Перейти к содержимому


Фото
- - - - -

Elite Keylogger и DrWeb.


  • Please log in to reply
52 ответов в этой теме

#1 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 26 Март 2017 - 20:37

Почему раньше Cureit'ом можно было обнаружить эту шпионскую программу, а сейчас Security Space её не находит?



#2 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 26 Март 2017 - 23:25

Конкретно, чем не находит (Guard, сканер)? Какие настройки действий при обнаружении потенциально опасных приложений? Файл сам на VT проверьте, детект есть?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 Mr.Frost

Mr.Frost

    Member

  • Posters
  • 124 Сообщений:

Отправлено 27 Март 2017 - 10:36

Конкретно, чем не находит (Guard, сканер)? Какие настройки действий при обнаружении потенциально опасных приложений? Файл сам на VT проверьте, детект есть?

Здравствуйте! Ради интереса, зашел на сайт программы и скачал. Результат проверки исполняемого файла на VT - https://www.virustotal.com/ru/file/81c31b11d84d301ea39143d34ff94457d1672c303b9a1b0794f3f9f1491b9feb/analysis/1490599983/

Проверил файл через контекстное меню Dr.Web SS - угроз не обнаружено. 


Сообщение было изменено Roman Kozyrin: 27 Март 2017 - 10:37


#4 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 11:48

SplderGuard ничего не обнаруживает, пробовал запускать посредством "unhide" и лазить по меню утилиты. С Virustotal очень мало знаком. И к тому же, я не знаю, какие файлы отправлять: там несколько этапов установки и загрузки и отправлять каждый накладно.



#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Март 2017 - 11:49

Кого-то удивляет наличие заразы, которую не обнаруживает какой-то вендор?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 11:49

P. S. Доктор Веб установил после установки этой утилиты.



#7 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 11:50

Кого-то удивляет наличие заразы, которую не обнаруживает какой-то вендор?

Антивирус Касперского обнаруживает этот кейлоггер.



#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Март 2017 - 11:56

А что-то не обнаруживает, что дальше? Отправляйте троя в вирлаб


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 12:23

Какие файлы отправлять? У него хитрая установка, поэтому не знаю. Или те, которые он просит добавить в исключения?



#10 Nenya Amo

Nenya Amo

    Advanced Member

  • Posters
  • 734 Сообщений:

Отправлено 27 Март 2017 - 12:26

silalex_l, сам файл установке, что скачали.


мой девиз - служение злу, как у котика..


#11 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 12:40

А если мне нужно, чтобы он детектировался после установки (при выключенном SplDer Guard)?



#12 Mr.Frost

Mr.Frost

    Member

  • Posters
  • 124 Сообщений:

Отправлено 27 Март 2017 - 12:44

Какие файлы отправлять? У него хитрая установка, поэтому не знаю. Или те, которые он просит добавить в исключения?

Здравствуйте! Я уже отправил в вирлаб данный файл. Буду ждать ответа. По результатам отпишусь здесь.


Сообщение было изменено Roman Kozyrin: 27 Март 2017 - 12:44


#13 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 14:09

 

 

Здравствуйте! Я уже отправил в вирлаб данный файл. Буду ждать ответа. По результатам отпишусь здесь.

 

А если не секрет, вы отослали файлы, которые помещались в системную директорию (Вроде system32) после установки?



#14 MakRos-78

MakRos-78

    Advanced Member

  • Posters
  • 512 Сообщений:

Отправлено 27 Март 2017 - 15:23

silalex_l,
в файле установки уже содержаться все устанавливаемые файлы, ну кроме тех что могут самой программой из интернета взяться. Т.ч. не нужно каждый файлик отправлять, если того не требуется.

#15 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 15:36

Так там хитрый инсталлятор: он загружает вторичный инсталлятор во временную папку и уже оттуда его и нужно запускать.



#16 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 16:05

он загружает вторичный инсталлятор

Насколько я увидел, загружает из интернета.

P. S. Жаль, сообщение уже через короткий промежуток времени нельзя редактировать.



#17 MakRos-78

MakRos-78

    Advanced Member

  • Posters
  • 512 Сообщений:

Отправлено 27 Март 2017 - 17:40

15-20 мин это короткий промежуток?

Gate вполне блокирует загрузку его. А так да, файла два: загрузчик и сам установщик.

[27/03/2017 19:30:33 00001688] <DEBUG:1> URL: http://get-kl.com/****_setup.exe 
[27/03/2017 19:30:33 00001688] URL is blocked (malware): http://get-kl.com/****_setup.exe

Сообщение было изменено MakRos-78: 27 Март 2017 - 17:41


#18 MakRos-78

MakRos-78

    Advanced Member

  • Posters
  • 512 Сообщений:

Отправлено 27 Март 2017 - 17:55

До кучи, на XP другой установщик качается.



#19 Smart_D15

Smart_D15

    Advanced Member

  • Posters
  • 600 Сообщений:

Отправлено 27 Март 2017 - 18:42

Gate вполне блокирует загрузку его.

Да, но, наверное, было бы хорошо, если бы антивирус можно было установить и  напустить на систему с уже установленным кейлоггером. Для выявления файлов, которые устанавливаются при запуске (второго) установщика, как я знаю, нужно использовать некоторую утилиту, но пока не знаю, как ею пользоваться. 



#20 B.Chugunov

B.Chugunov

    Advanced Member

  • Dr.Web Staff
  • 569 Сообщений:

Отправлено 28 Март 2017 - 20:01

Да, но, наверное, было бы хорошо, если бы антивирус можно было установить и  напустить на систему с уже установленным кейлоггером.

Мне интересно, как Вы себе представляете работу вирусного аналитика над этим файлом=) Добавил сигнатуру инсталлятора в базу и пошел чай пить?)  Не распаковал, не посмотрел чего оно делает вообще и что там?) 
-----------------
best regards,
Technical support department, Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых