Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Nike-007

Беседы на околовирусные темы

Рекомендованные сообщения

И данные на текущий момент от XenoZ'а, который у нас топик по ESET ведёт:

этот "страшный батник" уже действительно детектится НОДом:

30.04.2010 14:23:19 Real-time file system protection file E:\-VIRS-\batt.txt BAT/Agent.NGK trojan cleaned by deleting - quarantined

 

Ы) Только сейчас заметил: это, оказывается, еще и троян!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот этот комментарий в ответах просто убил. :lol:

"Кстати если эти вирусы будут в разрешении exe и будет автозапуск этого файла, то вирус запускается сам."

Ага, батник в exe и в autoexec. Гы! :lol:

Напомнило старый анекдот про студента, который знал ответ на одну единственную тему: про блох.

И все ответы сводил к ней. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Результаты последнего тестирования на вирустотал (сам сохранил в батнике и отправил на проверку).

Результат - 7/40.

 

Validator, это реинкарнация Доктора Винта. Узнаю почерк :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ребят, да этот файл был добавлен в базу только для успокоения толпы, ибо саму конструкцию nod не палит, вот самый крутой бред в чем. показуха и баян это старинный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, т.е. были похожие преценденты и раньше? Эта тема ведь свежая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
VladimirSS, т.е. были похожие преценденты и раньше? Эта тема ведь свежая.

http://ptokaxhub.ucoz.ru/forum/8-5-1 вот на вскидку. это очень древняя идея. тут фича в чем, некоторые вендоры к бат-файлам относятся внимательней, глядя на функционал.

 

http://www.hackzona.ru/hz.php?name=News&am...le&sid=7794 вот от 2007 года материал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, я не про текст, а про то, что в базу добавляют что-то, чтобы только заткнуть пользователям рот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
VladimirSS, я не про текст, а про то, что в базу добавляют что-то, чтобы только заткнуть пользователям рот.

так сходу пример не приведу, но учитывая само заявление, что они не добавляют в ручную, то получается очень странно, палится только файл, который предъявили , а не конструкция. вот и весь суть сигнатурного анализа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
вот от 2007 года материал

Ужос, Ужос !

На дворе был уже 2007, а они все еще на дискету, вставленную в дисковод пиcали.

Со словами "Недавно качал обновления для Каспера и как будто что-то щелкнуло – задумался". :spiteful:

 

Очередная перепечатка "откровений" более чем 15 10 (минимум) летней давности.

Тогда интернета не было и это в журналах печатали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Очередная перепечатка "откровений" более чем 15 летней давности.

Тогда интернета не было и это в журналах печатали.

я ж и говорю этот баян нас переживет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не вирус, а файл-шутка.

Они бы ещё там обсуждали строку X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Однако... Сегодня отправил файл на повторную проверку и результат уже 9/41.

Послежу за развитием событий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WIGF, а что тут удивительного? файл провисел пол дня на форуме нода (у них принято прикреплять заразу к сообщению). так что сами заразу и раздают, и собственные базы не у всех вендоров, щас эту муру еще многие добавят. а дальше этот файл медленно, но верно попадет во все лаборатории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, это понятно. Мне больше интересно, когда этот процесс остановится и какие названия будут давать этому батнику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашёл этот файл (который в архиве) в папке со стандартным вирусом-SMSбанером-блокировщиком. Там были 3 файла, которые созданы в одно и то же время, следовательно он относится к ним.

Но суть не в этом.

Для каких целей, может использоваться этот файл вместе с вирусом?

 

Данные с VT

удалено. у нас это запрещено // VladimirSS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шикарный музон из кейгена. :D

Видимо, используется для оказания психологического давления на жертву. Винда заблокирована, порнуха на пол экрана и эта музычка. Жесть! :D

 

Убивается после запуска SONARом Нортона. Пришлось отключить.

Никаких видимых окон, просто музыка играет, больше вроде ничего не делает.

5d5fb7ae72cft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А мне на него можно посмотреть?

к 77xaker в личку с просьбой прислать на указаный адрес

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Винда заблокирована, порнуха на пол экрана и эта музычка. Жесть! :)

Именно так и было.

Все файлы лежали в %CommonStartUp%

Интересно ещё то, что если заглянуть в свойства файла, то дата там аж 15 июля 2004 года !!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://anubis.iseclab.org/?action=result&a...amp;format=html

Озадачил этим файлом вирлабы Авиры и Касперского. Посмотрим, что скажут.

Думаю, что это просто кусок кейгена, который добавлен к Винлоку только из-за музыки, которую он проигрывает. (Креатив, блин)

Сам по себе файл не вредоносен, скорее его можно квалифицировать как файл-шутку, поскольку он не имеет видимых окон и отключить его можно только убив процесс в Диспетчере задач.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Именно так и было.

77xaker

отправь на http://anubis.iseclab.org/ и ссылку на отчет тут прилепи

Вот.

 

Думаю, что это просто кусок кейгена, который добавлен к Винлоку только из-за музыки, которую он проигрывает. (Креатив, блин)
"Красивое" оформление вируса. Жесть! Первый раз с таким встречаюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike, привет ! :)

Хорошая подборка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот так всё "оригинально" вылезло, у человека который пользуется Dr.Web :)

 

Всё по-простому: чёрный экран с окошком - post-237532-1273940707_thumb.jpg

Если нажать Активировать, то уже другое окошко - post-237532-1273940713_thumb.jpg

В поддерже Касперского по разблокировке, таких данных не знают - post-237532-1273940719_thumb.png

 

P.S. -

Хорошая подборка. :D

http://vx.netlux.org/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
давно у себя вируса как-бы не наблюдал)

Проскань чем-нибудь другим, например этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот так всё "оригинально" вылезло, у человека который пользуется Dr.Web :lol:

 

Всё по-простому: чёрный экран с окошком - post-237532-1273940707_thumb.jpg

Если нажать Активировать, то уже другое окошко - post-237532-1273940713_thumb.jpg

В поддерже Касперского по разблокировке, таких данных не знают - post-237532-1273940719_thumb.png

 

P.S. -

Хорошая подборка. :)

http://vx.netlux.org/

кхм, данная проблема подробно описывалась на сайте как раз доктора веба)

собсна с предупреждением что вирус постояно меняеться.

лечащая утилита (еси ее реально запустить) убивает этот вирус, но лутьше ручками исправлять реестр, опять таки как избавиться подробно написано на тот м же сайт др веба.

и кстаи мы порой сами виноваты в том, что такие вирусы ловим, т.к. этот вирус устанавливаеться только при скачивании из сети собственноручно и как правило с варез сайтов :lol:

( не только др веб пропускает, из последних тестов проведенных собственно мной и моей группой друзей аваст, нод, авз, мсе, панда, комдо).

а да спасает почему то верно настроенный фаирвл от того же комдо на режиме самообучения и с недавних пор оутпост. из вех антивирусов поймал такой вирус только каспер....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость aleksei123321

да помню как вот начала винда 7-я распространятся,короче этот доктор после запуска ее сразу в синьку бросал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к теме о вирусах в кряках для игрушек. Каспер стал уже реально параноить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах