Перейти к содержимому


Фото
- - - - -

Ну не уж-то невозможно его победить?


  • Please log in to reply
127 ответов в этой теме

#1 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 21 Октябрь 2011 - 14:19

Уважаемые вирусные аналитики и спецы компании DrWeb.
Очень прошу решить проблему. Так как ситуация с этим вирусом начинает меня доставать.
Дело в том, что начиная с 4 октября 2011 года, нас (моих клиентов) преследует вирус.
На флэшке образуются четыре exe-файла Porn.exe, Secrets.exe, Passwords.exe, Sexy.exe и один скрытый exe-файл такого же размера как и остальные четыре, этот с крытый файл всегда сидит в процессе зараженной винды. Также создаются exe-файлы с вирусом на все папки и файлы на флэшке.
Как всегда стал отсылать в вирлаб:

04/10/2011
[drweb.com #2697866]. http://www.virustota...9435-1317724424
Ответ робота - Угроза: Win32.HLLW.Autoruner.61814

04/10/2011
[drweb.com #2697925].http://www.virustota...247e-1317729424
Ответ робота - Угроза: Win32.HLLW.Autoruner.61847

05/10/2011
[drweb.com #2700441].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62009

05/10/2011
[drweb.com #2700846]. http://www.virustota...afd3-1317817692
Ответ робота - Угроза: Win32.HLLW.Autoruner.62089

06/10/2011
[drweb.com #2704248].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62255

07/10/2011
[drweb.com #2707219].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62554
08/10/2011
[drweb.com #2709530].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62718
08/10/2011
[drweb.com #2709531].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62717
08/10/2011
[drweb.com #2710019].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62782, Win32.HLLW.Autoruner.62781, Win32.HLLW.Autoruner.62783

Я подумал что вся проблема в роботе, который отвечает на мои тикеты, То есть робот тупо видит сигнатуру и добавляет в базы. Если все это увидит аналитик, то они создадут универсальный детект и вся беда прекратится.
Создал тикет в техподдержке ...
Все там объяснил. Вроде как поняли и создали Win32.HLLW.Vbruner обещая более универсальную детекцию.
Но.... те же файлы точно такое же поведение, но

11/10/2011
[drweb.com #2720459].
Робот - Угроза: Win32.HLLW.Autoruner.63313, Win32.HLLW.Autoruner.63314

.....
и тд. ситуация не изменилась.

Создаю снова тикет в техподдержке
Лично позвонил и очень попросил решить эту проблему!
через пару дней ответили:
Аналитики добавили новый алгоритм лечения в базы.
Теперь все модификации подобного трояна должны детектироваться, как Trojan.VbCrypt.28.
И вот сегодня опять эти файлы, то же самое поведение и DrWeb молчит как танк.
21/10/2011
[drweb.com #2744499].
http://r.virscan.org...a6ff4cc5187ca2b

Уважаемые инженера! Такие продукты как Касперский и НОД32 видят эти угрозы всегда и детектят их. Почему ДрВеб не может что нибудь придумать чтобы не отставать?

Сообщение было изменено userr: 21 Октябрь 2011 - 14:28
тикеты техподдержки не постить!


#2 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 21 Октябрь 2011 - 15:32

Пришел ответ на тикет 2744499
пять ответил робот
Угроза: Win32.HLLW.Autoruner.64392

Как раз зараженный компьютер у меня здесь. снял логи. Вирус висит в процессе.

Прикрепленные файлы:



#3 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 21 Октябрь 2011 - 15:36

Banzai,
логи в архив! и делайте логи по Правилам

#4 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 21 Октябрь 2011 - 18:01

Бюрократия и логи непобедимы! :ph34r:
Essential Security against Evolving Threats
user Windows 64 bit

#5 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 21 Октябрь 2011 - 18:06

Banzai, там помоему генератор где-то. Не можете его выловить? Если такое получится, очень прошу передать его мне. Большое спасибо.

Почему ДрВеб не может что нибудь придумать чтобы не отставать?

движки разные :)

Я тоже ругаюсь по этому поводу...

