» Обзор антивирусов под Windows

Цитата:

Не используются - так мож начнут использоваться.

Не надо в РФ ими пользоваться и Украине тоже не надо. Пользы ноль.

Цитата:

зато иконка автообновления красивая

Угу. Мне как то клиент по поводу Панды сказал примерно тоже самое. Такая иконка красивая. А машина в вирях по самые не могу.

aXLe DrAGoN

Цитата:

Это-то тут причем?
И вообще к чему такие оскорбления?

Это констатация фактов , относщихся к перечисленным антивирусам. Тут мое мнение с cracklover практически совпадает.
Он, правда, эстетическую сторону eSet почему-то не отметил.

А на счет не используются на территори exUSSR - дык, мы выбираем только лучшее! И на рекламу практически не ведемся. Ну разве что на касперского

http://www.phpmysql.ru/
Вот сайт при подаче заявки грузится вирь
http://www.virustotal.com/ru/resultado.html?ad3013a0c1a8f7f9694488a32b8622d5
Определен 4 DrWeb4.44.0.09170F-Secure6.70.13030.0KasperskySophos4.23.0    

Добавлено:
Для меня наглядный показатель того что есть что! В частности Нод,Нортон,Макака,Аваст,Антивир вот скорость реагирования а на сайт набрел случайно через гугло

redwhiterus
У меня на него Авира эвристикой "возмутилась"

Vsevolod
Там еще троян даунлоадер грузился если че, его я вообще не перегружал сразу снес а это проверял не фолс ли каспера

Добавлено:
Или и то и то задетектилось?

У меня на главной и при подаче заявки обноружил просто HTML/Psyme.Gen
не знаю точно, чего это

redwhiterus
Vsevolod
При загрузке сайта Symantec ругнулся ещё как! и удалил нафиг. До заявки дело не дошло.

Добавлено
Может ли детектирование простенького js быть показателем чего либо? Было бы интересно посмотреть тех зверьков, которые он намеревался подгружать.

Fault-не-fault, а если посмотреть исходный код страницы, то всё очевидно.

Я вчера в карантин положжил этот файл, да и решил отправить его им (Авире). Сегодня с утра уже обновился и определился по базе. Быстро сработали.

Не самая шустрая реакция...
Я еще в понедельник отправлял письмо в OpenLearning по поводу вируса на их страницах. DrWeb УЖЕ определил его, как :


Цитата:

От: XXXXXX XXXXXXXX [XXX@XXX.ru]
Отправлено: 12 ноября 2007 г. 16:09
Кому: 'info@openlearning.ru'
Тема: Я все понимаю, но ...

При посещении Ваших страниц появляется вот это : «… \Local Settings\Temporary Internet Files\Content.IE5\1WHWQPQV\index[4].htm\Script.7 - инфицирован Worm.Sifiliz»

В частности на главной и на странице «контакты».

http://www.virustotal.com/ru/resultado.html?852326fe94b17cca19ce314a80b3e5e6
Symantec пока не находит

steve75
Что за файлик? если есть возможность архивни с паролем, залей куда и брось ссылку в личку.

Мне вообще не понятно стало вдруг с этим сервисом. Вчерашний файлик у меня Авира уже сегодня отлавливает базами, а не только эвристиком, а по ссылке он с прочерком.

Цитата:

Мне вообще не понятно стало вдруг с этим сервисом.

Вирусная атака на сервис!
А если серьезно ты перезаливал?

steve75
И мне тоже если можно ссылку на архивчик с фирьком плиз

redwhiterus
Вот ты сказал и я понял его работу, я думал, что он сам перетестирует при загрузке.

QartushH
T4NUK1
кинул ссылку в личку

Vsevolod
Рад помочь
steve75
А можно мне тоже? или кто-нить может сразу на вирустотал польет а результаты в студию?

redwhiterus
на предыдущей странице давал
http://www.virustotal.com/ru/resultado.html?852326fe94b17cca19ce314a80b3e5e6

steve75
Я имел ввиду перезалить! времени уже скоко прошло

Один из результатов вируса от steve75 - патченный taskmgr.exe.tmp (создан самим вирусом):

http://www.virustotal.com/ru/resultado.html?8739ec6aebad4201ada8722aa7ff7be5

Хм, Sophos 16 числа ловил, а 17 уже нет?
Или хитро патченный?

Vsevolod
Одна часть вируса очень похожа по поведению на W32.Wullik (поведение один в один), другая часть Win32.Tank патчит exe-шники, которые при запуске пытаются остановить антивирусные программы и проч. "Tank Made in USSR"

В тесте у меня почти одновременно сработали tamper protection у антивируса Symantec, Outpost на изменение реестра и Norton AntiBot.

Norton AntiBot сказал что
1) "кака" регистрирует исполняемый файл в CurrentVersion\Run;
2) "кака" пытается скопировать себя в системный каталог;
3) "кака" injects code.

В результате AntiBot удалил Mstray.exe и переместил его в карантин (копия отослана Симантеку), остановлены и выгружены процессы, которые вирус успел патчануть или пытался это сделать ("process memory is compromised"; меня об этом уведомил и все процессы перечислил; в основном мелочь всякая).

Антивирус Symantec-а Win32.Tank пропустил.

В процессе дальнейшего изучения выявилась такая особенность: созданы патченные копии regedit.exe.tmp и taskmgr.exe.tmp. Если вирус активен, то он пытается подменить действующие копии этих програм (они в свою очередь пытаются остановить службы антивируса). Windows ругается и просит их восстановить.

