79 ответов в этой теме

[mrbelyash]

В Агнитум для всех желающих дают доступ по FTP и создают папку с именем пользователя.

И народ туда льет пачками.

[VVS]

В Агнитум для всех желающих дают доступ по FTP и создают папку с именем пользователя.

И народ туда льет пачками.

Сочувствую Агнитуму...  

[mrbelyash]

Ээээ..А что это?

Кто здесь эвристик? 

[П_Сергей]

Вот, пожалуйста, свежий ZeroAccess (alias Max++, Sirefef):


VT - 2/43 (4.7%)

Fortinet - W32/ZAccess.BR!tr.bdr (Сигнатура)
Panda - Suspicious file (Эвристик)

http://www.virustotal.com/file-scan/report.html?id=1f9308bceb82c304d2fcec321159a2f574a019710665dd8bcc75935d1eaddaf7-1325328470

В одной из тем я критиковал ВирусТотал как метод. И в данном случае подумал бы что не вирус, а ложное срабатывание. (Кстати, если клацнуть по последнему анализу, то там уже 37). Личные камни в торону Панды. Отправляю на ВирусТотал файл - Панда какраз прочерк дает. Через три дня - капецвирус какой. Шлю на ложное срабатывание = не снимают (у них есть фишка по защите флешки - битый авторан, а моя прога на всякий случай создает папку авторан.инф, что потом не даст им сделать свой битый). Вношу изменения (авторанпапка = без изменений) .... Панда молчит, и только через дня три ... виииирус, говорит. Опять кнопочку пересунул (просто изменилась контрольная сумма, а принцип действия абсолютно тот же) = Панда молчит, и только когда добавят в списки ругается. Так что предварительный анализ у Панды никакой, а в приведенном примере - ложное срабатывание - глюкнул на анализе = сказал, что подозрительный, а это потом оправдвлось.

 

А вот как японци воюют с вирусами - стрельба из лука без единой цатапины на мониторе

[RomaNNN]

Ээээ..А что это?

Кто здесь эвристик? 

 

А если контейнер с "MULDROP.Trojan" раскрыть, что будет написано?

[bystander]

Можно же говорить о в кусе устриц более предметно, средств предостаточно и доступны они каждому.

1 Идем на RGhost и в поиск вбиваем "вирус"

 

 

2 Скачиваем первые 10-20 бинарей и архивов не глядя.

 

 

3 Проверяем:

 

 

   

 

Данное действие можно повторять хоть каждый день, файлообменник пополняется регулярно.

[mrbelyash]

Можно же говорить о в кусе устриц более предметно, средств предостаточно и доступны они каждому.

1 Идем на RGhost и в поиск вбиваем "вирус"

 

 

2 Скачиваем первые 10-20 бинарей и архивов не глядя.

 

 

3 Проверяем:

 

 

   

 

Данное действие можно повторять хоть каждый день, файлообменник пополняется регулярно.

 

Винлоки в принципе перебрал.

Там теперь появились и энкодеры.

Про UFR.Stealer молчу.

 

------------

Гейт пускает туда?

[bystander]

 

Можно же говорить о в кусе устриц более предметно, средств предостаточно и доступны они каждому.

1 Идем на RGhost и в поиск вбиваем "вирус"

 

 

2 Скачиваем первые 10-20 бинарей и архивов не глядя.

 

 

3 Проверяем:

 

 

   

 

Данное действие можно повторять хоть каждый день, файлообменник пополняется регулярно.

 

Винлоки в принципе перебрал.

Там теперь появились и энкодеры.

Про UFR.Stealer молчу.

 

------------

Гейт пускает туда?

 

Кто это гейт? Туда всех пускают, я качаю USDownloader он обходит все капчи+достаточно просто кликать по ссылкам подряд(следит за буфером обмена), ну и полностью в исключениях у АВ стоит для всех модулей+путь для скачанного.

Сообщение было изменено bystander: 06 Июнь 2013 - 14:37

[German AW]

Гейт пускает туда?

Кстати, да. А по идее не должен бы...

[mrbelyash]

 

 

Можно же говорить о в кусе устриц более предметно, средств предостаточно и доступны они каждому.

1 Идем на RGhost и в поиск вбиваем "вирус"

 

 

2 Скачиваем первые 10-20 бинарей и архивов не глядя.

 

 

3 Проверяем:

 

 

   

 

Данное действие можно повторять хоть каждый день, файлообменник пополняется регулярно.

 

Винлоки в принципе перебрал.

Там теперь появились и энкодеры.

Про UFR.Stealer молчу.

 

------------

Гейт пускает туда?

 

Кто это гейт? Туда всех пускают, я качаю USDownloader он обходит все капчи, ну и полностью в исключениях у АВ стоит для всех модулей+путь для скачанного.

 

 

там нет капчей.

там нет АВ проверки.

Но ежедневно-обновляемая площадка с малварью есть.

 

Очень просто в поиске вбиваем

winlock

trojan

virus

винлок

троян вирус

 

Портал удобный,но он раздает малварь(не контролируется и не чистится).

 

Аналитики стоят грудью за него,а ведь нельзя туда пускать вообще по-умолчанию.

[bystander]

 

Гейт пускает туда?

Кстати, да. А по идее не должен бы...

 

По какой идее? Ссылки для скачки линкуются рандомно и пока не начинаешь качать блока не будет. Ну если только по единоличному решению компании весь ресурс забанить. Но это ничего не решит в корне...

Сообщение было изменено bystander: 06 Июнь 2013 - 14:44

[П_Сергей]

 

В Агнитум для всех желающих дают доступ по FTP и создают папку с именем пользователя.

И народ туда льет пачками.

Сочувствую Агнитуму...  

 

1) Ана странице сайта может быть ссылка на FTP? Это опасно?

2) Если программа (ехе) обновляется через FTP, то она будет автоматически определяться как подозрительная?

[Pavel Plotnikov]

Можно же говорить о в кусе устриц более предметно

Вы сами то устриц пробовали? И как?

[mrbelyash]

 

 

Гейт пускает туда?

Кстати, да. А по идее не должен бы...

 

По какой идее? Ссылки для скачки линкуются рандомно и пока не начинаешь качать блока не будет. Ну если только по единоличному решению компании весь ресурс забанить. Но это ничего не решит в корне...

 

 

По идее "не рекомендуемое".

[bystander]

 

 

 

Можно же говорить о в кусе устриц более предметно, средств предостаточно и доступны они каждому.

1 Идем на RGhost и в поиск вбиваем "вирус"

 

 

2 Скачиваем первые 10-20 бинарей и архивов не глядя.

 

 

3 Проверяем:

 

 

   

 

Данное действие можно повторять хоть каждый день, файлообменник пополняется регулярно.

 

Винлоки в принципе перебрал.

Там теперь появились и энкодеры.

Про UFR.Stealer молчу.

 

------------

Гейт пускает туда?

 

Кто это гейт? Туда всех пускают, я качаю USDownloader он обходит все капчи, ну и полностью в исключениях у АВ стоит для всех модулей+путь для скачанного.

 

 

там нет капчей.

там нет АВ проверки.

Но ежедневно-обновляемая площадка с малварью есть.

 

Очень просто в поиске вбиваем

winlock

trojan

virus

винлок

троян вирус

 

Портал удобный,но он раздает малварь(не контролируется и не чистится).

 

Аналитики стоят грудью за него,а ведь нельзя туда пускать вообще по-умолчанию.

 

Там есть переход от конкретно взятой ссылки из списка на персональную страничку оной, что не совсем удобно если качать 2-10 страничек.

[bystander]

 

Можно же говорить о в кусе устриц более предметно

Вы сами то устриц пробовали? И как?

 

Ну вот раз такая тема все и попробуем, а то так без предметно какать на других тоже не совсем правильно. Виртуальные машины сегодня только ленивый не завел.

[mrbelyash]

Партнерская программа.

... вам скидуем 30 % за защиту,а вы цепляете баннер доктора на странице.

Реклама,защита,облако, получение "нулевых" хешей.

Иначе бан 

[bystander]

Партнерская программа.

... вам скидуем 30 % за защиту,а вы цепляете баннер доктора на странице.

Реклама,защита,облако, получение "нулевых" хешей.

Иначе бан 

Я думаю они больше имеют.

[Токамак]

В этом вопросе готов хоть землю жрать,как говорится,но отстаивать,что у Доктор Веба наилучший сейчас эвристический механизм отлова серьезных вирусов! Причем не глючный как у Касперского! Касперскому-антивирусу даже облака не помогают, а у нашего зелененького все классно. Очень редки ложные срабатывания,все работает тихо,без лишних табличек,зато точно .  В Доктор Вебе фаервол-гэ на палочке.

Но сам антивирус и особенно эвристика и спайдер Гад( я не ругаюсь ,модуль так называется) особенно классные. Обнаружение интернет угроз и вредоносных сайтов выше любого антивируса,представленного на Российском рынке.

За это большое спасибо.

А фаервол с его чекнутыми оконцами я б посоветовал засунуть тем разработчикам куды подальше себе!!!!!Сколько можно! Два года уже ковыряетесь с фаерволом а он до сих пор долбает оконцами!

[SergSG]

А фаервол с его чекнутыми оконцами я б посоветовал засунуть тем разработчикам куды подальше себе!!!!!Сколько можно! Два года уже ковыряетесь с фаерволом а он до сих пор долбает оконцами!

 

До тех пор, пока не придумают технологии позволяющие угадывать мысли юзера, любой фарвол будет работать в диалоговом режиме.

Другого способа узнать какой проге (или вирусу) вы разрешаете сливать данные в инет, а какой не разрешаете просто нет.