» Обзор антивирусов под Windows

Sssvan
Как это нет? Есть! СМОтри внимательно

http://support.microsoft.com/kb/49500

Avira
•    Avira AntiVir
For more information about Avira AntiVir, visit the following Avira Web site:
http://www.avira.com (http://www.avira.com)

Back to the top

Не оправдывания ради, но для сведения других:
По _http://support.microsoft.com/kb/49500 я попал на русскую страницу с
"Последнее изменение : : 25 января 2007 г.
Редакция : 18.3", где Авиры нет.
С подачи the dark project нажал кнопку перевести на Английский и попал на _http://support.microsoft.com/kb/49500/en-us с
"Last Review : April 14, 2008
Revision : 20.0", Авира уже есть.

А вот теперь, ребята, реальный тест на оперативность! По ссылке можно с радостью закачать злобного нового зловреда. На момент написания этого сообщения он не детектировался никем. Вирус отправлен в Лаборатории AVG, Avast, Kaspersky, DrWEB, Avira, NOD, BitDefender, F-Secure, McAfee (кому нужно ещё - сами шлите). Первый отреагировал DrWeb [more]Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.PWS.Firefox.1[/more]. Посмотрим, как быстро отреагируют другие...

gjf
хороший тест - особенно в пятницу вечером! посмотрим, кто из вендоров оперативнее

serg_272
Веб отреагировал, но реально ещё не выпустил обновление, потому как вирус до сих пор не детектируется.

Обидно, что я сам "попал" - на работе умудрился этот файл запустить Зато дома компьютер по-прежнему чистый Видимо, параноидальные наклонности у меня обостряются дома

gjf

Цитата:

сам "попал"

Как он себя проявляет?

gjf
Цитата:

Веб отреагировал, но реально ещё не выпустил обновление

Уже выпустил и детектит.

Pitersky
Пока вроде никак. Пару раз ОгнеЛис полез на 88.198.65.151 по 83-му порту, за что благополучно убивается файерволом.
Хотя может это и не из-за него...

http://research.sunbelt-software.com/threatdisplay.aspx?name=Trojan-PWS.Firefox.A&threatid=198719
Видимо родственники с Trojan.PWS.Firefox.1

YuraH
Уже да

gjf

Цитата:

ОгнеЛис

Какая версия?

Цитата:

Уже да

У остальных рабочий день закончился!

Pitersky
Разобрался. Этот файл при запуске распаковывается во временную папку, после чего декриптует все закешенные пароли ОгнеЛиса, а затем сливает их по мылу какому-то ублюдку. Распакованный результат работы этой швали находится тут

Хорошо, что на рабочем компе я пароли не кеширую! Лично написал скрипт исполнения файла каждую минуту и залил на чистый сервер с ОгнеЛисом. Пусть поработает на выходных. 60 пустых логов работы в час на мыло - что может быть лучше мести?

Добавлено:
dgsjsj
Последняя, третья. Судя по всему, будет и на второй работать.

redwhiterus
Это - не оправдание!

Ikarus нашёл вирус "подозрительным" с уровнем 50. Понятия не имею, что это значит, но хорошо известно, что Ikarus - антивирус для параноиков. В данной ситуации это оказалось полезным....

gjf
Да вот только если уровень 50 на большинстве подозрительных файлов то х.з.

Цитата:

Это - не оправдание!

Это версия, а оправдывать я их и не собирался

redwhiterus
Да я знаю, никто ж тебя не обвиняет
А с Ikarus я незнаком, потому и уровень привёл - кто пользует данный антивирус, тот сам скажет, выше это или ниже нормы. То, что высланный код - вредоносный, это даже нет сомнений.

21.40 по московскому - все вендоры молчат. Из чего делаю вывод, что в пятницу вечером компьютерная безопасность мира переживает свои критические часы

gjf, а как нашел сию гадость и осознал, что это заразно и может лЕчится со времен?


Добавлено:
gjf, Икарус еще один из 3ех, кто на VirusTotal, сдетектил EIKAR с тремя добавленными символами, что увеличили размер файла. Сказал, что это модификация EIKAR'а.

Отправил семпл в Исет...
Кстати - пока только дрвеб и остался в определяющих его...

Добавлено:
gjf
Ваш поставленный вопрос про блокировку одного сайта, только для одного браузера не решается(созданное правило игнорируется почему-то), есть возможность блокировки сайта для всех приложений...

Каспер подтянулся - not-a-virus:PSWTool.Win32.IEPassView.ab. А вот тут его раздают.

WhiteyR
Ну тест мода EICAR меня, если честно, не впечатлил. Хотя может это и показатель...
Нашёл его в инете. Сейчас прямо бум: везде предлагают установить Firefox 3 Ultimate с кучей дополнительных фич. Вряд ли Ultimate будет 1 Мб размером при обычном дистрибе в 7 Мб... Написал уже об этом на Technical Support Mozilla.

George_S
Тогда, как я и говорил, Аутпост - хитрые засранцы, они просто лепят все правила на модуль веб-защиты. Эта проблема и обсуждается: если я хочу заблокировать выход на www.abc.com для Блокнота, но хочу заходить туда Firefox (я утрирую, но все поймут, когда и зачем это нужно) - при установленной веб-защите это сделать нельзя, только блокировать всех. В Комоде это чётко понятно, а Аутпост решил просто прикрыть эту проблему видимостью "подхватывания" антивирусного модуля.

YuraH
IEPassView - один из компонентов этой дряни. Я писал о "составе" выше. Стало быть, распаковали. Но ответ DrWeb мне пока нравится больше - оформили в отдельный вирус, дали имя. Единственное, что неинтересно - этот зловред ничего не заражает и, по-видимому, не прописывается в автозагрузке, а то интересно было бы сравнить эффективность лечения.

Добавлено:
AVG сообщил, что присланный по почте вирус - corrupted file. Написал ответку, где всё разжевал и дал линк на рапиду.

Цитата:

Этот файл при запуске распаковывается во временную папку, после чего декриптует все закешенные пароли ОгнеЛиса, а затем сливает их по мылу какому-то ублюдку.

Цитата:

not-a-virus:PSWTool.Win32.IEPassView.ab

странная имхо классификация, пароли вижу не я х.з. кто...

redwhiterus
Дык и я про что.

gjf
Капец AVG еще нужно что-то разжевывать? В топку такие антивирусы

T4NUK1
Антивирус не причем - это менеджер лаборатории просто урод попался... иногда из-за действий одного козла делаются такие выводы о всей фирме...

Цитата:

Антивирус не причем - это менеджер лаборатории просто урод попался... иногда из-за действий одного козла делаются такие выводы о всей фирме...

если так то кадры надо тщательние подбирать, им же не открытку новогоднюю прислали....

В понедельник все вышли на работу! Подтянулись Avira [more]A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25066271 InstallationFF3Ul...te.exe 1.03 MB MALWARE

Please find a detailed report concerning each individual sample below:

Filename Result
InstallationFF3Ul...te.exe MALWARE
The file 'InstallationFF3Ultimate.exe' has been determined to be 'MALWARE'.Our analysts named the threat DR/PSW.IEPassView.AB.The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.Detection is added to our virus definition file (VDF) starting with version 7.00.05.54. [/more] и F-Secure [more]The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.

Our latest database updates are available here:

http://www.f-secure.com/download-purchase/updates.shtml[/more]

Остальных считаю просто тормозами. Итого, по оперативности ряд получился следующим.
1. DrWeb (в пятницу вечером! АБСОЛЮТНОЕ ЗОЛОТО! )
2. Kaspersky (ребята работают по субботам!!!)
3. F-Secure (письмо отправлено в понедельник в 5:57 )
4. Avira ("немецкое качество" чётко в 9:55 - в 9:00 пришли на работу, попили кофейку, поработали с вирусами )

Особую награду за непонятливость получает AVG, которые до сих пор не могут разобраться, что же им прислали

gjf
Понедельник, начинают подтягиваться - подробнее

Опоздал немного с постом
P.S. F-Secure - почему-то на VirusTotal-e промолчал.... еще полностью не проснулись

serg_272
Ну я сужу по тому, что мне приходит на почту. Почему F-Secure на VirusTotal обновляется медленно - вопрос не ко мне.

Интересно, откуда WebWasher обо всём прознал? Хотя, в принципе, я во многих местах об этом зловреде наследил на разных языках мира...
А ещё интереснее: как о новой заразе узнают вендоры, которым нельзя прислать файл на проверку (ни по почте, ни через сайт)...

gjf

Цитата:

Интересно, откуда WebWasher обо всём прознал?

Однако, ловко - у них работает уголовка..

Ага.. Только где бы етот WEBWASHER взять??
Есть к нему кряки?