RAPORTEAZA un virus!
Last Updated: Nov 01 2017 14:07, Started by
websitefinder
, Jan 14 2008 21:25
·
0
#20
Posted 27 May 2008 - 18:23
Acesta nu e topic de suport. Cititi prima postare care indica cu claritate subiectul.
olivian, deschide un nou topic cu problema ta. Pe viitor orice comentariu care nu se incadreaza in tema va fi sters. |
#21
Posted 28 May 2008 - 04:52
dan33, on May 27 2008, 10:45, said: a aparut un nou virus care nu e detectat de nici un antivirus la executare isi da restart la computer si se multiplica in tot computerul si isi ia denumirea oricarui executabil care gaseste in computer toate fisierele au dimensiunea de 4,45 MB atasez un printscreen ca sa vedeti cum arata iconita de la fisierul virusat O sa incerc sa trimit sample-ul si pe la altii (scuze de intarziere, dar sunt in mijlocul sesiunii ) Doua chestii: 1) "Virusul" asta nu e decat o mare vrajeala, facuta de un om plictisit (romanas de-al nostru). Motivul pentru care e gigant (4MB) e ca e facut in Delphi, si contine un ditamai screenshot-ul (in care se vede Explorer, Winamp, etc... mai exact ceva inutil ) pus doar ca sa fie fisierul mare. Din acelasi motiv, e oarecum dificil sa pui semnatura pe asa ceva, pentru ca o "chestie" dintr-asta se poate face in 5 minute de oricine. Tocmai asta e motivul pentru care niciun AV nu l-a prins, pentru ca este ceva mult prea generic. Adica, sa fim seriosi, nu poti semna un vbs care inchide calculatorul ca fiind malware. Astfel de vbs-uri au mii de intrebuintari, multe neavand scopuri distructive. 2) Faza interesanta e ca nu mi s-a spus (de catre cei de la analiza) de partea cu multiplicatul, ci doar de partea cu vbs-ul din startup (parte pe care am observat-o si eu). O sa intreb daca e asa (eu stiu...poate ce mi-ai dat nu e chiar "varianta completa") Edited by alexcrist, 28 May 2008 - 04:53. |
#22
Posted 30 May 2008 - 10:06
Acum doua zile am dowloadat un trojan de pe net, care se prezenta ca un fals antivirus. Scanarea initiala arata ca este "curat", dupa cum puteti vedea aici: http://www.virustota...2cb31f7d05b78b1
Am trmis fisierul spre analiza la vreo 30 de producatori. Pana acum nu am primit decat putine confirmari. Kaspersky: "Hello. New malicious software was found in the attached file. Its detection will be included in the next update. Thank you for your help. ----------------- Regards, Vladimir Lebedev Virus Analyst, Kaspersky Lab." Sophos: "Thank you for submitting your sample. We will send you the results of our investigation as soon as possible." (l-au inclus deja in semnaturi) Avira: "The file 'AntvrsInstall.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.FraudLoa.VO. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates. " CA: "The Windows PE (I386,EXE) file "AntvrsInstall.exe" has been determined to be malicious." Ceilalti, mai greu, dupa cum puteti vedea mai jos la ultima scanare: virus.jpg 128.9K 164 downloads EDIT: Ca sa fiu drept, nu toti antivirusii din imagine au update la ultimele semnaturi. Insa cred ca situatia va ramene neschimbata in urmatoarele zile. O sa rescanez fisierul sa vad cum evolueaza. Edited by ianus, 30 May 2008 - 10:12. |
#23
Posted 30 May 2008 - 12:29
AntvrsInstall.exe este un rogue application cunoscut si al carui executabil se schimba foarte des.
