Лидеры форума

Хорошо, поясню как с этим обстоят дела в вирлабе, ибо у вас все на уровне "верю не верю": Процитирую сам себя: Речь идет о зловредах .vbs.Dinihou. - без указания конкретной модификации - т.е если говорить именно по такой формуле - все как я сказал: на данный момент это гигантский общий детект и с конкретными сигнатурами, и с эвристиками, и с детектами на vbs-пакерокрипторы и прочие (возможно, даже есть блэкджек и ...). Просто примите это на веру. Поэтому говорить (процитирую вас), что просто нельзя. В этом детекте слишком много семейств совершенно разных и сказать, что Сима абсолютно все их детектит... в общем не шибко верно. Примеры: Мегапопулярный вбс червяк с флешек, имеет кучу заливок на вт (причем давнешний), комменты, голосовалку (Сима чего-то не видит его): https://www.virustotal.com/ru/file/9830a1f9...9b355/analysis/ Строго аналогичная ситуация: https://www.virustotal.com/ru/file/1d8be644...edd81/analysis/ А вот примеры того, что Сима все-таки детектит (каспер их палит общим детектом Dinihou): https://www.virustotal.com/ru/file/f9331b62...424f9/analysis/ (Сима: VBS.Downloader.Trojan) https://www.virustotal.com/ru/file/b1e71d8f...c017a/analysis/ (Сима: Backdoor.Trojan) Как видно, согласно тому же Симе - это разные зловредики, а не один тот же с парой измененных байт (как мини иллюстрация к моим словам). Теперь поговорим за конкретный детект, который колеблется на 4-7 местах в топе ЛК: VBS.Dinihou.r Судя по всему именно про него вы написали (если я правильно понял): Ежели вы это написали про целиком Dinihou, то про это я уже выше пояснил. Но и с этим конкретным детектом не все гладко - это "зараженные" ярлыки, которые мегапопулярны в странах с широким распространением флешек и социального общения вида "пришел в гости". Это как ответ на ваш вопрос "(кстати из-за чего именно там?)" Это тупо ярлык. Зачем там сигнатуры/эвристика/ипс - непонятно. Достаточно одного тупого детекта в виде простейшего регэкспа. Вот погуглил пару свежих ярлыков (детектов у Симы на них нет): https://www.virustotal.com/ru/file/183627cb...fc362/analysis/ https://www.virustotal.com/ru/file/671e3bac...611d1/analysis/ А вот тоже свежий ярлык, на который у Симы вполне понятный детект (VBS.Dunihi!lnk): https://www.virustotal.com/ru/file/8883b330...0ee64/analysis/ Все это говорит об одном - у Симы на эти ярлыки есть простейшая сигнатурка, но она далеко не полная (плохой регэксп написали). PS: Все это я написал не потому, что хочу показать какой Сима плохой, а его последователи не являются экспертами в ИБ, а чтоб немного поубавить пыл - общайтесь спокойно на форуме, не надо в каждое сообщение бросать одновременно вызов/недоверие к словам собеседника/рекламу Симы/стеб. Изначально все это я писал просто словами, сейчас мне пришлось взяться за клаву и набросать аргументацию/доказательства своим словам. В следующий раз не буду вестись на стеб и провокации. Будете по человечески спрашивать - буду адекватно по человечески объяснять, но не виде постоянного спора. PS2: товарищи администрация, если посчитаете данное обсуждение неуместным в этой теме, то перенесите куда-то