Очень прошу решить проблему. Так как ситуация с этим вирусом начинает меня доставать.
Дело в том, что начиная с 4 октября 2011 года, нас (моих клиентов) преследует вирус.
На флэшке образуются четыре exe-файла Porn.exe, Secrets.exe, Passwords.exe, Sexy.exe и один скрытый exe-файл такого же размера как и остальные четыре, этот с крытый файл всегда сидит в процессе зараженной винды. Также создаются exe-файлы с вирусом на все папки и файлы на флэшке.
Как всегда стал отсылать в вирлаб:
04/10/2011
[drweb.com #2697866]. http://www.virustota...9435-1317724424
Ответ робота - Угроза: Win32.HLLW.Autoruner.61814
04/10/2011
[drweb.com #2697925].http://www.virustota...247e-1317729424
Ответ робота - Угроза: Win32.HLLW.Autoruner.61847
05/10/2011
[drweb.com #2700441].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62009
05/10/2011
[drweb.com #2700846]. http://www.virustota...afd3-1317817692
Ответ робота - Угроза: Win32.HLLW.Autoruner.62089
06/10/2011
[drweb.com #2704248].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62255
07/10/2011
[drweb.com #2707219].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62554
08/10/2011
[drweb.com #2709530].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62718
08/10/2011
[drweb.com #2709531].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62717
08/10/2011
[drweb.com #2710019].
Ответ робота - Угроза: Win32.HLLW.Autoruner.62782, Win32.HLLW.Autoruner.62781, Win32.HLLW.Autoruner.62783
Я подумал что вся проблема в роботе, который отвечает на мои тикеты, То есть робот тупо видит сигнатуру и добавляет в базы. Если все это увидит аналитик, то они создадут универсальный детект и вся беда прекратится.
Создал тикет в техподдержке ...
Все там объяснил. Вроде как поняли и создали Win32.HLLW.Vbruner обещая более универсальную детекцию.
Но.... те же файлы точно такое же поведение, но
11/10/2011
[drweb.com #2720459].
Робот - Угроза: Win32.HLLW.Autoruner.63313, Win32.HLLW.Autoruner.63314
.....
и тд. ситуация не изменилась.
Создаю снова тикет в техподдержке
Лично позвонил и очень попросил решить эту проблему!
через пару дней ответили:
Аналитики добавили новый алгоритм лечения в базы.
Теперь все модификации подобного трояна должны детектироваться, как Trojan.VbCrypt.28.
И вот сегодня опять эти файлы, то же самое поведение и DrWeb молчит как танк.
21/10/2011
[drweb.com #2744499].
http://r.virscan.org...a6ff4cc5187ca2b
Уважаемые инженера! Такие продукты как Касперский и НОД32 видят эти угрозы всегда и детектят их. Почему ДрВеб не может что нибудь придумать чтобы не отставать?
Сообщение было изменено userr: 21 Октябрь 2011 - 14:28
тикеты техподдержки не постить!