Форум
Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Главная » Общие » Общение на SecurityLab
Страницы: 1
RSS
Каспер и ДырВеб нифига не ловят мышей
#1
08.09.2010 09:56:31
2 сентября мне поступло письмо с вложенным архивом, в котором находился полмегабайтный файл с двойным расширением xls.exe. Я сразу-же проверил его на virustotal и уже на тот момент почти половина антивирусов нашли в нем троян. Но Каспер и ДырВеб ничего не выявили.
На всякий случай я еще прогнал данный файл через онлайн-проверки на этих сайтах и тоже ничего не нашел.
Как обычно в таких случаях, я сразу-же на обоих сайтах отправил указанный файл на анализ. По мылу пришел ответ типа файл принят на обработку, спасибо за сотруничество и все такое.
Но вот прошла уже неделя как я отправил, но на текущий момент ни Каспер, ни ДырВеб этот файл так и не определяют.
Учитывая что данные антивирусы являются одними из самых популярных в России, стоит ли после таких тормозов удивляться всем этим массовым вирусным эпидемиям.
Изменено: Сетевой - 08.09.2010 10:14:13
 
 
#2
08.09.2010 10:01:37
Ну ссылку бы дали с проверкой "вашего" файла на virustotal.com
 
 
#3
08.09.2010 10:08:37
Результаты проверки файла на текущий момент.
 
 
#4
08.09.2010 10:17:04
Сетевой,
Каспера с расширенными базами пробовали?
Тут похоже зараза не сам файл, а упакованная в нем...
 
 
#5
08.09.2010 10:27:30
вполне возможно.. но тем не менее 25 антиврусов из 43 эту шнягу обнаружили
я не ставил перед собой цель выявить троян каспером или дрвебом.. мне вполне достаточно остальной статистики.. у меня вообще Аваст стоит (который кстати сразу обнаружил троян)
просто хотел помочь Касперу и ДырВебу актуализировать свои базы.. но их самих по всей видимости это не волнует.
Изменено: Сетевой - 08.09.2010 10:31:15
 
 
#6
11.09.2010 19:59:44
Ну да знаменитые каспер и веб - не всегда ловят заразу, даже такую.
 
 
#7
13.09.2010 08:21:23
дело не в том, что не ловят.. это нормальная ситуация
новые вирусы всегда появляются раньше, чем антивирусы научатся их распознавать и адекватно реагировать.
проблема в том, что они не хотят этим заниматься, хотя именно за это им платят миллионы пользователей, покупая их антивирусы.

после отправки файла на анализ прошло уже 10 дней - и до сих пор Каспер и ДырВеб его не идентифицируют.
 
 
#8
13.09.2010 10:25:02
Сетевой,
Обратитесь тогда уж на форум Каспера или Веба... и опишите ситуацию...
 
 
#9
13.09.2010 11:30:49
А вы пробовали запускать на выполнение этот файл?
 
 
#10
13.09.2010 11:58:42
Цитата
H-Vost пишет:
А вы пробовали запускать на выполнение этот файл?


вы сами именно таким способом выявляете вирусы? smile:o

1. Аваст его сразу же замочил.. в тот-же день.
2. Результаты проверки на Virustotal тоже однозначные.
3. Комбинация нескольких факторов явно указывает на применение социальной инженерии для принуждения пользователя открыть данный файл: электронный адрес, с которого якобы отправлено письмо, текст письма, подпись, наименование файла архива и самого запакованного файла - все связано с тематикой системы Киберплат.
Можно предположить что данный троян рассылался именно с целью для взлома системы Киберплат с рабочего места участника системы, который поддастся на вышеперечисленные уловки.
И у которого не дай бог стоит именно Каспер или ДырВеб.
Изменено: Сетевой - 13.09.2010 12:11:24
 
 
#11
13.09.2010 15:22:29
Цитата
вы сами именно таким способом выявляете вирусы?