|
#24
Posted 30 May 2008 - 13:00
pykko, on May 30 2008, 07:29, said: AntvrsInstall.exe este un rogue application cunoscut si al carui executabil se schimba foarte des. Asa este, insa eu subliniam cat timp le ia la unii producatori pana-si updateaza semanturile. Ar fi usor daca ar monitoriza permanent linkurile de unde se descarca "noile versiuni" de malware, deoarece nu prea se schimba. Cativa dintre ei nici nu mai includ astfel de threaturi, consideran ca metodele generale, euristice sunt suficente ca sa previna infectarea. Partea negativa e ca la scanare fisierul iese "curat". Edited by ianus, 30 May 2008 - 13:01. |
#25
Posted 30 May 2008 - 13:05
ianus, on May 30 2008, 14:00, said: Asa este, insa eu subliniam cat timp le ia la unii producatori pana-si updateaza semanturile. Ar fi usor daca ar monitoriza permanent linkurile de unde se descarca "noile versiuni" de malware, deoarece nu prea se schimba. Cativa dintre ei nici nu mai includ astfel de threaturi, consideran ca metodele generale, euristice sunt suficente ca sa previna infectarea. Partea negativa e ca la scanare fisierul iese "curat". |
#26
Posted 30 May 2008 - 13:10
ianus, on May 30 2008, 14:00, said: Asa este, insa eu subliniam cat timp le ia la unii producatori pana-si updateaza semanturile. Ar fi usor daca ar monitoriza permanent linkurile de unde se descarca "noile versiuni" de malware, deoarece nu prea se schimba. Cativa dintre ei nici nu mai includ astfel de threaturi, consideran ca metodele generale, euristice sunt suficente ca sa previna infectarea. Partea negativa e ca la scanare fisierul iese "curat". E greu, deoarece mereu se schimba, in plus, webul e plin de servere care hosteaza exclusiv malware (in Rusia, mai ales), asa ca e greu sa le urmaresti pe toate. |
#27
Posted 30 May 2008 - 16:46
pykko, on May 30 2008, 08:05, said: dupa rularea installer-ului pe care-l ai tu, componentele extrase: .dll-uri, .exe sau chiar .tmp sunt detectate in principiu. mda, dar as avea nevoie sa-mi zica inainte de a-l rula. AndreiASM, on May 30 2008, 08:10, said: E greu, deoarece mereu se schimba, in plus, webul e plin de servere care hosteaza exclusiv malware (in Rusia, mai ales), asa ca e greu sa le urmaresti pe toate. vb din experienta? nu cred ca e infernal de greu, si nu trebuie sa monitorizezi toate linkurile, sunt multe care distribuie acelasi lucru, iar supravegherea se poate face si automatizat. Mai ales ca exista si voluntari care sa te ajute. De pilda CastleCops au o sectiune MIRT http://www.castlecop...e...&fp=malware unde gasesti link-urile proaspete, de obicei alea primite prin email. Am luat de curiozitate un fisier numit video.exe si l-am scanat: http://www.virustota...73a36e6c0052138 jumate din antivirusi il considera curat, la sase zile de la aparitie. O fi greu ca un om sa arunce un ochi pe ele zilnic? iar daca nu ajunge un om, mai angajezi unul. Un raspuns de genul asta mi l-au dat cei de la Panda. Imi pare rau ca nu am pastrat mailul. Ziceau ca sunt depasiti de situatie, ca primesc o multime de mostre prin email si ca pentru fiecare trebuie sa trimita raspuns si nu prea fac fata etc. Aproape ca sugerau sa nu mai trimit nimic. In opinia mea, nici un producator actual de antivirusi nu se descurca onorabil nici cu virusii, nici cu spamul, desi ar putea face o gramade de lucruri. Alte lucruri interesante: Kaspersky, Gdata si F-secure par sa colaboreze la colectarea semnaturilor, ce stie unul stie si celalalt si folosesc aceleasi denumiri. Cu atat mai bine. Nod32 se bazeaza foarte mult pe euristica si detectie proactiva, ca la modul real are putine semnaturi in baza. Nu am primit vreodata confirmari de la ei. F-prot nu pare interesat de mostre, nu-si updateaza corespunzator baza de date. La fel si alti producatori mai marunti. Norman utilizeaza un simulator "sandbox" unde programele suspecte sunt rulate pe o masina viruala si se observa daca sunt periculose sau nu. http://www.norman.co...us_sample/en-us Ideea e buna in principiu, insa tot malware-ul trimis pana acum in sadbox-ul lor a fost considerat OK. De aici mi-am facut o parere destul de proasta despre tehnologia lor. Chinezii de la Rising Av nu avea nici o modalitate de a le trmite mostre, decat un upload daca folosei produsul lor. Am fortat putin procedura si le-am expediat fisierele prin formularele de contact, desi nu erau destinate pentru asta. Acum au si ei o pagina speciala: http://sample.rising...l/upload_en.htm |
#28
Posted 30 May 2008 - 17:01
