Во блин, если ещё ieudinit.exe будет чистым (что кстати вероятно, он вроде как подписан MS'овской подписью был), то будет весело, ибо эти файлы (+ ещё какая-то dll'ка заподозренная origin'ом) у меня случайно удалились из карантина http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0044408Уже пришли ответы на Flvsplitter.ax:
Ваш запрос был проанализирован. Это ложное срабатывание. Исправлено.
Файл Flvsplitter.ax - Trojan.prun.origin
#21
Отправлено 28 Июль 2010 - 00:29
#22
Отправлено 28 Июль 2010 - 00:35
#24
Отправлено 28 Июль 2010 - 01:19
Понятно, а вот с dll'кой тоже интересно получилось: в начале детектилась origin'ом, потом как Trojan.Websearch.21, а затем (судя по live.drweb.com) запись Trojan.Websearch.21 удалили)))
А где за Origins Tracing почитать можно подробнее? А то кроме этого ничего не нашел:
Origins Tracing™ — уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение .Origin.
#25
Отправлено 28 Июль 2010 - 03:16
Origins Tracing™ — несигнатурный поиск неизвестных вирусов
Разработчиками Dr.Web реализован уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, что еще больше повышает эффективность детектирования. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение «.Origin».
Новая технология дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. "Наши аналитики и разработчики, безусловно, вывели антивирусную технологию на качественно новый уровень развития, - отмечает Борис Шаров, генеральный директор компании "Доктор Веб". - Мы давно изучали возможность использовать наши новые наработки в дополнение к традиционным средствам детектирования вирусов, в том числе неизвестных, так как это позволяет существенно повысить защищенность наших клиентов от новых, еще не известных вирусов. Мы рады, что смогли преподнести такой подарок нашим пользователям!"
#26
Отправлено 28 Июль 2010 - 11:40
Борис А. Чертенко aka Borka.
#27
Отправлено 28 Июль 2010 - 14:18
andrey.user
Origins Tracing™ — несигнатурный поиск неизвестных вирусов
Разработчиками Dr.Web реализован уникальный алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web, что еще больше повышает эффективность детектирования. Имена вредоносных объектов, обнаруженных с применением новой технологии, имеют в названии расширение «.Origin».
Новая технология дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. "Наши аналитики и разработчики, безусловно, вывели антивирусную технологию на качественно новый уровень развития, - отмечает Борис Шаров, генеральный директор компании "Доктор Веб". - Мы давно изучали возможность использовать наши новые наработки в дополнение к традиционным средствам детектирования вирусов, в том числе неизвестных, так как это позволяет существенно повысить защищенность наших клиентов от новых, еще не известных вирусов. Мы рады, что смогли преподнести такой подарок нашим пользователям!"
Да это тоже самое, что и в моей цитате. Еще один анализатор кода или поведенческий анализатор? ИМХО, анализ кода не особо эффективный метод - с одной стороны ложное срабатывание, с другой - пропуск.
#28
Отправлено 28 Июль 2010 - 14:30
#29
Отправлено 28 Июль 2010 - 15:10
У меня другие. Все, что я засылал как "downloader.origin" или "muldrop.origin" таковыми и оказывались.Лично я не в восторге от Origin,если иметь ввиду тот детект когда к названию вируса добавляется ...origin.Такие деткты всегда оказывались фолсами после обоаботки их в вирлабе.Может у кого-то и другие впечатления.
Борис А. Чертенко aka Borka.
#30
Отправлено 28 Июль 2010 - 20:07
ИМХО, аналитикам стоит проверить этот Prun на соответствии действительности.пакет фильтров для MPC-HC svn2099, опять на flvsplitter.ax сработал DrWeb, только теперь это Trojan.Prun.5... http://www.virustotal.com/ru/analisis/dea5...1a19-1280334095
P.S. Файла у меня нет.
#31
Отправлено 28 Июль 2010 - 20:56
http://online.us.drweb.com/cache/?i=9392ce...59a7dd5ba904fdc
#1433016
Автор сообщения уже получил ответ: ложняк. Просьба к аналитикам проверить сигнатуру Trojan.Prun.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых