RAPORTEAZA un virus!

Astazi Avira mi-a detectat ca am ADSPY/VIRTUMONDE.TRZ dar nu poate sa-i faca nimic... imi da doar mesaje ca-l detecteaza.. Stie cineva ce se poate face?

Acesta nu e topic de suport. Cititi prima postare care indica cu claritate subiectul.
olivian, deschide un nou topic cu problema ta.
Pe viitor orice comentariu care nu se incadreaza in tema va fi sters.

dan33, on May 27 2008, 10:45, said:

BitDefender a adaugat detectia aseara, sub denumirea de Trojan.Agent.Delf.KI (a intrat deja in definitii)

O sa incerc sa trimit sample-ul si pe la altii (scuze de intarziere, dar sunt in mijlocul sesiunii )

Doua chestii:
1) "Virusul" asta nu e decat o mare vrajeala, facuta de un om plictisit (romanas de-al nostru). Motivul pentru care e gigant (4MB) e ca e facut in Delphi, si contine un ditamai screenshot-ul (in care se vede Explorer, Winamp, etc... mai exact ceva inutil ) pus doar ca sa fie fisierul mare. Din acelasi motiv, e oarecum dificil sa pui semnatura pe asa ceva, pentru ca o "chestie" dintr-asta se poate face in 5 minute de oricine. Tocmai asta e motivul pentru care niciun AV nu l-a prins, pentru ca este ceva mult prea generic. Adica, sa fim seriosi, nu poti semna un vbs care inchide calculatorul ca fiind malware. Astfel de vbs-uri au mii de intrebuintari, multe neavand scopuri distructive.

2) Faza interesanta e ca nu mi s-a spus (de catre cei de la analiza) de partea cu multiplicatul, ci doar de partea cu vbs-ul din startup (parte pe care am observat-o si eu). O sa intreb daca e asa (eu stiu...poate ce mi-ai dat nu e chiar "varianta completa")

Edited by alexcrist, 28 May 2008 - 04:53.

Acum doua zile am dowloadat un trojan de pe net, care se prezenta ca un fals antivirus. Scanarea initiala arata ca este "curat", dupa cum puteti vedea aici: http://www.virustota...2cb31f7d05b78b1
Am trmis fisierul spre analiza la vreo 30 de producatori. Pana acum nu am primit decat putine confirmari.

Kaspersky:
"Hello.
New malicious software was found in the attached file. Its detection will be included in the next update. Thank you for your help.
-----------------
Regards, Vladimir Lebedev
Virus Analyst, Kaspersky Lab."

Sophos:
"Thank you for submitting your sample. We will send you the results of our investigation as soon as possible." (l-au inclus deja in semnaturi)

Avira:
"The file 'AntvrsInstall.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.FraudLoa.VO. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. "
CA:
"The Windows PE (I386,EXE) file "AntvrsInstall.exe" has been determined to be malicious."

Ceilalti, mai greu, dupa cum puteti vedea mai jos la ultima scanare:
 virus.jpg   128.9K   164 downloads

EDIT:
Ca sa fiu drept, nu toti antivirusii din imagine au update la ultimele semnaturi. Insa cred ca situatia va ramene neschimbata in urmatoarele zile. O sa rescanez fisierul sa vad cum evolueaza.

Edited by ianus, 30 May 2008 - 10:12.

AntvrsInstall.exe este un rogue application cunoscut si al carui executabil se schimba foarte des.

pykko, on May 30 2008, 07:29, said:

Asa este, insa eu subliniam cat timp le ia la unii producatori pana-si updateaza semanturile. Ar fi usor daca ar monitoriza permanent linkurile de unde se descarca "noile versiuni" de malware, deoarece nu prea se schimba. Cativa dintre ei nici nu mai includ astfel de threaturi, consideran ca metodele generale, euristice sunt suficente ca sa previna infectarea. Partea negativa e ca la scanare fisierul iese "curat".

Edited by ianus, 30 May 2008 - 13:01.

ianus, on May 30 2008, 14:00, said:

dupa rularea installer-ului pe care-l ai tu, componentele extrase: .dll-uri, .exe sau chiar .tmp sunt detectate in principiu.

ianus, on May 30 2008, 14:00, said:

E greu, deoarece mereu se schimba, in plus, webul e plin de servere care hosteaza exclusiv malware (in Rusia, mai ales), asa ca e greu sa le urmaresti pe toate.

pykko, on May 30 2008, 08:05, said:

mda, dar as avea nevoie sa-mi zica inainte de a-l rula.

AndreiASM, on May 30 2008, 08:10, said:

vb din experienta?  
nu cred ca e infernal de greu, si nu trebuie sa monitorizezi toate linkurile, sunt multe care distribuie acelasi lucru, iar supravegherea se poate face si automatizat. Mai ales ca exista si voluntari care sa te ajute. De pilda CastleCops au o sectiune MIRT http://www.castlecop...e...&fp=malware unde gasesti link-urile proaspete, de obicei alea primite prin email.
Am luat de curiozitate un fisier numit video.exe si l-am scanat: http://www.virustota...73a36e6c0052138 jumate din antivirusi il considera curat, la sase zile de la aparitie. O fi greu ca un om sa arunce un ochi pe ele zilnic? iar daca nu ajunge un om, mai angajezi unul.
Un raspuns de genul asta mi l-au dat cei de la Panda. Imi pare rau ca nu am pastrat mailul. Ziceau ca sunt depasiti de situatie, ca primesc o multime de mostre prin email si ca pentru fiecare trebuie sa trimita raspuns si nu prea fac fata etc. Aproape ca sugerau sa nu mai trimit nimic.
In opinia mea, nici un producator actual de antivirusi nu se descurca onorabil nici cu virusii, nici cu spamul, desi ar putea face o gramade de lucruri.


