» Обзор антивирусов под Windows

Цитата:

Как узнать и обезопаситься от реального вируса (наверняка есть тут несколько)?
Особенно непонятно с последней строкой - файл Reanimator+2008.iso весит 700 Мб и его на вирустотал не отрправишь!

Любой программой для работы с образами типа UltraISO, распакуй образ, вылечи зараженный файлы нормальным антивирусом, и снова запакуй этой же программой образ.

Sssvan
Крики антивирусов на кейгены, просмоторщики ключей и паролей типичны. Вылечишь, эти программы работать не будут.

Sssvan
Взять все файлы на которые ругается аваст(при помощи архиватора или неро) и отправить на вирустотал, а не весь образ....

Sssvan
Судя по названиям некоторые файлы потенциально опасные утилиты и не более, но вариант
Цитата:

Взять все файлы на которые ругается аваст(при помощи архиватора или неро) и отправить на вирустотал

имхо оптимален или проверить на компе чем-нибудь по лучше

redwhiterus
лучше аваста нет... разве что аваст с кем-то еще...
аваст явно из неаутсайдеров... по-поводу кейгенов - в более 70 процентов находится гадость - хочешь серийник - получи заражение!!! выход один - получить серийник - откатится труимиджем. (конечно же он должен быть установлен заранее)....

Цитата:

получить серийник - откатится труимиджем.

Есть более простой способ - Shadow Defender
После перезагрузки все сделанные изменения в системе исчезают.

George_S
Не согласен, все зависит откуда брать, на некоторых сайтах с ними пытают впарить вири, а если релиз от самой команды то вряд ли.

Цитата:

лучше аваста нет... разве что аваст с кем-то еще...
аваст явно из неаутсайдеров...

Пожалуй погорячился, просто проверить чем-нибудь еще, пропустить может любой и фолсить тоже.

Весь hak tools автоматом относится по законодательству к категории "вредоносных программ". Даже если не содержит кода угрожающего системе. Я не с кем не спорю, но когда люди опытные намекают, на фолсы антивируса это вызывает недоумение.
Мы уже должны привыкнуть к новой правовой среде. Если нужны программы, на форуме есть раздел. Этот самострог
Цитата:

"Reanimator 2008.iso"

и качать не надо было, а то мы обсуждаем, как лучше увернуться при прыжке на грабли.

Sssvan
То, что вы привели в списке - в большинстве своём "открыватели" паролей. Для диска типа Реаниматора они незаменимы, потому как диск нужен для восстановления системы и восстановления паролей тоже. Однако зачастую такие компоненты в косплексе с каким-нибудь скриптом служат для того, чтобы собрать все пароли и выслать их "автору" диска. То есть имеем: полезную утилиту и злонамеренное её использование.

Что бы я сделал - это внимательно изучил что представляет собой каждая зараза, а потом поискал её в описании диска. На счёт PassView - всё понятно, на счёт остального - нужно смотреть.

И то, что если диск вылечить, он может потом стать нерабочим (или как минимум не полнофункциональным) - чистая правда.

NB: Reanimator - старый проект, известный каждому. Понятно, что её подделывать - приятное и благодарное занятие. Потмоу качать нужно от автора или с проверенных ресурсов.

Отловил сегодня в "подшефном" офисе зверька:
http://www.virustotal.com/ru/analisis/8a48043e77c7bcc5d3fb046d2757925b
и собственно зверек:
http://rapidshare.com/files/149407310/virus.rar
пасс: infected
Симптомы заражения: неконтролируемый спам по сети, весьма ощутимо тормозящий шлюзовый комп. Отловил CureIt'ом.

Цитата:

Отловил сегодня в "подшефном" офисе зверька:

А НОД32 его что-то не детектит Вот ведь, говорили мне умные люди.