Вроде есть based база, но чего-то я ее досихпор не увидел в силе, а сколько авторанеров через мои руки прошло :ph34r:

http://forum.drweb.com/index.php?showtopic=305098

Сообщение было изменено EzzO: 21 Октябрь 2011 - 18:07

Regards, ezzo.


#6 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 07:12

Banzai, там помоему генератор где-то. Не можете его выловить? Если такое получится, очень прошу передать его мне. Большое спасибо.

А почему я вылавливать должен? я что мало инфы закинул в вирлаб? Звонил и создавал тикеты в техподдержку.
Все компьютеры, которые приходят ко мне лечатся через тикеты. И так уже с начало месяца.
У меня ща уйдут несколько корпоративных клиентов, вернее перейдут на другой антивирус. Все уговариваю подождать, а результат практически нулевой.
Хочется услышать все таки мнение спецов, это что тупик по движку? Вирусописатели нашли не победимую дыру именно в продукте дрвеб?
Пробежался по вашей ссылке и увидел что я не один такой. Значит проблема очень серьезная.

#7 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 22 Октябрь 2011 - 07:34

А почему я вылавливать должен?

вы должны только сами себе. Это была просьба :ph34r:

Хочется услышать все таки мнение спецов, это что тупик по движку?

присоединяюсь.

Пробежался по вашей ссылке и увидел что я не один такой. Значит проблема очень серьезная.

есть такое. Чем нас больше, тем лучше, может разработчики услышат нас....

ЗЫ: насчет сторонних АВ, про которые вы говорили, они детектят эвристиком или базой? :)

Regards, ezzo.


#8 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 07:43

ЗЫ: насчет сторонних АВ, про которые вы говорили, они детектят эвристиком или базой?

Судя по вирустоталу видят в лоб.
Да и прогоняя на станке самый актуально НОД32 бьет всех подряд, каспер пропускает, но редко, микрософт тоже не блещет. Авира разочеровала, но первые авторанеры била на ура. Маккафи долго вылавливал, но пару раз пропустил.

#9 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 22 Октябрь 2011 - 07:46

Да и прогоняя на станке самый актуально НОД32 бьет всех подряд

хороший у них Эвристик... Нам бы такой... :ph34r:

Regards, ezzo.


#10 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 07:59

Banzai, там помоему генератор где-то.

Наверно не генератор, а даунлоадер ,хотя фиг его знает кто подкачивает.
Ситуация такая:
в папках Docum... settings\{акаунт} содаются скрытые exe-файлы также, до не давнего времени, обнаружили в папке портфеля.
Каждый exe-файл имеет разные размеры и сигнатуру детектации, и делают одно и тоже создают 4 файла на флэшках и один скрытый который сидит в процессе. Если один файл вебом распознается, то после лечения он успешно удаляется с процесса, НО на его место встает другой exe-файл из той группы, который уже не детектится вебом. Если опять отправить файл в вирлаб и веб начинает его убивать, на его место опять встает флругой файл и так пока эти файлы не кончатся.
Я подключал зараженный комп к инету и наблюдал появление новых файлов, но ничего не появлялось.
Вылечив машины другими ативирями мы отдавали клиенту.
Мало того, винда не ругается на флэшки с защитой от записи. Если она защищена, то с флэшкой молча ничего не происходит, если запись открыта, то заражается быстро.

#11 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:25


Номер лицензионного ключа: 0011453055

Пользователь: ГП - 3

Дата активации лицензионного ключа: 2011-09-28

Дата истечения действия лицензионного ключа: 2012-09-29

Срок действия лицензионного ключевого файла не наступил!

******

Дата активации лицензионного ключа: 2011-09-28

Дата истечения действия лицензионного ключа: 2012-09-29

Active OS/2 or NT Boot Sector HDD1 Partition0 - OK

Unknown Boot Sector HDD1 Partition1 - OK

Unknown Boot Sector HDD2 Partition0 - OK

 

c:\documents and settings\владелец\toavua.exe, c:\windows\temp\guardguard.exe


Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#12 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:31

Ну хоть Нодом словите и зашлите в вирлаб. Не много ли постороннего на рабочи ПК ? Может они еще антивирус отключают.
SpIDer Guard driver is too old and does not support file exclusion- перевод надо ? Старые программы не способны на новые трюки.

