А на virustotal их Symantec определяет?Сообщение от WaterFish
А на virustotal их Symantec определяет?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да он как бы и на картинке не очень определяет.
Три из девяти - это круто.
Вот сейчас скачал и проверил сканером дрвеба:Да он как бы и на картинке не очень определяет
Три из девяти - это круто.
[Scan path] D:\wget\virs\tst\promo.dollarrevenue.com
D:\wget\virs\tst\promo.dollarrevenue.com\webmaster exe\drsmartload154a.exe is adware program Adware.DollarRevenue
[Scan path] D:\wget\virs\tst\81.177.3.175
D:\wget\virs\tst\81.177.3.175\images\parad.raw infected with Trojan.Spambot - deleted
[Scan path] D:\wget\virs\tst\game4all.biz
>D:\wget\virs\tst\game4all.biz\adv\soft1\proxy.e xe infected with Trojan.DownLoader.7340 - deleted
>D:\wget\virs\tst\game4all.biz\adv\soft1\tool.ex e infected with Trojan.DownLoader.7341 - deleted
[Scan path] D:\wget\virs\tst\porno-video-free.com
D:\wget\virs\tst\porno-video-free.com\loader\bin\file1.exe infected with Trojan.PWS.Tanspy - deleted
[Scan path] D:\wget\virs\tst\195.225.176.34
>D:\wget\virs\tst\195.225.176.34\ad\0077\advertool .exe infected with Trojan.DownLoader.7342 - deleted
[Scan path] D:\wget\virs\tst\traffweb.biz
D:\wget\virs\tst\traffweb.biz\progs\ms1.txt infected with Trojan.DownLoader.7380 - deleted
D:\wget\virs\tst\traffweb.biz\progs\tool3.txt infected with Trojan.DownLoader.6985 - deleted
[Scan path] D:\wget\virs\tst\www.positanoperu.com
D:\wget\virs\tst\www.positanoperu.com\sys.exe infected with Trojan.MulDrop.3391 - deleted
[Scan path] D:\wget\virs\tst\www.sexycelebrita.net
>D:\wget\virs\tst\www.sexycelebrita.net\ax.exe is dialer program Dialer.Celebrat
Сейчас попробую кавом проверить - думаю, все будет аналогично.
Нет.
Отправь в Symantec - будет все определятьТри из девяти - это круто
Вот проверка того же KAV-ом:
D:\wget\virs\tst\promo.dollarrevenue.com\webmaster exe\drsmartload154a.exe Инфицирован Trojan-Downloader.Win32.Adload.ab
D:\wget\virs\tst\81.177.3.175\images\parad.raw Инфицирован Trojan-Proxy.Win32.Lager.ar
D:\wget\virs\tst\game4all.biz\adv\soft1\proxy.exe Инфицирован Trojan-Downloader.Win32.Tibs.dm
D:\wget\virs\tst\game4all.biz\adv\soft1\tool.exe Инфицирован Trojan-Downloader.Win32.Tibs.dl
D:\wget\virs\tst\porno-video-free.com\loader\bin\file1.exe Инфицирован Trojan-PSW.Win32.Agent.eo
D:\wget\virs\tst\195.225.176.34\ad\0077\advertool. exe Инфицирован Backdoor.Win32.Agent.we
D:\wget\virs\tst\traffweb.biz\progs\tool3.txt Инфицирован Trojan-Downloader.Win32.Tiny.bm
D:\wget\virs\tst\www.positanoperu.com\sys.exe Инфицирован Trojan-Dropper.Win32.Small.ang
D:\wget\virs\tst\www.sexycelebrita.net\ax.exe Инфицирован Trojan.Win32.Dialer.oq
Вот когда будет - тогда и будет о чем говорить.Нет.
Отправь в Symantec - будет все определять
А пока, извините, просто не о чем.
Красивая туфта, не подкрепленная более ничем.
P.S. Ссылки я давал. Если Вы внимательно смотрели бы (впрочем, достаточно посмотреть на даты файлов по этим ссылкам) - часть заразы за прошедшее время уже обновилась и не детектилась. Как видите из вышеприведенных логов сканирования, нормальные антивирусы уже добавили обновленное в свои базы.
Выборка была абсолютно случайной. И даже на таком - такой крутой результат. Сорри, но только слепой может не видеть, что чего стоит.
Перепроверить все, что я написал выше - легче легкого. Если даже это для Вас не аргумент, говорить больше просто не о чем.
Последний раз редактировалось Alexey P.; 20.03.2006 в 16:42.
2 Alexey P.
Проверил те ссылки, что Вы дали, НОД32 - не увидел первых 2-х зверей. Отправлю аналитикам, посмотрю, что скажут.
Left home for a few days and look what happens...
"Эта песня хороша,начинай сначала"
Alexey P.
Я не пойму,кому и что ты пытаешься доказать?Что те же текстовые файлики,эти огрызки,могут сильно навредить?
Или что Dr.Web такой "крутой?
Я понимаю,что у некоторых хобби уже стало страстью:хлебом не корми,дай обо*рать мировые брэнды.
Все эти файлы меняются каждый день,если не чаще.Сейчас вот прогнал некоторые на Virus Total,так вообще никто ничего не видит.
Мой KAV так же в упор не видит никакого вируса в файле parad.raw
Это вообще странно.
Бедные-бедные миллионы пользователей Symantec,Trend Micro,McAfee и т.д....Ну,почему они,глупые, до сих пор так и не поняли,"что чего стоит"?но только слепой может не видеть, что чего стоит.
Последний раз редактировалось rayoflight; 20.03.2006 в 19:24.
Угу, отлично. Если не затруднит - покажите результат здесь. Самое интересное - даты: отправлено - обработано.Проверил те ссылки, что Вы дали, НОД32 - не увидел первых 2-х зверей. Отправлю аналитикам, посмотрю, что скажут.
А суть их ответа, имхо, и так вполне понятна - если еще есть сомнения, можно проверить заразу на вирустотал, там скорее всего, кроме касперского и дрвеба, уже детектит еще кто-нибудь - макафи, VBA и т.п.
Все приведенные в этом треде ссылки - действующая зараза. Т.е. то, что потом обнаруживается у пользователей в разделе "Помогите".
Трояны и т.п., лежащие где-то на складах, аккуратно разложенные и с приложенной инструкцией, мне не интересны, и ссылок на них у меня почти нет.
Последний раз редактировалось Alexey P.; 20.03.2006 в 20:03.
У Norton AV тоже нет русского фейса,тем не менее,его почему-то ставят все подряд,даже те,которые не знают что такое full scan,не говоря уже о настройках.
Мазохисты,наверное
У McAfee интерфейса-то,как такового,в принципе и нет:его заменяет дурацкий Security Center с рекламой других продуктов.
В интернете много жалоб на автоапдейты посредством ActiveX.Так же нередки проблемы с установкой/удалением,особенно на неанглийских системах.
М-да, после такой заявки доказать Вам персонально что-то сложно."Эта песня хороша,начинай сначала"
Alexey P.
Я не пойму,кому и что ты пытаешься доказать?Что те же текстовые файлики,эти огрызки,могут сильно навредить?
Думаю, и упомянутым Вами пользователям симсов - тоже.
Конкретней можно - где там хоть один текстовый файл ? Или то, что с расширением txt, не может быть ничем другим ?
ЗЫ: А о вреде я и не говорю. Разве ж рассылаемый через вас спамботом спам - это вред ? Нет, вот Вам всё равно, а спамеру - так вообще прямая польза
А чего ж тут странного ? Перечитайте мои письма хотя бы в одном этом треде, я несколько раз написал - оно часто обновляется. Это естественное состояние этой заразы - оно не для того пишется и выкладывается, чтоб его все сдуру сразу детектили. Люди свои деньги честно отрабатывают.Все эти файлы меняются каждый день,если не чаще.
Сейчас вот прогнал некоторые на Virus Total,так вообще никто ничего не видит. Мой KAV так же в упор не видит никакого вируса в файле parad.raw. Это вообще странно.
Насчет "каждый день, если не чаще" - нет, не чаще. Слава богу
А за наводку на обновленное добро спасибо, сейчас посмотрим.
А насчет "огрызков текстовых файлов" - Вы что-то явно путаете. Это зараза в самом ее натуральном виде.
Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите"
rayoflight - взгляните на один файл:
hxxp://fr33.by.ru/ol.txt
Вот он действительно текстовый, в отличие от всего вышеупомянутого.
Одно странно - эти сбрендившие параноики обзывают невинный текст каждый по-своему: кто Win32.HLLM.Graz.based, кто Worm.Win32.Feebs, кто и похуже.
В смысле никак не обзывает
ЗЫ: Блин, этот спамбот точно обновился. Задолбали, труженики мыша и клавы.
rayoflight, сенкс. Я сегодня и не собирался его проверять.
ЗЗЫ: Ну елы палы, показал пример. Один дрвеб детектит
--20:15:56-- hxxp://fr33.by.ru/ol.txt
=> `vir-mass/fr33.by.ru/ol.txt'
Connecting to 192.168.0.1:3128... connected.