Alte lucruri interesante: Kaspersky, Gdata si F-secure par sa colaboreze la colectarea semnaturilor, ce stie unul stie si celalalt si folosesc aceleasi denumiri. Cu atat mai bine. Nod32 se bazeaza foarte mult pe euristica si detectie proactiva, ca la modul real are putine semnaturi in baza. Nu am primit vreodata confirmari de la ei. F-prot nu pare interesat de mostre, nu-si updateaza corespunzator baza de date. La fel si alti producatori mai marunti.

Norman utilizeaza un simulator "sandbox" unde programele suspecte sunt rulate pe o masina viruala si se observa daca sunt periculose sau nu.
http://www.norman.co...us_sample/en-us
Ideea e buna in principiu, insa tot malware-ul  trimis pana acum in sadbox-ul lor a fost considerat OK. De aici mi-am facut o parere destul de proasta despre tehnologia lor.
Chinezii de la Rising Av nu avea nici o modalitate de a le trmite mostre, decat un upload daca folosei produsul lor. Am fortat putin procedura si le-am expediat fisierele prin formularele de contact, desi nu erau destinate pentru asta. Acum au si ei o pagina speciala: http://sample.rising...l/upload_en.htm

ianus, on May 30 2008, 17:46, said:

Da, pot sa zic ca vorbesc si din proprie experienta. 95% din programele malware peste care arunc o privire zilnic se conecteaza la siteuri obscure (ati ghicit: localizate prin Rusia) si downloadeaza zeci de specii de Zlob, Vundo, Virtumode, si alte mizerii de troieni. Programele malware sunt multe, analistii sunt putini. La BitDefender, de exemplu, analistii muncesc in ture, non-stop va fi cineva acolo care raspunde la e-mailuri sau la probele trimise pe forum. Deseori, si acolo casutele de e-mail colcaie de malware.

E usor sa zici ca angajeaza inca unul si inca unul, dar analistii trebuie sa fie platiti, si nu cred ca tu, in calitate de analist, te-ai duce sa lucrezi undeva pe bani marunti, ai vrea sa ti se respecte drepturile si capacitatile intelectuale, si sa fi platit pe masura.

Da, e bine ceea ce face Kaspersky cu GData si F-Secure, insa trebuie sa ne gandim si la rivalitatea pt .detinerea suprematiei intre Kaspersky/Nod 32/BitDefender. Oricat v-ar displacea multora, BitDefender este in continuare un AV de top, si tind sa cred ca noua versiune 2009 va sparge topurile exact ca si versiunea 10 Internet Security.

Cei de la Norman au facut-o lata cu "Virtual Machineul" lor. De ce? Deoarece a devenit conditie de baza ca un malware "bun" sa nu ruleze in conditii controlate, pt. a face analiza mult mai dificila.

A aparut o noua invazie pe mailuri cu un worm cu mesajul "I love you" sau stiintific Worm.Win32.Zhelatin.
Iarasai putem vedea care antivirusi sunt buni si care nu: http://www.virustota...f1da60728bb77bc

Incredibil ! pariez ca nu stiati de asta ! IMEN, antivirusul iranian. http://www.imenantiv...uct/product.htm
Aici sunt niste utilitare gratuite: http://www.imenantiv...oad/dwnload.htm
 imen.jpg   68.33K   106 downloads
Puteti sa le trimiteti virusii aici: http://www.imenantiv...it.aspx?Lang=En (sper sa nu-i incurce pre mult).

Imi spuneti si mie ce virusi sunt astia? primi 2

Primii doi nu sunt virusi, propiu-zis. Sunt niste modificari anormale produse in fisierele respective, modificari care sunt produse deseori de catre virusi sau alte malware-uri.

O zi buna.

colda, on Jul 2 2008, 14:42, said:

Completare: sau de catre programe legitme.

alexcrist, on Jul 2 2008, 21:26, said:

Da, multumesc frumos pentru completare. Am facut referire doar la intrebarea ce virusi sunt si am dat doar o explicatie,  imi scapasera din vedere programele legitime, mea culpa.
O seara placuta

Edited by colda, 02 July 2008 - 20:50.

un virus care nu e detectat decat de anumiti antivirusi, se gaseste in general in arhivele de pe site-uri cu crack-uri, seriale, etc
sub denumirea de crack_ver1.454.0.exe. pentru detalii http://www.virustota...393a129b8724f3e

o zi buna

viermele se numeste W32.Rispif.A
mi-a creat multe probleme cu ARP poisoning in retea. nu am gasit inca metoda de dezinfectare.

Discovered: August 19, 2008
Updated: August 19, 2008 5:57:50 PM
Type: Worm
Infection Length: 14,355 bytes
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
SUMMARY
W32.Rispif.A is a worm that spreads by copying itself to removable and fixed drives from C through Z.
The worm may perform ARP injection or may download a component to do so.