» Обзор антивирусов под Windows

Уважаемые,подскажите,это действительно какая-то новая зараза или ложное срабатывание эвристики?



Сам файл
http://openfile.ru/48593

Добавлено:
Norman's Sandbox выдал следующее

Цитата:

[ DetectionInfo ]
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
* Compressed: YES
* TLS hooks: YES
* Executable type: Application
* Executable file structure: OK

[ General information ]
* Decompressing UPX3.
* File length: 641114 bytes.
* MD5 hash: 2ef5bed76674cac9701037b612a2cabc.

[ Changes to registry ]
* Accesses Registry key "HKCU\Software\Borland\Locales".
* Accesses Registry key "HKLM\Software\Borland\Locales".
* Accesses Registry key "HKCU\Software\Borland\Delphi\Locales".
* Accesses Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes".

[ Process/window information ]
* Creates an event called .

в асю прислали

http://www.virustotal.com/analisis/306ff6e9736ccaa2d090715cce71e50a


сам зверек
http://slil.ru/25765577

George_S

Цитата:

Каждый делает выбор сам - или Вы привыкли верить на слово?

Если на Ру-Борде - то да, вдруг антивирус окажется малопригодным для пользования, потому и спрашиваю, т.к. с БитДефендер действительно как Вы говорите, поверил "на слово" знакомым


Добавлено:

Цитата:

сам зверек
http://slil.ru/25765577

А пасс на архив какой ?

Цитата:

А пасс на архив какой ?

действительно, стандартный и virus не катит

Цитата:

А пасс на архив какой ?

сори, пасс- infected

Вот тут хотел скачать русификатор. При нажатии на кнопку скачать пытаются внедрить троян.

Ilia2
не "внедрить троян" ,а добровольно-принудительно предлагают установить адваре-модуль - миникачалку, для закачки файлов только с этого сайта. (похожее на летитбитовский модуль)

Цитата:

адваре-модуль

хренасе адваре

D:\My Downloads\Программы\codecmega5033.exe    Инфицирован    Trojan-Downloader.Win32.Zlob.eie    

gameman
Не знаю почему адваре-модуль.
F-Secure Client Security - Trojan-Downloader.Win32.Zlob.eie
Avira AntiVir - codecmega5033.exe.new'
содержит вирус или вредоносную программу 'TR/Dldr.Zlob.NMO' [trojan].
Технические детали
Компонент троянского комплекса Trojan-Downloader.Win32.Zlob. Возвращает данные, используемые троянским инсталлятором.Троянец распаковывается во временный каталог Windows в ходе выполнения троянского инсталлятора из NSIS-скрипта. После использования удаляется.

vidic777

Цитата:

с БитДефендер действительно как Вы говорите, поверил "на слово" знакомым

А что с ним не так?

Ilia2
Dropped:Trojan.DNSChanger.CL по версии BitDefender.

maispovis
он же не запускается автоматически, его предлагают самостоятельно скачать и установить

Цитата:

Avira AntiVir - codecmega5033.exe.new'
содержит вирус или вредоносную программу 'TR/Dldr.Zlob.NMO' [trojan].

Хм... Моя лицензионная Avira Premium Security Suit со свежеобновленными базами выдает, что это DR/Dldr.DNSChanger.Gen (похоже на работу эвристики), и никаких "злобов". У меня что-то не так или они поменяли?

Viewgg
Avira AntiVir Premium 8.1.00.331 RUS (слаболицензионная)) Вот полный лог события
Экспортированные события:
11.05.2008 13:49 [Scanner] Обнаружено вредоносное ПО
Файл 'D:\Cache\codecmega.com\download\codecmega5033.exe.new'
содержит вирус или вредоносную программу 'TR/Dldr.Zlob.NMO' [trojan].
Действие с файлом:
Файл был удален.

Добавлено:
Повторно попробовал прямо сейчас
Экспортированные события:
13.05.2008 19:26 [Scanner] Обнаружено вредоносное ПО
Файл 'D:\Cache\codecdemo.com\download\codecdemo5033.exe.new'
содержит вирус или вредоносную программу 'TR/Dldr.Zlob.NMO' [trojan].
Действие с файлом:
Файл был удален.
По диагнозу у меня совпадает со вторым антивирусом: F-Secure Client Security - Trojan-Downloader.Win32.Zlob.eie

http://www.virustotal.com/ru/analisis/dca0105406b0c38fc45fa345f943b445

скорее всего, злоб - неправильная классификация, и не более

gameman
Не знаю почему проверяются разные файлы? Вот опять по моей ссылке нажал на кнопку скачать.Файл codecdemo5033.exe отправил на Virustotal. И размер проверяемого файла у Вас и у меня разный и соответственно и результат. Возможно они в разное время пытаются внедрить разную заразу.
Ссылка
Интересно что на оба эти файла реакции NOD32 нет.

Цитата:

Интересно что на оба эти файла реакции NOD32 нет.

он добр к троянам - они помогают юзеру качать с того сайта от куда троян

летитбитовский плагин нод тоже любит - только при самых сильных настройках предупреждает что типа осторожно, и правильно - летитбит друг, а значит его модуль тоже...

Добавлено:

Цитата:

Trojan.DNSChanger.CL

а я его поставил себе на пробу - он создал папку 4Porn и несколько ключей тоже в группе 4Porn. Помоему ничего опасного. Но через Лиса все равно не получилось качнуть тот русик - сайт по прежнему требует качнуть трояна. Может он тока для эксплорера, но у меня ему доступ сеть закрыт.

Результаты тестирования
здесь
и тут

Особенно насмешила во втором "тесте" колонка "Пропущено вирусов из 2". Репрезентативность выборки поражает воображение.

Litan777 тесты противоречивые. DrWeb по тестам antivirus.сру впереди планеты, а у virusinfo.info в "полном д..е" .Муйня какая-то

Кто-нибудь может квалифицированно прокомментировать вот это?

Viewgg
вот тут очень интересная дискуссия с грамотными мыслями местами

ну теперь только остается провериться их утилиткой cureit! - авось внатуре шо-то найдеть?

Краем уха слышал об новом симантеке у которого дистрибутив весит 300 метров. На офсайте ничего подобного не увидел.

Кто нибуть слышал о нечто подобном?

Повторный анализ трояна с этого поста (от 23:48 28-04-2008 )

Какие будут коменты?

Для желающих закинул файл сюда: http://openfile.ru/52982
Пасс infected

Molt

Цитата:

Какие будут коменты?

NOD слаб против троянов..

Ilia2

Цитата:

NOD слаб против троянов..

А также McAfee,Symantec,BitDefender,Avast и другие,если следовать такой странной логике
В последнее время тема превратилась в филиал Virus Total.

Цитата:

В последнее время тема превратилась в филиал Virus Total.

Хм... С одной стороны этот ресурс позволяет наглядно увидеть реакцию разных антивирей на угрозу... С другой же стороны хз, как там настроены антивири...

Цитата:

Какие будут коменты?

А что тут можно комментировать? Троян уже был распакован установлен и выполнил свои грязные функции или надо обсуждать что некоторые антивирусы не тратят свои и ресурсы компьютера на тщательное сканирование архивов из которых вирусы и трояны сами по себе никогда не вылезут?

olnight

Цитата:

Троян уже был распакован установлен и выполнил свои грязные функции или надо обсуждать что некоторые антивирусы не тратят свои и ресурсы компьютера на тщательное сканирование архивов из которых вирусы и трояны сами по себе никогда не вылезут?

Читай по буквам и внимательно.
Обзор антивирусов под Windows XP

Цитата:

- Банально. Кидают тебе с известного контакта месагу типа:

Цитата:Привет!
мне тут прислали...
http://r.mail.ru/clb12***4/monst****k.org/download/***/index.html Это надо видеть

В результате по ссылке вида monst****k.org/download/***/illusion.exe и грузится тот самый illusion.exe.

Т.е. какой бы экономный был бы супер-антивирус, но не проверить код, который ручками запустили на исполнение; или проверить и не увидеть - это конкретно грех самого антивиря. Не надо уповать на кривые ручки пользователей - как раз антивирус и служит для того, что бы защитить их от их же самих.


Цитата:

Троян уже был распакован установлен и выполнил свои грязные функции

Нет, это сугубо чистый семпл.

Цитата:

надо обсуждать что некоторые антивирусы не тратят свои и ресурсы компьютера на тщательное сканирование архивов из которых вирусы и трояны сами по себе никогда не вылезут

Если по твоему, из exe вирус никогда не вылезет ... ну-ну...
В архив с паролем вирус помещен умешленно: предотвратить случайный запуск и защитить архив о антивирусных сканеров, в т.ч. и на сервере файлообменника.

Molt
Прочитал по буквам, что дальше?
Повторяю вопрос еще раз, вирус или троян уже был запущен и начал выполнять свои функции? Если антивирус его после этого не увидел, то соглашусь что это его грех, а если он не вырыл спящий вирус из глубины какого нибудь архива или экзешника, напрягая при этом все ресурсы компьютера, то не вижу в этом никаких проблем. Ты тоже думаю все пищевые продукты на обычные микробы не проверяешь до последнего вируса, а принимаешь только общие меры предосторожности, иначе жить невозможно станет.
Посмотрел на твою таблицу и вот какая интересная вещь. Я за свою многолетнюю работу с компьютерами работал со многими антивирусами и как назло почти никогда не имел проблем на машинах на которых стояли BitDefender, McAfee, Nod32, Symantec (Norton) то есть на тех что провалились в твоем тесте, зато имел просто огромные проблемы на целой сети машин где стоял успешный в твоей таблице, известный российский антивирус, бывший одним из лучших по таким же тестам, который как раз тщательно проверяет каждый файл на наличие спрятанных в нем вирусов напрягая для этого всю машину. Просто в его огромной базе вирусов как назло в какой то момент не оказалось пары штук и он их очень спокойно пропустил прямо на исполнение всех своих функций, а по другому он бороться с ними почти мог. Правда с тех пор его вроде немного поправили поэтому не называю. Вот тебе и весь тест. В общем кончай ерундой страдать и вешать ее другим