Да, на тестовых машинах.
Просто некоторые оптимизации работы антивирусов (с целью сохранить ресурсы системы) не всегда изучают файл когда он просто копируется. Возможно, что его вредосносная деятельность будет пресечена именно в процессе его выполнения (при попытке распаковать вложенные данные, например, именно они и будут распознанны).
 
 
#12
13.09.2010 16:52:34
ты предлагаешь развернуть у себя локальный аналог Вирустотала и тестить каждый подозрительный файл на куче тестовых компов с разными антивирями?
лично я не ставлю перед собой задачу раскрыть нутро и алгоритм данного вируса или проверить эрекцию всех известных антивирей.

меня вполне устраивает что мой антивирь его распознал.

просто "за державу обидно".. точнее за отдельных ее представителей.. а еще точнее за пользователей, которые им доверились.

кстати только что скачаный CureIt ничего в файле не нашел.
Изменено: Сетевой - 13.09.2010 17:05:20
 
 
#13
13.09.2010 17:31:48
Сетевой,
Киньте мне на icebeerg(сцобако)newmail.ru заразу, в архиве с указанием пароля.
 
 
#14
14.09.2010 22:26:32
мое терпение не выдержало и я в очередной раз отправил сегодня данный вирус на анализ обоим производятелам.

и вот наконец-то свершилось!!!
Каспер и ДырВеб наконец соизволили его проанализировать и добавить в свои базы!!!!
и даже ответили на мое первое обращение от 2 сентября!!! Офигеть!!! Вот это оперативность!!!
А ведь прошло всего каких-то 12 дней, в течение которых зараза благополучно размножалась на компах ничего не подозревающих пользователей.. и возможно натырила своему создателю за это время кучу бабла.
Справедливости ради должен отметить, что раньше на подобные обращения реагировали весьма оперативно.. в течение пары часов добавляли новые сигнатуры в свои базы.
 
 
#15
15.09.2010 00:13:14
Цитата
добавить в свои базы!!!!

Вот опять абсолютно бесполезная штучка под "не админами", была добавлена в базы.
Теперь
Цитата
на компах ничего не подозревающих пользователей..

будет выполняться на пару сотен операций больше.
П.С. Графики кол-ва сигнатур за 2003-2009 найдете у каспера на сайте.
 
 
#16
15.09.2010 10:51:49
Цитата
Сетевой пишет:
просто "за державу обидно".. точнее за отдельных ее представителей.. а еще точнее за пользователей, которые им доверились.

Не один антивирус не защит вас на 100% от это гадости под названием "вирус". Если касп и докт не нашел этот вирус то это не значить что они "отстойные". Больше чем у верен любые другие антивирусы так же не находь большое количество вирусов которые знают они. Не льзя судить антивирь по одному случаю. Для этого есть статистики;)
Del-Del-Del-Del... - Клавиатура Калашникова...

 
 
#17
15.09.2010 12:20:44
Цитата
Сетевой пишет:
и даже ответили на мое первое обращение от 2 сентября!!!
Чего Вы суетитесь? Отпускной сезон закончился - вот конторы и заработали (:
Если ты споришь с идиотом, то вероятно, тоже самое делает и он.
 
 
#18
15.09.2010 17:13:37
http://www.virustotal.com/file-scan/r...1284552111
мде. чуть кирпич не родил, благо нашелся внезапный бекап
умных ответов счетное множество, глупых вопросов - континуум.
 
 
#19
22.09.2010 22:21:51
Сетевой, Ставьте Norton Internet Security 18.1.0.37.
HP Pavilion dv2-1020er (AMD Athlon Neo MV-40, ATI Radeon X1270, 1 Гб, DDR2-800, AMD RS690M + SB600, Seagate ST9160310AS, SD/MMC/xD/MS/MS Pro, Windows Vista Home Basic SP1 (32bit))
 
 
 
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)