68 ответов в этой теме

[Никитa]

 

А вам надо, чтобы антивирус детектировал каждый вредоносный файл?

Практика показывает, что антивирус Касперского раньше реагирует на большинство файлов, чем "Веб".

"Большинство" не означает "все вредоносные файлы".

Сообщение было изменено Никитa: 27 Июль 2022 - 20:43

[Никитa]

У Касперского тоже есть пропуски. Они есть у всех.

[Smart_D15]

что антивирус Касперского раньше реагирует на большинство файлов, чем "Веб".

Видимо, это благодаря работе облака, которым отличается данная компания.

[VVS]

что антивирус Касперского раньше реагирует на большинство файлов, чем "Веб".

Видимо, это благодаря работе облака, которым отличается данная компания.

А что, у доктора нет облака?

[Smart_D15]

А что, у доктора нет облака?

Работает не так, как у них.

[Никитa]

 

 

что антивирус Касперского раньше реагирует на большинство файлов, чем "Веб".

Видимо, это благодаря работе облака, которым отличается данная компания.

 

А что, у доктора нет облака?

 

Скорее всего Smart_D15 имел ввиду то, что облако у Dr.Web хуже, чем у продуктов "ЛК".

[SergSG]

Да, докторское облако какое то не очень облачное.

[Dmitry Shutov]

#DarkWatchman

 

RAT написанная на JavaScript, которая динамически компилирует сопутствующий кейлоггер, написанный на C#

 

https://www.prevailion.com/darkwatchman-new-fileless-techniques/

 

https://app.any.run/tasks/793845d8-917f-45e7-8b1f-3d53b6671b29#

 

Этот сэмпл не ловил, выслал. (кейлоггер на С# ловим), а саму инсталяшку и js нет.

 

drweb.com #10472008

drweb.com #10472013

 

А по сэмплу в этой теме - ловим все компоненты

 

https://app.any.run/tasks/464c00f8-c959-423a-b469-840cbe7c61dc#

 

Trojan.KeyLogger.43393

JS.BackDoor.42

Trojan.Siggen15.42182 

Сообщение было изменено Dmitry Shutov: 27 Июль 2022 - 23:04

[wypeee]

 

 

Отсутствие сигнатурного детекта в общем случае совсем не означает, что мы такой файл не будем детектировать, т.к. другие алгоритмы проверки никто не отменял. Есть превентивная защита с поведенческим анализом, защитой от эксплойтов и т.д. 
На живой системе конечно это не стоит проверять в бою, всякое возможно, но если есть интерес и какая-нибудь изолированная виртуалка, то вполне себе можно попробовать запустить там такой скрипт без сигнатурного детекта и посмотреть, что из этого выйдет.  

Ну да , ну да, наверное именно поэтому у меня Dr.web его задетектировал часов через 7 после его запуска, и через пару часов после моего тикета, после которого вы внесли его в базу.

А до этого сущая тишина .... какие там алгоритмы, что-то уже сомневаюсь...

 

 

 

lДетект есть :YKwsgkJ.png (976×436) (imgur.com)

 

 

Детект наверное есть после того как я этот файл вам выслал?))))
Не было детекта никакого. Не надо нам тут сказки рассказывать.

 

Более того, даже после появления в базе, и детектирования др.веб его опять прошляпил, после проверки.

А уже вечерняя проверка каспером обнаружила вирус в оперативной памяти! А др.веб сидел и молчал! Запущенный и обновленный сидел и молчал!

Меня вообще другое вымораживает, мне в outlook выслали архив с exe файлом но антивирус вообще не смутило это ни разу.
У файла подделано отображение т.е ехе отображается как картинка и антивирус и это не смущает - элементарщина какая-то...

Техподдержка полный ноль - никакой заинтересованности ни в лечении, ни в помощи в лечение.
Позорище блин, жалею только что лицуху покупал.

[wypeee]

Поддержка на сайте вообще смех - требуют отчет Чтобы говорить более предметно нужен отчет DwSysinfo которые невозможно через форму прикрепить - потому-что он слишком большой, но форма для вложения почему-то есть.
Скорость реакции и отношение тоже поражает.
После того как я скинул вирус, мне вяло ответили что он добавлен.

