да это наверное лог файл или подобная мелочь.на том сайте наверное продвигают плохо продаваемые антивирусы.
[quote name='Felis'] Загрузил файлик на сайт VirusTotal, который сканирует файл 42-мя антивирусами. Что имеем [/quote][quote name='Felis'] Среди облажавшихся – Каспер, Нод, Доктор Веб, Аваст, ClavAV, Microsoft и некоторые [/quote]Имхо, а может они там просто не умеют настраивать эти антивирусы или неправильно настраивают!?
[quote name='АРЕФ'] Имхо, а может они там просто не умеют настраивать эти антивирусы или неправильно настраивают!? [/quote]Поделитесь пожалуйста, что нужно “настраивать” в каспере, что-бы в его базах появилась сигнатура данного вируса? Какой ключ реестра за это отвечает?
[quote name='АРЕФ'] А может этот сайт просто таким образом рекламирует малопопулярные антивирусы. [/quote]Едва ли можно назвать Comodo, F-Secure, McAfee, Norman, Panda, Sophos, и особенно Symantec “малопопулярными”.Это обычный сервер с возможностью проверить файл множеством антивирусов. Удобно же.[quote name='АРЕФ'] Очень бы хотелось узнать результаты исследования лабораторий. Так эти, которые обнаружили, чего говорят? [/quote]Доктор веб ответил, что файл находится в их базе данных “чистых файлов”.Каспер ответил “вредоносный код не обнаружен”Вот так. Половина антивирусов матерятся, что там “бэкдор”, а у этих двух – вредоносный код не обнаружен. Бывают такие чудеса.
[quote name='Brain'] Поделитесь пожалуйста, что нужно “настраивать” в каспере, что-бы в его базах появилась сигнатура данного вируса? [/quote]Так товарищ [nick ‘Felis’:21139] же не назвал хотя бы как имя и расширение обнаруженной бациллы. И если какие-то там 50% антивирусов что-то определили, то они же как классифицировали угрозу? Как тут вам ответить про настройки Каспера?
А причем здесь имя и расширение? Как эта информация поможет попаданию сигнатуры вируса в базы каспера?
[quote name='Felis'] Вот так. Половина антивирусов матерятся, что там “бэкдор”, а у этих двух – вредоносный код не обнаружен. Бывают такие чудеса. [/quote]Меня так один антивирус из малоизвестных freeware с неделю дурачил – файлы cookie выдавал за обнаруженные и обезвреженные трояны. Больше ничего не находил.
[quote name='Brain'] А причем здесь имя и расширение? [/quote]Ну как же!? У каспера есть такая настройка как “проверять файлы по расширению”. В справке можно посмотреть список расширений по которым он проверяет файлы.
[quote name='АРЕФ'] Ну как же!? У каспера есть такая настройка как “проверять файлы по расширению”. В справке можно посмотреть список расширений по которым он проверяет файлы. [/quote]По умолчанию стоит настройка – проверять по реальному типу файлов. То есть детектирование вне зависимости от расширения.Файл кстати был с расширением exe.Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка.
[quote name='Felis'] Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка. [/quote] ну а может там и правда нет ничего?у тех антивирусов которые чтото обнаружили. есть же базы с описанием? что делает этот вирус?кстати на практике не проверил?))
[quote name='Felis'] Файл кстати был с расширением exe.Нод32 прислал свое сообщение через 11 часов, они тоже не нашли в файле ничего плохого. Загадка. [/quote]Чтобы разгадать сию загадку надо просто запустить сей файл и посмотреть что будет и как будет реагировать антивирус. У каспера надо чтобы была включена функция мониторинга реестра или в самой системе включить аудит, в том числе и реестра.А если пишите что семантик отреагировал, то на их сайте должно быть описание сей угрозы. Они там, имхо, своеобразно мыслят про вирусы. По крайней мере у них больше сообщений о новых вирусах( у меня такое впечатление сложилось).
[quote name='АРЕФ'] Ну как же!? У каспера есть такая настройка как “проверять файлы по расширению”. В справке можно посмотреть список расширений по которым он проверяет файлы. [/quote]Еще раз спрашиваю причем тут расширение? В выше описанном случае было “принудительная” проверка файла. Каспер в таком случае проверит любой блоб.
[quote name='АРЕФ'] У каспера надо чтобы была включена функция мониторинга реестра или в самой системе включить аудит, в том числе и реестра. [/quote]Рестр, рестр, рестр. Запустить и посмотреть, ага. А если зараза просто снесет все файлы до которых сможет дотянутся?
[quote name='АРЕФ'] Чтобы разгадать сию загадку надо просто запустить сей файл и посмотреть что будет и как будет реагировать антивирус. [/quote]Я мог бы так сделать и даже в виртуальной машине, что бы не экспериментировать на живой машине.Только мне лень. Раз три вирусные лаборатории после исследования файла сказали, что он чистый, значит чистый.[quote name='АРЕФ'] А если пишите что семантик отреагировал, то на их сайте должно быть описание сей угрозы. [/quote]Вполне возможно, что этот вирус состоит из нескольких файлов. Собственно вредоносная программа и какой-нибудь вспомогательный файл-спутник, который сам по себе не несет угрозы. Вполне возможно, Симантек и многие другие лаборатории добавляют в сигнатуры как сам вирус, так и все его компоненты, что бы вычищать после него все без остатка. А Каспер, в частности, чистит только самого вредоноса, оставляя после него мусор в виде нерабочих Autorun.inf или вот таких файлов-спутников[quote name='Brain'] А если зараза просто снесет все файлы до которых сможет дотянутся? [/quote]А еще можно так:1. читаем реестр (это ведь не возбраняется никак и даже программы мониторинга на чтение реестра не реагируют) – ищем в реестре программы, которые уже есть в ключах RUN2. находим программу в автозагрузке (пусть это какой-нибудь неинтересный сервис под названием hplaserjet.exe, примочка к принтеру HP) и переименовываем оригинальный файл в hplaserjеt.exe, заменив в названии английскую букву e на русскую. Или например просто в hplaserjet1.exe.3. Себя троян переименовывает в hplaserjet.exe и кладет вместо оригинального. Так троян попадает в автозагрузку. После того, как автозагрузка запустит трояна, он уже сам запускает оригинальный сервисТаким макаром, троянчег может затесаться в систему, не тронув реестр.Конечно, можно запустить трояна в виртуальной машине и не беспокоиться за последствия. Посмотреть. Может чего увидишь.
Copyright ©