Proxy request sent, awaiting response...
1 HTTP/1.0 200 OK
2 Date: Mon, 20 Mar 2006 17:15:27 GMT
3 Last-Modified: Mon, 20 Mar 2006 03:17:29 GMT
4 ETag: "14e1-1310d-993e8440"
5 Content-Length: 78093
6 Content-Type: text/plain; charset=WINDOWS-1251
7 Proxy-Connection: close
200 OK
В смысле червь обновился сегодня утром. Вот, тебе, бабушка, и юрьев день.
Даже кав и макафи не детектит. Могут, если захотят
This is a report processed by VirusTotal on 03/20/2006 at 18:15:37 (CET) after scanning the file "ol.txt" file.
Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 Win32.HLLM.Graz.based
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1452 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.20.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found
To rayoflight - если Вы еще не в курсе, это один из крутейших червей настоящего времени.
Говорят, действительно качественно сделан. Тут на форуме о нем уже много писали, заходили и испытавшие удовольствие
Последний раз редактировалось Alexey P.; 20.03.2006 в 20:23.
Alexey P, зря ты их пытаешся убедить. Чем больше людей пользуются Нортоном, тем больше популярность нашего форума, особенно раздела "Помогите"
Не, мы честные люди. И тем, кто хочет знаний - даем в руки реальные факты. Пусть смотрят, думают. Если не разучились еще совсем.
Совсем забыл, точнее, и мысли о такой возможности не допускал -
rayoflight
Не запускайте файлы, приведенные по ссылкам в этом треде. Они совсем не безопасны. Это не тестовые примеры, а реальные трояны.
Я не зря деактивировал все ссылки, изменив http на hxxp. Это мера защиты от случайного запуска.
Последний раз редактировалось Alexey P.; 20.03.2006 в 20:58.
Alexey P
Не запускал я ничего,спасибо за заботу
А насчёт hxxp так эти файлы прекрасно скачиваются и так,без hxxp/http
Кому надо,уже скачали и запустили
P.S.
Где ты берёшь всё это?
Я смотрю Др Веб показывает довольно хорошие результаты?
Небольшое дополнение. Я отправил эти файлы в ЛК около 12 ночи, ответ пришёл уже в четыре часа утра.
Да где придется. Вы верно заметили - хобби. И достаточно интересное.Где ты берёшь всё это?
Надо сказать, прекрасно вписывается в девиз этого форума - "За чистый интернет".
Многие из ссылок, включая и часть из приведенных в этом треде, взяты из лога загрузок других троянских загрузчиков. Сначала находишь немного, потом они сами покажут, где их гадюшник.
Есть сайты в интернете по этой тематике, к примеру, сайт японца Foffo Gunkanmaki. Много взял ссылок в свое время у него, да и сейчас поглядываю порой. Отсылал ему найденные мной ссылки - поблагодарил, часть выложил. Вот примерно так.
Да. По сравнению, скажем, с годом назад - намного улучшили работу вирус-лаба, увеличили число аналитиков и, по моему скромному мнению, более грамотно организовали их работу. Результат налицо. Хотя и хотелось бы большего.
Вот, к примеру, Участковый написал:
Вот этого вирус-лаб дрвеба еще не может. Круглосуточного дежурства нет, разве что изредка при необходимости.Небольшое дополнение. Я отправил эти файлы в ЛК около 12 ночи, ответ пришёл уже в четыре часа утра.
Работают реально примерно с 10 утра до 12 ночи msk. А с 12 до утра - перерыв.
Вот что о нем думает дрвеб:rayoflight - взгляните на один файл:
hxxp://fr33.by.ru/ol.txt
Вот он действительно текстовый, в отличие от всего вышеупомянутого.
Одно странно - эти сбрендившие параноики обзывают невинный текст каждый по-своему: кто Win32.HLLM.Graz.based, кто Worm.Win32.Feebs, кто и похуже.
В смысле никак не обзывает
...
To rayoflight - если Вы еще не в курсе, это один из крутейших червей настоящего времени.
Говорят, действительно качественно сделан. Тут на форуме о нем уже много писали, заходили и испытавшие удовольствие
================================================
Antivirus alert!
Access to this resource was denied 'cause of administrative reason. Please save content of this page and ask your system administrator for further details.
Dr.Web version:
Dr.Web (R) daemon for Linux v4.33 (4.33.0.09211)
Copyright (c) Igor Daniloff, 1992-2005
Engine version: 4.33
root@localhost
fr33.by.ru/ol.txt
- archive MAIL
packed by UPACK
infected with Win32.HLLM.Graz.based
================================================
Ваши права в разделе
Ответить с цитированием