Как мне его лечить, что делать и прочее - ничего не сказали, никакой заинтересованности, жесть какая-то.

 

[wypeee]

>C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe is BINARYRES container

>>C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data001 is ZLIB container

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data001/data001 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data001/data002 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data001/data003 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data001 - Ok

>>C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002 is RAR archive

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/CMT - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/DESCRIPT.ION - Ok

>>>C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/1722423378.js is JS-HTML container

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/1722423378.js/JSFile_1[0][de37] - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/1722423378.js - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/1840025892 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/default.br2 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/vertical.br2 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/TCUNIN64.WUL - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002/QO - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe/data002 - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe - Ok

C:\Users\user\Desktop\Исполнительный лист №3178031 от 26.07.2022\Исполнительный лист №3178031 от 26.07.2022.exe - container - 265ms, 387612 bytes

 

Отрывки лога сканирования, вчерашнего.

Да да, все ОК )))

[wypeee]

https://www.virustotal.com/gui/file/c96ecdc1d1b001ca7113557e9a6c3fba9a085f755b7a8cf15ae2e8bdd293d68b

 

Вот вчерашний вирустотал, очень смешно, когда даже всякие Авасты и антивирус от Microsoft это детектят, а Dr.web - нет.

[Alexander007]

Trojan.PWS.Spy.21630 детект есть .

[Alexander007]

Отсутствие сигнатурного детекта в общем случае совсем не означает, что мы такой файл не будем детектировать, т.к. другие алгоритмы проверки никто не отменял. Есть превентивная защита с поведенческим анализом, защитой от эксплойтов и т.д.
На живой системе конечно это не стоит проверять в бою, всякое возможно, но если есть интерес и какая-нибудь изолированная виртуалка, то вполне себе можно попробовать запустить там такой скрипт без сигнатурного детекта и посмотреть, что из этого выйдет.

Ну да , ну да, наверное именно поэтому у меня Dr.web его задетектировал часов через 7 после его запуска, и через пару часов после моего тикета, после которого вы внесли его в базу.
А до этого сущая тишина .... какие там алгоритмы, что-то уже сомневаюсь...

lДетект есть :YKwsgkJ.png (976×436) (imgur.com)

Детект наверное есть после того как я этот файл вам выслал?))))
Не было детекта никакого. Не надо нам тут сказки рассказывать.

Более того, даже после появления в базе, и детектирования др.веб его опять прошляпил, после проверки.
А уже вечерняя проверка каспером обнаружила вирус в оперативной памяти! А др.веб сидел и молчал! Запущенный и обновленный сидел и молчал!

Меня вообще другое вымораживает, мне в outlook выслали архив с exe файлом но антивирус вообще не смутило это ни разу.
У файла подделано отображение т.е ехе отображается как картинка и антивирус и это не смущает - элементарщина какая-то...
Техподдержка полный ноль - никакой заинтересованности ни в лечении, ни в помощи в лечение.
Позорище блин, жалею только что лицуху покупал.

Уважаемый .
Доктор веб стабильно детектирует .
Тех поддержка работает 24/7 , можно обращать через личный кабинет . Там ответят .
По поводу обновление и молчаливый Др веб - так не бывает . Обновление идёт стабильно и тестируется , обычно ее обновляют раз в 2-3 часа , до момента попадания в базы .
Обращение по запросу обработки файлов - нескольких сотен или тысячи попаданий в вирусную лабораторию , создаёт огромную очередь . По этому нужно подождать , как только будет протестированы и внесён в базу, детект будет позже после обновления .
.

Сообщение было изменено Alexander007: 28 Июль 2022 - 06:29

[wypeee]

>>>>Уважаемый .

 

Доктор веб стабильно детектирует .
Тех поддержка работает 24/7 , можно обращать через личный кабинет . Там ответят .
По поводу обновление и молчаливый Др веб - так не бывает . Обновление идёт стабильно и тестируется , обычно ее обновляют раз в 2-3 часа , до момента попадания в базы .
Обращение по запросу обработки файлов - нескольких сотен или тысячи попаданий в вирусную лабораторию , создаёт огромную очередь . По этому нужно подождать , как только будет протестированы и внесён в базу, детект будет позже после обновления .>>>>

 

Уважаемые.

Как я уже пишу со вчерашнего дня - Dr.web - нихрена не детектирует, и пропускает очевидные вирусы.
Тупые как не знаю что. Тупой exe файл, который зашифрован под картинку. Более того, перед запуском была нажата кнопочка - проверить на вирусы, и dr.web опять сказал что все с ним хорошо.
Как он его проверял? Тупо по сигнатурам? 

Что значит так не бывает?
Вы тут не лепите мне , я наверное лучше знаю, что с моим компом второй день происходит.

Техподдержка работает крайне медленно и крайне не хотя, не надо мне про 24-7 рассказыват, я в тикетах ответы хер знает по сколько жду.

Еще раз - жалею, что ЭТО купил.

 

.

 

[Alexander007]

Если ваш файл зашифрован , то тебе нужно обратиться https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru

[VVS]

Отсутствие сигнатурного детекта в общем случае совсем не означает, что мы такой файл не будем детектировать, т.к. другие алгоритмы проверки никто не отменял. Есть превентивная защита с поведенческим анализом, защитой от эксплойтов и т.д. 
На живой системе конечно это не стоит проверять в бою, всякое возможно, но если есть интерес и какая-нибудь изолированная виртуалка, то вполне себе можно попробовать запустить там такой скрипт без сигнатурного детекта и посмотреть, что из этого выйдет.

Ну да , ну да, наверное именно поэтому у меня Dr.web его задетектировал часов через 7 после его запуска, и через пару часов после моего тикета, после которого вы внесли его в базу.
А до этого сущая тишина .... какие там алгоритмы, что-то уже сомневаюсь...

lДетект есть :YKwsgkJ.png (976×436) (imgur.com)

Детект наверное есть после того как я этот файл вам выслал?))))
Не было детекта никакого. Не надо нам тут сказки рассказывать.

100% детекта не было и не будет ни у одного антивируса.
 

Более того, даже после появления в базе, и детектирования др.веб его опять прошляпил, после проверки.

Очень сомневаюсь в верности Вашего утверждения.
 

А уже вечерняя проверка каспером обнаружила вирус в оперативной памяти! А др.веб сидел и молчал! Запущенный и обновленный сидел и молчал!

И тут весьма сомневаюсь...
 

Меня вообще другое вымораживает, мне в outlook выслали архив с exe файлом но антивирус вообще не смутило это ни разу.
У файла подделано отображение т.е ехе отображается как картинка и антивирус и это не смущает - элементарщина какая-то...

IMHO тип файла и его иконка - так себе критерии детекта...
А антиспам у Вас включен?
У меня, как правило, подобные письма антиспамом помечаются.

Сообщение было изменено VVS: 28 Июль 2022 - 11:01

[VVS]

Поддержка на сайте вообще смех - требуют отчет Чтобы говорить более предметно нужен отчет DwSysinfo которые невозможно через форму прикрепить - потому-что он слишком большой, но форма для вложения почему-то есть.
Скорость реакции и отношение тоже поражает.
После того как я скинул вирус, мне вяло ответили что он добавлен.
Как мне его лечить, что делать и прочее - ничего не сказали, никакой заинтересованности, жесть какая-то.

Если речь о том ответе, который Вы процитировали ("Исполнительный лист _3178031 от 26.07.2022.exe\data002\1722423378.js" infected with JS.Siggen5.44260), то это Вам отвечал робот.

Как Вы смогли определить какие-то эмоции у робота - для меня загадка.

[B.Chugunov]

Отрывки лога сканирования, вчерашнего.

Вы запустили его 2022/07/27 в 13:57:52, когда еще не пришли базы с нужной сигнатурой. 
Естественно ничего не было обнаружено при сканировании. В связи с чем

Более того, даже после появления в базе, и детектирования др.веб его опять прошляпил, после проверки.

сомнительно. Точнее нет ни одного подтверждения тому, что сигнатура уже была в базах на Вашем ПК и только после этого выполнялось сканирование указанного файла и антивирус его не детектировал. 
Было 2 варианта - сигнатуры не было в базах на ПК, выполнялось сканирование(27.07 2 раза в 13:57 и 1 раз в 14:09). И сигнатура уже была в базах, но сканирование файла не выполнялось(сканирования были уже после 22:00, но файл к тому моменту уже был обезврежен). 
Далее видим по логу:
2022-Jul-27 15:55:54.613440 [ 3076] [INF] [events uniter] registered event component: component_scanner, threat: Tool.RemoteControl.21, type: 0(ALERT_FILE_OBJECT), infection type: 9(Hacktool), action: 1( infected), path: C:\Program Files (x86)\Remote Manipulator System - Viewer\assets\sfx.exe, owner:-, user: _имя_пользователя_

2022-Jul-27 16:39:13.001673 [ 6584] [WRN] [bg-scan] scan result C:\users\_имя_пользователя_\appdata\local\5830c2d50.js infection: JS.Siggen5.44260 (type: 1; code: 1025; )

2022-Jul-27 16:39:13.006122 [ 6584] [INF] [events uniter] registered virus component: component_guard, threat: JS.Siggen5.44260, type: 0(ALERT_FILE_OBJECT), infection type: 1(Virus), action: 1025( quarantined), user: СИСТЕМА, path: C:\users\_имя_пользователя_\appdata\local\5830c2d50.js

2022-Jul-27 20:54:15.074755 [ 3076] [INF] [events uniter] registered virus component: component_outlook_plugin, threat: {Trojan.PWS.Spy.21630:1}, type: 0(ALERT_FILE_OBJECT), infection type: 1(Virus), action: 5137( incurable, quarantined), username: _имя_пользователя_, user: S-1-5-21-4144156682-471372856-3921063978-1106, path: Исполнительный лист №3178031 от 26.07.2022.zip, owner:_имя_пользователя_, pid 10988, process path C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE

Как мне его лечить, что делать и прочее - ничего не сказали

Вы не сказали, что его запускали, как здесь, так и в запросе. Если ничего не запускалось, лечить нечего. Мысли читать никто не умеет. 
Подобных запросов, когда присылают просто вирусные семплы без детекта у нас огромное множество и ни о каком лечении речи там не идет, т.к. подавляющее большинство файлы не запускают, а просто присылают на анализ, если видят, что файл подозрительный, но срабатывания нет. 
Вы прислали вирус, который мы не детектируем, его добавили в базы. За это Вам спасибо, т.к. это помогает расширить базы и защитить других пользователей.
Но чтобы ожидать получить ответы на какие-то вопросы, нужно прямо их задавать. 

мне в outlook выслали архив с exe файлом но антивирус вообще не смутило это ни разу

Ничего смущающего, удивительного или необычного. Пользователи пересылают .exe файлы почтой, это распространено и никем не запрещено. 

У файла подделано отображение т.е ехе отображается как картинка и антивирус и это не смущает

А как антивирус это должен понять по Вашему? Это Вы, как пользователь видите, что ярлык - как у картинки, а расширение .exe. Антивирусы к сожалению еще не добрались до такой стадии развития.  

Здесь очень много достаточно спорных или ложных заявлений, которые впрочем имеют вполне закономерные объяснения, если посмотреть в логи. 
Если Вас действительно интересует данный вопрос, я бы рекомендовал отстраниться от эмоций и говорить предметно и по фактам, попытаться вникнуть в процесс, углубиться в понимание того, как работают антивирусы и в частности наш. Как происходит детектирование, добавление в базы, что это вообще значит. Преждевременных выводов делать не стоит, лучше прислать логи\отчет и задать предметные вопросы. Это чаще всего намного продуктивнее.  

[Никитa]

Если ваш файл зашифрован , то тебе нужно обратиться https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru

Имелось ввиду не шифрование файла, а его маскировка под картинку.