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#13 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 22 Октябрь 2011 - 08:37

SpIDer Guard driver is too old and does not support file exclusion-

это вы где такое прочитали?

Regards, ezzo.


#14 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 08:39

c:\documents and settings\владелец\toavua.exe, c:\windows\temp\guardguard.exe

toavua.exe - уже известная угроза
c:\windows\temp\guardguard.exe - http://www.virustotal.com/file-scan/report.html?id=5bd5633f686558f7c0d82fb9b42cee05551f37fd659b6a0a176574db0968c3a7-1319261509 - вроде чистый

#15 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:40

2011-10-20, 21:52:06  =============================================================================
2011-10-20, 21:52:06  Dr.Web Updater для Windows v6.00.13 (6.00.13.06220)
2011-10-20, 21:52:06  © ООО «Доктор Веб», 1992-2011
2011-10-20, 21:52:06  User: [GORPOL][SYSTEM]
2011-10-20, 21:52:06  Командная строка: C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log
2011-10-20, 21:52:06  Path to log: C:\Program Files\DrWeb\drwebupw.log
2011-10-20, 21:52:06  Операционная система: Windows XP Home x86 (Build 2600), Service Pack 3
2011-10-20, 21:52:06  =============================================================================
2011-10-20, 21:52:06  Имя файла лицензии:: C:\Program Files\DrWeb\drweb32.key
2011-10-20, 21:52:06  Номер ключа:: 0011453055
2011-10-20, 21:52:06  Владелец:: ГП - 3
2011-10-20, 21:52:06  Дата активации:: 2011-09-28
2011-10-20, 21:52:06  Дата окончания:: 2012-09-29
2011-10-20, 21:52:07  Подключаемся к хосту: G:\Update
2011-10-20, 21:52:07  timestamp не найден
2011-10-20, 21:52:07  drweb32.flg не найден
2011-10-20, 21:52:07  drweb32.lst не найден
2011-10-20, 21:52:07  Ошибка получения списка обновляемых файлов
2011-10-20, 21:52:07  Связь прервана
2011-10-20, 21:52:07  Отключены
2011-10-20, 21:52:08  =============================================================================

Это по вашему зеркало ?

Сообщение было изменено LEE: 22 Октябрь 2011 - 08:41

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#16 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 08:43

Это по вашему зеркало ?

И что вы такого увидели? Что вам не нравится в зеркале?

#17 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:44

SpIDer Guard driver is too old and does not support file exclusion-

это вы где такое прочитали?

В логе spiderg3.log

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#18 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:45


2011-10-20, 21:52:06 Командная строка: C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log

2011-10-20, 21:52:07 Подключаемся к хосту: G:\Update
2011-10-20, 21:52:07 timestamp не найден
2011-10-20, 21:52:07 drweb32.flg не найден
2011-10-20, 21:52:07 drweb32.lst не найден
2011-10-20, 21:52:07 Ошибка получения списка обновляемых файлов
2011-10-20, 21:52:07 Связь прервана
2011-10-20, 21:52:07 Отключены
2011-10-20, 21:52:08 =============================================================================

Это по вашему зеркало ?


Сообщение было изменено LEE: 22 Октябрь 2011 - 08:46

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#19 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 08:48


2011-10-20, 21:52:06 Командная строка: C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log

2011-10-20, 21:52:07 Подключаемся к хосту: G:\Update
2011-10-20, 21:52:07 timestamp не найден
2011-10-20, 21:52:07 drweb32.flg не найден
2011-10-20, 21:52:07 drweb32.lst не найден
2011-10-20, 21:52:07 Ошибка получения списка обновляемых файлов
2011-10-20, 21:52:07 Связь прервана
2011-10-20, 21:52:07 Отключены
2011-10-20, 21:52:08 =============================================================================

Это по вашему зеркало ?

А кто вам сказал что на этой машине зеркало? зеркало на флэшке

#20 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 22 Октябрь 2011 - 08:52

Это по вашему зеркало ?

зависит от того, кто и как делал это зеркало. У меня 4 зеркала и все работают успешно.

Regards, ezzo.



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых