130 ответов в этой теме

[Anmawe]

Почему для некоторых  вредоносных программ не написана техническая информация ?

http://vms.drweb.com/search/?q=Trojan.Siggen2.28098 

http://online3.drweb.com/cache/?i=461db2226daa6cabfdfe6a0c31c0b1ec

http://vms.drweb.com/search/?q=BackDoor.Bifrost.27921

http://online3.drweb.com/cache/?i=b91ec58e0165626c63225da7b74d1c9a

 

Будет ли добавлена эта информация на сайт ?

Сообщение было изменено Anmawe: 14 Май 2014 - 09:50

[mrbelyash]

Почему для некоторых  вредоносных программ не написана техническая информация ?

http://vms.drweb.com/search/?q=Trojan.Siggen2.28098 

http://online3.drweb.com/cache/?i=461db2226daa6cabfdfe6a0c31c0b1ec

http://vms.drweb.com/search/?q=BackDoor.Bifrost.27921

http://online3.drweb.com/cache/?i=b91ec58e0165626c63225da7b74d1c9a

 

Будет ли добавлена эта информация на сайт ?

 

потому что в большинстве случаев эта информация не соответствует действительности и может навредить.

но это мое ИМХО

Сообщение было изменено mrbelyash: 14 Май 2014 - 10:05

[Victor_koly]

Почему для некоторых  вредоносных программ не написана техническая информация ?

Мне кажется, что вирусов новых добавляют в базы порядка 1-1.5 миллиона в год и что физически невозможно ко всем дать описание. У конкурентов тоже может не быть описания на вирус, добавленный в базу много лет назад. В моем понимании описание нужно в первую очередь по тем вирусам, последствия которых не может вытравить Др.Веб без лишних телодвижений, вроде небольшого исправления реестра.

Что бы легко найти штуки вроде:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman"="такого ключа в чистой системе не существует"

 

А ещё непонятно, не должен ли тип вредоноса Win32.VBKrypt что-то шифровать.

[Dmitry_rus]

Берем Докторовский LiveCD/USB, выбираем пункт "лечение реестра". Это является "лишними телодвижениями"?

[Lvenok]

Берем Докторовский LiveCD/USB, выбираем пункт "лечение реестра". Это является "лишними телодвижениями"?

Там несколько под другое заточено и узконаправлено.

[Victor_koly]

Берем Докторовский LiveCD/USB

 

В действительности обычно все ссылки на реестр удаляются ещё в процессе обнаружения заразы (если конечно эту опцию не отключить почему-то при сканировании, но по идее при первом сканировании компа все включено). Ну и проактивка не должна давать лезть в реестр, на самый крайний случай - HijackThis скачать чуть проще, чем создавать флешку.

[Dmitry_rus]

Ну и проактивка не должна давать лезть в реестр

Что она, собственно, успешно и делает. И Winlogon, упомянутый ранее, защищается. Подробнее про то, какие ветви реестра защищаются, можно посмотеть в справке. А вот что касается удаления ссылок на реестр в процессе обнаружения заразы - прошу поподробнее... Вы точно ничего ни с чем не путаете? ЕМНИП, в процессе лечения суслика анализа и корректировки реестра не происходит.

[Victor_koly]

в процессе лечения суслика анализа и корректировки реестра не происходит

 

Во первых, как я понимаю логику, если действия файла замечены как опасные, то должны отменится все созданные им действия. Это я про проактивку.

А при нахождении при скане зараженного файла мой антивирус делает так:

http://i022.radikal.ru/1405/6d/60abc9710197.jpg

 

Но конечно при всяких винлоках так просто чистить реестр нельзя.

Сообщение было изменено Victor_koly: 15 Май 2014 - 00:25

[Anmawe]

Это ответ автоматической системы или вирусного аналитика ?

 

[drweb.com #4729952]

 

Ваш запрос был проанализиронан. Это срабатывание является ложным. Ошибка была исправлена.

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Категория: FALSE ALARM

 

Ответ из лаборатории касперского

 

Здравствуйте,

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Trojan.Win32.Refroso.euzf

Sincerely yours,
Paul Ambroso,
Junior Malware analyst.
_____________________
Kaspersky Lab
Bellevue, USA

 

В данном случае кому мне поверить ?

[Anmawe]

Не то выложил, извините - 

 

[drweb.com #4735648] Обработано: SUBMITTED FALSE ALARM

 

Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.

Возможно, ложное срабатывание уже было исправлено специалистами ООО "Доктор Веб", или Вы указали неверную категорию.

Если Вы уверены, что данный файл представляет угрозу, пожалуйста, воспользуйтесь формой отправки повторно и укажите наиболее подходящую категорию запроса.

Спасибо за сотрудничество.

To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com

--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"

Категория: FALSE ALARM

 

Original file name: SCX.dll
File size: 379392
File time: 2014-05-19 22:31:17
File mime type: application/x-ms-dos-

executable
MD5: ca56171102fb14801066ec5028de84c3
SHA1: a16b401d752847f6241e585aa1c1514aab4af240

 

https://www.virustotal.com/ru/file/e51322b7db3fe62d7344b0313d0c14862473396abe2ca30283de030b5e6076bc/analysis/

Сообщение было изменено Anmawe: 19 Май 2014 - 23:40

[SergM]

В чем вопрос? Как я понял ложняк исправили.  Хотя на вирустотал красного много.

[pig]

Ликвидацией ложняков занимаются человеки.

[HHH]

В данном случае кому мне поверить ?

Я бы поверил DrWeb, но выбирать вам

[Victor_koly]

А ведь dll так просто нельзя проверить? Это же ни исполняемый файл, который можно просто запустить, а файл, который может быть переименован и подключен как-то к другому процессу. Если гипотетическая lpk.dll будет находится в C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp или C:\Windows\system\ и подменять оригинальную из C:\Windows\System32, это же не так легко выловить будет.

Сообщение было изменено Victor_koly: 20 Май 2014 - 11:42

[VVS]

А ведь dll так просто нельзя проверить?

Можно.

[Victor_koly]

P.S. А бывают вирусы, которые плохо определяют разрядность ОС и прописывают в реестр запуск из C:\Windows\system32\ (а там такого файла нет). А создать файл с таким названием смогли только в C:\Users\%usr_name%\AppData\Local\Temp\?

[Oleg Gubanov]

В чем вопрос? Как я понял ложняк исправили.  Хотя на вирустотал красного много.

 

вопрос зачем присылать файл, который мы не детектим, как ложное срабатывание?

[Anmawe]

потому что в большинстве случаев эта информация не соответствует действительности и может навредить.

но это мое ИМХО

 

Если на нашем сайте не нашлось подходящего описания (деструктивная активность) обнаруженного на вашем компьютере детектируемого объекта, вы можете оставить запрос к антивирусной лаборатории Касперского на создание и публикацию на сайте интересующего вас описания вредоносного ПО.

 

У Dr Web есть такая услуга ?

 

 

 

Это же ни исполняемый файл, который можно просто запустить

Вы увидите, что делает данная программа в данный момент. "просто запустить" - это что означает ? Какие изменения вносит программа сейчас (возможно, троянская) в файловую систему, реестр ?  Если программа сразу начинает деструктивную активность, то, возможно, вы это увидите.

 

Такой вопрос к опытным людям. Вредоносная программа может обнаружить, что другая программа контролирует обращения вредоносной программы к файловой системе, реестру, и завершать свою работу сразу ? Часто ли так делают вредоносные программы, или редко ?

 

 

 

вопрос зачем присылать файл, который мы не детектим, как ложное срабатывание?

Я ошибся, извините. Я буду более внимательным и постараюсь не ошибаться.

Сообщение было изменено Anmawe: 20 Май 2014 - 12:27

[Victor_koly]

Если программа сразу начинает деструктивную активность, то, возможно, вы это увидите.

 

Видеть буду не я,  а проактивка антивируса. Я вовсе не говорю, что она заметит 60% вирусов или 96%, но что-то точно заметит. Всякие действия, изменения реестра (тут уже HijackThis смотреть, если пропустило), она может заметит. А если Вам не повезло, то есть 2 варианта:

1) произойдет заражение файлов на компе известными вирусами и что-то из них найдет полный скан компа;
2) произойдет заражение неизвестными вирусами и Вас ничто не спасет, кроме антивируса с более полными базами.

[mrbelyash]

Видеть буду не я,  а проактивка антивируса

 

Если не будет адекватного вывода сообщений и нормальных логов,то Вы тоже этого не увидите.