XenoZ
Мдя. А KIS 7.0325 Молчит как партизан. Увы.

dgsjsj
пожалуй поторопился, фолсы реально бывают на не хак тулзы а некое их подобие, примеры увы щас не вспомню, а то что он рычит на файлы вполне нормально как уже выше и отписали.Еще раз сорри за некорректную формулировку.

Цитата:

Весь hak tools автоматом относится по законодательству к категории "вредоносных программ". Даже если не содержит кода угрожающего системе.

Прошу прощения за оффтоп но можно ссылку, ранее не интересовался или хотя бы пунктик.
acro

Цитата:

А НОД32 его что-то не детектит Вот ведь, говорили мне умные люди.

Его и каспер не детектит, у большинства нашедших эвристики сработали

Добавлено:

Цитата:

Мдя. А KIS 7.0325 Молчит как партизан. Увы.

А 8-ку никто не тестил?

Цитата:

Его и каспер не детектит, у большинства нашедших эвристики сработали

Ну файл почему-то qtortsrq.sys
Как его запустить-то ? Может в system32 скопировать?

acro

Цитата:

Как его запустить-то ?

А очень хоцца?
Судя по логам НОДа (IMON, кстати, долго сопротивлялся, но юзверь победил...) и анализу системы, сначала в систему пролез exe-шник, прописал себя в автозагрузку и при следующем запуске компа поставил пресловутый sys как драйвер.

Удалено

XenoZ
А как пролез известно?

redwhiterus
Ну, в это время меня там не было, позвали, когда уже тормоза пошли...
Примерная картина, судя по логам: сначала IMON усердно блочил один IP, затем AMON резал появление нового файла в системной папке... Потом, еще минуту-две спустя файл таки оказался в системе.

XenoZ
все как обычно ниче не знаю не видел само

redwhiterus
Ну да... А юзвери как один: "Ниче не знаем, ниче не делали, оно само!"

redwhiterus
Будет злостный офтоп.
В законодательствах разных стран может варьироваться. Можете поискать юридические формулировки "вредоносная программа" Для примера можно в поисковик внести: Статья 273 УК РФ.Комментарий к статье 273 УК РФ,
http://www.russianlaw.net/law/doc/a214.htm
Можно зайти на Wikipedia http://ru.wikipedia.org/wiki/Вредоносная_программа
оттуда множество ссылок.
http://www.antiphishing.org/reports/APWG_CrimewareReport.pdf
http://cyber-crimes.ru/
http://consumer.nm.ru/malware.htm
http://ru.wikisource.org/wiki/Федеральный_закон_от_27.07.2006_№_149-ФЗ
Обзор уголовного законодательства некоторых стран по преступлениям в сфере компьютерной информации http://www.crime-research.ru/library/Criminal_Code.html
Уголовный кодекс Германии - http://www.aufenthaltstitel.de/stgb.html
Внимание на § 303а StGB
StGB § 263a Computerbetrug

Еще по вирусам в Reanimator+2008.iso (на предыдущ. стр).
Проверил CureIt'ом, тот не увидел что-то Авастовское и увидел три других вредности.
Всем спасибо за советы. Осталось непонятным вот что.
Аваст (не CureIt) нашел вирус прилепленный к 700 Мб исошнику:
"Win32:Neptunia-BS [Trj]" in "Reanimator+2008.iso" file.
1. Действитльно ли возможно такое "пилепливание"?
2. Активируется ли вирус при открытии исошника в UltraISO?
3. Если сделать диск из зараженного образа , то как проявится вирус при загрузке с такого диска?
4. В Гугле вирус "Neptunia-BS" находится только у Аваста. Это что - паранойя Аваста или у других вирус называется по-другому?

XenoZ анализ твоего архива с вирусам на virustotal

Файл PGYUUUGP.sys.vir получен 2008.09.29 18:59:12 (CET)
Антивирус    Версия    Обновление    Результат
AhnLab-V3    -    -    -
AntiVir    -    -    TR/Rootkit.Gen
Authentium    -    -    -
Avast    -    -    Win32:Agent-ABJY
AVG    -    -    Win32/Patched
BitDefender    -    -    -
CAT-QuickHeal    -    -    -
ClamAV    -    -    -
DrWeb    -    -    Trojan.Sentinel.based
eSafe    -    -    -
eTrust-Vet    -    -    -
Ewido    -    -    -
F-Prot    -    -    -
F-Secure    -    -    -
Fortinet    -    -    PossibleThreat
GData    -    -    Win32:Agent-ABJY
Ikarus    -    -    Spammer.WinNT.Srizbi.B
K7AntiVirus    -    -    Trojan.Win32.Malware.1
Kaspersky    -    -    -
McAfee    -    -    -
Microsoft    -    -    Spammer:WinNT/Srizbi.gen!B
NOD32    -    -    -
Norman    -    -    -
Panda    -    -    -
PCTools    -    -    -
Prevx1    -    -    Rootkit
Rising    -    -    -
SecureWeb-Gateway    -    -    Trojan.Rootkit.Gen
Sophos    -    -    -
Sunbelt    -    -    -
Symantec    -    -    -
TheHacker    -    -    -
TrendMicro    -    -    -
VBA32    -    -    -
ViRobot    -    -    -
VirusBuster    -    -    -

У меня тоже завелся троянец , ни один из антивирусов на virustotal не смог найти кроме Microsoft. Сейчас при сканировании пользуюсь онлайновым мелкософтовым антивирусом http://onecare.live.com ну и конечно очень помогают утилиты от Marka Russinovicha обнаружить неизвестных тварей.

Цитата:

Отловил сегодня в "подшефном" офисе зверька:
http://www.virustotal.com/ru/analisis/8a48043e77c7bcc5d3fb046d2757925b

Цитата:

А 8-ку никто не тестил?

30.09.2008 10:33:58    Удалено: Rootkit.Win32.Agent.ecx    Проводник        C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\Rar$DR03.672\qtortsrq.sys        

базы естественно сегодняшние

serg_272
Ну, сегодня и Каспер 7 уже определяет :
http://www.virustotal.com/ru/analisis/910da312db9931b5971074ba3afbf654
И это если учесть, что файлик засветился на вирустотале
Цитата:

First received: 2008.09.24 12:17:49

В ветке про Каспера выложили очень интересный файл:
http://rapidshare.com/files/149611555/Virus.rar.html
пароль virus.
Только DrWeb что-то видит при сканировании:
http://www.virustotal.com/ru/analisis/9e03e4cc4a0b80510460028bee35795f
но реально сделать при (после) запуске(а) ничего не может. Вчера я сам развлекался, предлагаю присоединяться.
Лучше сначала почитать здесь пару страниц:
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=28009&start=360#11

На странице http://safeweb.norton.com/report/show?url=upgrade-your-software.com
приведены ссылки на сайты - генераторы троянов-даунлоадеров. Если менять цифирьки в скачиваемых файлах, то они будут при тех же размерах отличаться по хешу. Для ещё большего затруднения работы вирлабам каждый день алгоритм генерации и размеры файлов меняются.

labean
А этот онлайновый мелкософтовый антивирус
1. загружает что-нибудь на комп?
2. при обнаружении вируса он спрашивает разрешения на удаление или лечение?
4. приблизительная скорость сканирования Мб/мин?
3 как он относится к нелегальному MS софту?

aleksdem2
интересное кино, насколько я понял он палит виртуалку?

redwhiterus

Цитата:

интересное кино, насколько я понял он палит виртуалку?

Нет. На сколько я понял, он при "столкновении" с антивирусами (при попытке лечения) палит именно сами антивирусы и часть системных файлов. Но не всегда. Если, скажем, Avira просто не дает запустить три трояна, то ничего пакостного не происходит. В общем, пока ничего непонятно...