написанных что называется "на коленке" для криптовки зловредов заносят в базу известных им пакеров. или же присаваювают статус Packed.Win32.мегакриптор
Нормальный софт этим не криптуют по умолчанию
Последний раз редактировалось mayas; 20.05.2007 в 03:20.
-
Сообщение от
Alex_Goodwin
Обычно используются только в малваре и в самоделках на коленке народных умельцев. Приведите пример серьезной проги запакованой поликрипт.
Какая разница _чем_ упакован файл ?
Скоро дойдём что вирусы будут ловить по названию файлов ?
-
-
Если ничего другого укроме вируса этим не пакуется, то смысл какой распаковывать? Тратим процессорное время - пожем этого семпла не знать и т.д. А юзеру все равно что там пинч или еще что-нибудь. ему главное чтоб быстро все нашлось и убилось. Большинство антивирусов так детектируют - Доктор Вэб, симантек и другие. Нод кстати тоже. Так что это нормальная практика и не надо преувеличивать.
-
-
Если есть хоть один незловред упакованный им это уже не проблема паковщика , а проблема вирусной лаборатории
-
-
Surfer, это проблема автора программы. Мало на свете нормальных пакеров?
-
-
RPolyCrypt - это не пакер, а криптор. Он применяется для криптования пинчей (ну или других малвар). Цель криптования - спрятать пинча от антивирусов.
Ну и понятно, что никакого смысла нет обрабатывать этим криптором какую-нибудь программу не являющуюся вирусом.
-
-
Full Member
- Вес репутации
- 74
Сообщение от
Alex_Goodwin
Если ничего другого укроме вируса этим не пакуется, то смысл какой распаковывать? Тратим процессорное время - пожем этого семпла не знать и т.д. А юзеру все равно что там пинч или еще что-нибудь. ему главное чтоб быстро все нашлось и убилось. Большинство антивирусов так детектируют - Доктор Вэб, симантек и другие. Нод кстати тоже. Так что это нормальная практика и не надо преувеличивать.
относительно Доктор Вэб можно подробнее? Что именно Доктор так детектирует и как именно так ? И примеры ложных срабатываний покажите, если есть.
-
Я не говорил про ложные срабатывания, хотя и такие бывают у доктора. Я говорил про то, что у него бывает вердикт "Packed".
-
-
Сообщение от
Alex_Goodwin
Я говорил про то, что у него бывает вердикт "Packed".
Пример покажете? Сколько пользуюсь Доктором, ни разу не видел.
У Доктора есть Trojan.Packed.хххх, но это не реакция на пакер/криптор.
Кстати, и Доктор, и каспер ПолиКрипт обрабатывают корректно.
-
Я доктора не юзаю. Видел на вирустотал. Может и троян.пакед. Тогда что это обозначает?
-
-
Сообщение от
userr
относительно Доктор Вэб можно подробнее? Что именно Доктор так детектирует и как именно так ? И примеры ложных срабатываний покажите, если есть.
Есть сомнения?
Например: паблик джойнер BEJoiner (в данном случае версии 1.0.1) - склееваем любой файл (например 2 Txt), проверяем - вердикт Trojan.MulDrop.6269
Но это не ложняк. Так делают многие вендоры. Ибо всякие киддисы юзают этот джойнер только для одной цели - отвлечь внимание юзера картинкой и т.п. тогда как например пинч будет делать свое черное дело. Больше этот склейщик не для чего не применяется.
-