В кратце так.

-=-=-=-=-
McAfee тоже среагировал только на Mstray.exe. На последующие части "Марлезонского балета" его не хватило.

Вот такая фигня.
В конце скачивания с Рапиды архива выскочило сообщение AVAST:
18.11.2007 19:45:57    Sign of "Win32:Banker-CUU [Trj]" has been found in "D:\WINDOWS\system32\sfc_os.dll" file..
Я дал команду ничего не делать. Архив скачался нормально, в нем вирусов не найдено.
Характеристики файла такие (совпадают на "вирусном" и чистом компах):
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
размер     137 КБ (140 288 байт)
MD5: d41d8cd98f00b204e9800998ecf8427e
Послал на вирустотал (для этого пришлось отключить AVAST - он не пропускал файл в инет и не давал посмотреть его версию). Результат:

http://www.virustotal.com/ru/resultado.html?6f29f88486930d1ca6937ad926ad6ca5
Файл sfc_os.dll получен 2007.11.18 19:18:00 (CET)
Результат: 0/32 (0%)
. . . . . . . . . . . . . . . . . .
Avast 4.7.1074.0 2007.11.18 -
. . . . . . . . . . . . . . . . . .
File size: 140288 bytes
MD5: b63c563be89f50b9e6f94d89528acb37

То есть "зараженный" файл идентичен незараженному на другом компе,
определяется ЧИСТЫМ на вирустотал, НО размер такой же, а MD5 у них другое! (мой определитель MD5 работает правильно - проверил).

Что все это может значить? Заражен файл или нет?

Sssvan
В Total Commander-е сравни файлы по содержимому (Alt+C) хотя бы, посмотри в чём разница, значительная ли она. По факту действуй дальше.
MD5 моего: b63c563be89f50b9e6f94d89528acb37 *sfc_os.dll

Sssvan

Цитата:

Вот такая фигня.
В конце скачивания с Рапиды архива выскочило сообщение AVAST:
18.11.2007 19:45:57 Sign of "Win32:Banker-CUU [Trj]" has been found in "D:\WINDOWS\system32\sfc_os.dll" file..

У меня тоже самое.
Ты случайно не качал с помощью DM+plugin для скачки с рапиды?

Если да, то все понятно

wellic 03:03 19-11-2007
Цитата:

У меня тоже самое.

Ну, и у меня то же самое. Ничего, повторюсь (писала в той теме) не сливала.

Sssvan
Правильно я понял, что ты со своей машины послал файл на virustotal.com, и virustotal показал у этого файла другой MD5, чем ты получаешь локально на свой машине ??

wellic
Качал просто из IE6.
всем
На данный момент ситуация такая:
1. MD5 отличалось из-за того, что я его вычислял для файлов, используемых на работающих компах (файл sfc_os.dll использует winlogon). А на вирустотал отправлял неработающую копию с флэшки.
2. Обновил AVAST до следующего билда, и теперь он уже не определяет трояна в sfc_os.dll.
3. Сегодня послал повторно sfc_os.dll на вирустотал. Результат:
Файл sfc_os.dll получен 2007.11.19 17:57:45 (CET)
Результат: 1/32 (3.13%)
Ikarus T3.1.1.12 2007.11.19 Virus.Win32.Banker.CUU
(напомню, вчера было 0/32)
4. В работе компа ничего нового не замечаю.
5. А вот MD5 файлов (неработающих!!!) различаются:
"подозрительного" b63c563be89f50b9e6f94d89528acb37,
"с чистого компа" 9858cc4d73a4ccf2f852fae07c11a0b5.
У работающих файлов на обоих компах одно и то же
d41d8cd98f00b204e9800998ecf8427e.
Размер всегда и везде одинаков 140 288 байт.
6. Отличается и описание файлов в Process Explorer v11_04:
"подозрительного" - Защита файлов Windows
"с чистого компа" - Windows File Protection,
хотя у "парного" файла sfc.dll описание на обоих компах одинаковое - Windows File Protection. (но Хрюшки на компах разные, а как было раньше я не знаю).

Вот теперь думаю, стоит ли (и каким образом) заменить подозрительный файл.
Да и вообще интересно, что ж это за хня?

Sssvan

Цитата:

5. А вот MD5 файлов (неработающих!!!) различаются:
"подозрительного" b63c563be89f50b9e6f94d89528acb37,
"с чистого компа" 9858cc4d73a4ccf2f852fae07c11a0b5.
У работающих файлов на обоих компах одно и то же
d41d8cd98f00b204e9800998ecf8427e.
Размер всегда и везде одинаков 140 288 байт.

Ты говоришь загадками. Из твоих слов получается, что если посчитать MD5 используемого в данный момент файла C:\WINDOWS\system32\sfc_os.dll , то будет одна MD5, а если тот же sfc_os.dll скопировать куда-нибудь в c:\folder и там посчитать у него MD5, то она будет уже другая. Либо у тебя какой-то особенно кривой "определитель MD5", либо какой-то особо хитрый вирус, но скорее это ерунда.
Выложи куда-нибудь твой зоопарк sfc_os.dll посмотреть.

короче... либо мы собаку низко подбрасывали, либо ... 8-)

рус. WinXP SP2 => b63c563be89f50b9e6f94d89528acb37 *sfc_os.dll Русский (0x419)
анг. WinXP SP2 => 9858cc4d73a4ccf2f852fae07c11a0b5 *sfc_os.dll Английский (США) (0x409)