ianus, on May 30 2008, 17:46, said: mda, dar as avea nevoie sa-mi zica inainte de a-l rula. vb din experienta? nu cred ca e infernal de greu, si nu trebuie sa monitorizezi toate linkurile, sunt multe care distribuie acelasi lucru, iar supravegherea se poate face si automatizat. Mai ales ca exista si voluntari care sa te ajute. De pilda CastleCops au o sectiune MIRT http://www.castlecop...e...&fp=malware unde gasesti link-urile proaspete, de obicei alea primite prin email. Am luat de curiozitate un fisier numit video.exe si l-am scanat: http://www.virustota...73a36e6c0052138 jumate din antivirusi il considera curat, la sase zile de la aparitie. O fi greu ca un om sa arunce un ochi pe ele zilnic? iar daca nu ajunge un om, mai angajezi unul. Un raspuns de genul asta mi l-au dat cei de la Panda. Imi pare rau ca nu am pastrat mailul. Ziceau ca sunt depasiti de situatie, ca primesc o multime de mostre prin email si ca pentru fiecare trebuie sa trimita raspuns si nu prea fac fata etc. Aproape ca sugerau sa nu mai trimit nimic. In opinia mea, nici un producator actual de antivirusi nu se descurca onorabil nici cu virusii, nici cu spamul, desi ar putea face o gramade de lucruri. Alte lucruri interesante: Kaspersky, Gdata si F-secure par sa colaboreze la colectarea semnaturilor, ce stie unul stie si celalalt si folosesc aceleasi denumiri. Cu atat mai bine. Nod32 se bazeaza foarte mult pe euristica si detectie proactiva, ca la modul real are putine semnaturi in baza. Nu am primit vreodata confirmari de la ei. F-prot nu pare interesat de mostre, nu-si updateaza corespunzator baza de date. La fel si alti producatori mai marunti. Norman utilizeaza un simulator "sandbox" unde programele suspecte sunt rulate pe o masina viruala si se observa daca sunt periculose sau nu. http://www.norman.co...us_sample/en-us Ideea e buna in principiu, insa tot malware-ul trimis pana acum in sadbox-ul lor a fost considerat OK. De aici mi-am facut o parere destul de proasta despre tehnologia lor. Chinezii de la Rising Av nu avea nici o modalitate de a le trmite mostre, decat un upload daca folosei produsul lor. Am fortat putin procedura si le-am expediat fisierele prin formularele de contact, desi nu erau destinate pentru asta. Acum au si ei o pagina speciala: http://sample.rising...l/upload_en.htm Da, pot sa zic ca vorbesc si din proprie experienta. 95% din programele malware peste care arunc o privire zilnic se conecteaza la siteuri obscure (ati ghicit: localizate prin Rusia) si downloadeaza zeci de specii de Zlob, Vundo, Virtumode, si alte mizerii de troieni. Programele malware sunt multe, analistii sunt putini. La BitDefender, de exemplu, analistii muncesc in ture, non-stop va fi cineva acolo care raspunde la e-mailuri sau la probele trimise pe forum. Deseori, si acolo casutele de e-mail colcaie de malware. E usor sa zici ca angajeaza inca unul si inca unul, dar analistii trebuie sa fie platiti, si nu cred ca tu, in calitate de analist, te-ai duce sa lucrezi undeva pe bani marunti, ai vrea sa ti se respecte drepturile si capacitatile intelectuale, si sa fi platit pe masura. Da, e bine ceea ce face Kaspersky cu GData si F-Secure, insa trebuie sa ne gandim si la rivalitatea pt .detinerea suprematiei intre Kaspersky/Nod 32/BitDefender. Oricat v-ar displacea multora, BitDefender este in continuare un AV de top, si tind sa cred ca noua versiune 2009 va sparge topurile exact ca si versiunea 10 Internet Security. Cei de la Norman au facut-o lata cu "Virtual Machineul" lor. De ce? Deoarece a devenit conditie de baza ca un malware "bun" sa nu ruleze in conditii controlate, pt. a face analiza mult mai dificila. |
|
#29
Posted 10 June 2008 - 17:26
A aparut o noua invazie pe mailuri cu un worm cu mesajul "I love you" sau stiintific Worm.Win32.Zhelatin.
Iarasai putem vedea care antivirusi sunt buni si care nu: http://www.virustota...f1da60728bb77bc |
#30
Posted 11 June 2008 - 13:50
Incredibil ! pariez ca nu stiati de asta ! IMEN, antivirusul iranian. http://www.imenantiv...uct/product.htm
Aici sunt niste utilitare gratuite: http://www.imenantiv...oad/dwnload.htm imen.jpg 68.33K 106 downloads Puteti sa le trimiteti virusii aici: http://www.imenantiv...it.aspx?Lang=En (sper sa nu-i incurce pre mult). |
#31
Posted 02 July 2008 - 13:34
Imi spuneti si mie ce virusi sunt astia? primi 2
Attached Files |
#32
Posted 02 July 2008 - 13:42
Primii doi nu sunt virusi, propiu-zis. Sunt niste modificari anormale produse in fisierele respective, modificari care sunt produse deseori de catre virusi sau alte malware-uri.
O zi buna. |
#33
Posted 02 July 2008 - 20:26
|
#34
Posted 02 July 2008 - 20:46
alexcrist, on Jul 2 2008, 21:26, said: Completare: sau de catre programe legitme. O seara placuta Edited by colda, 02 July 2008 - 20:50. |
#35
Posted 20 August 2008 - 11:53
un virus care nu e detectat decat de anumiti antivirusi, se gaseste in general in arhivele de pe site-uri cu crack-uri, seriale, etc
sub denumirea de crack_ver1.454.0.exe. pentru detalii http://www.virustota...393a129b8724f3e o zi buna |
#36
Posted 21 August 2008 - 10:49
viermele se numeste W32.Rispif.A
mi-a creat multe probleme cu ARP poisoning in retea. nu am gasit inca metoda de dezinfectare. Discovered: August 19, 2008 Updated: August 19, 2008 5:57:50 PM Type: Worm Infection Length: 14,355 bytes Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP SUMMARY W32.Rispif.A is a worm that spreads by copying itself to removable and fixed drives from C through Z. The worm may perform ARP injection or may download a component to do so. |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users