Личный вирусный аналитик - Страница 2 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Сергей Ильин
А если для обычных пользователей, то вообще малопонятна ситуация с идеей "частного вирусного аналитика" (он зачем вообще?), т.к если пролечить комп надо - на вирусинфо (и других подобных форумах) бесплатно помогут - будут до упора ковырять логи, сделать новые и т.д до полного искоренения всей заразы. Если понять, что за файл - ответит либо вирлаб какой-то, либо форумное сообщество...

Согласен полностью. Простого юзера малоинтересует, что за зверь и что он мог сделать. Он проверяет "карманы", какие-то важные файлы. Если все ОК, то успокаивается. Главное что ничто больше не беспокоит. Поэтому такая услуга изначально интересна только бизнесу. Корпоратив уже фактически покрыт, остается SMB. Вот там пока реально никого нет и массовый сервис мог бы пойти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Если на нашем сайте не нашлось подходящего описания обнаруженного на вашем компьютере детектируемого объекта, вы можете оставить запрос к антивирусной лаборатории Касперского на создание и публикацию на сайте интересующего вас описания.

Скажите пожалуйста, я могу отправлять сколько угодно запросов на публикацию на сайте интересующего меня описания (разумеется, если есть лицензионный ключ) ? Ответы быстро приходят ? Есть клиенты, которые пишут на форумах, что ответ от техподдержки приходит нескоро или не приходит.

Описание делает программа или вирусный аналитик (живой человек) ?

Обычно мнения вирусных аналитиков из лабораторий Dr Web, Kaspersky, и Eset Nod совпадают. Но иногда бывают разногласия.

Хотелось бы узнать, в чем трейнер для игры "провинился" (его называют троянской программой) перед Лабораторией Касперского (Trojan-FakeAV.Win32.AdwareRemover.fb) :facepalm: ( https://www.virustotal.com/ru/file/4b839dc4...sis/1401118312/ ) ? Есть еще файл, который почему-то Касперский называет Trojan.Refroso . (отчет virustotal и письмо из вирлаба ) .

У вирусного аналитика Владимира Мартьянова из лаборатории Dr Web иногда "не совпадает" мнение с вирусным аналитиком из лаборатории Касперского . У меня доверие сложилось к Владимиру Мартьянову. Вирусных аналитиков из Лаборатории Касперского я тоже уважаю, но иногда не понимаю, почему они называют программу троянской, а не потенциально опасной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Описание делает программа или вирусный аналитик (живой человек) ?

Когда как. Чаще робот по рез-там отработки файла в т.н."песочнице" - выводится отчёт действий, которые выполняет исследуемая программа.

Обычно мнения вирусных аналитиков из лабораторий Dr Web, Kaspersky, и Eset Nod совпадают. Но иногда бывают разногласия.

Хотелось бы узнать, в чем трейнер для игры "провинился" (его называют троянской программой) перед Лабораторией Касперского (Trojan-FakeAV.Win32.AdwareRemover.fb) :facepalm: ( https://www.virustotal.com/ru/file/4b839dc4...sis/1401118312/ ) ? Есть еще файл, который почему-то Касперский называет Trojan.Refroso . (отчет virustotal и письмо из вирлаба ) .

У вирусного аналитика Владимира Мартьянова из лаборатории Dr Web иногда "не совпадает" мнение с вирусным аналитиком из лаборатории Касперского . У меня доверие сложилось к Владимиру Мартьянову. Вирусных аналитиков из Лаборатории Касперского я тоже уважаю, но иногда не понимаю, почему они называют программу троянской, а не потенциально опасной.

На сам файл надо будет немного пристальней посмотреть, но здесь зиждется вопрос политический - просто есть куча всяких "оптимизаторов реестра"\"адваре-хантеров-бастеров-клинеров" и.т.п., причём даже подписанных, и всё зависит от решения конкретного человека. Допустим, вот файлы, имеющие подпись Ebiz Networks Corp., ловятся Dr.Web как Trojan.Fakealert, но не ловятся другими именитыми участниками, тем же KL. Правда, по их базе чистых файлов эти объекты тоже не опознаются:

https://www.virustotal.com/ru/file/73465136...sis/1401135767/

https://www.virustotal.com/ru/file/30cff58d...sis/1401135781/

https://www.virustotal.com/ru/file/55eb307a...sis/1401135751/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
На сам файл надо будет немного пристальней посмотреть...

При запуске дропает 3 файла в папку C:\Windows\SysWOW64 (C:\Windows\System32):

1. game.jpg

2. SCS.dll https://www.virustotal.com/ru/file/f6b1fee1...sis/1401138365/

3. SCX.dll https://www.virustotal.com/ru/file/e51322b7...sis/1401138372/

Всем файлам зачем-то ставит атрибут "скрытый".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
При запуске дропает 3 файла в папку C:\Windows\SysWOW64 (C:\Windows\System32):

1. game.jpg

2. SCS.dll https://www.virustotal.com/ru/file/f6b1fee1...sis/1401138365/

3. SCX.dll https://www.virustotal.com/ru/file/e51322b7...sis/1401138372/

Всем файлам зачем-то ставит атрибут "скрытый".

А дальше? Что-то ещё делает из стандартного ряда действий, характерных для FakeAV?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
А дальше? Что-то ещё делает из стандартного ряда действий, характерных для FakeAV?

Не замечено. Файл скинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Не замечено. Файл скинуть?

Да, пожалуйста. Thnx!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Судя по всему, программка для читов для игрулины Dragon Rizing. Пытается отслеживать события клавиатуры, что как раз связано с её осн. функционалом - читкодами.

d_rizing.PNG

Сие явно на FakeAV не похоже. :) Рекламу тоже не крутит и из внешних источников её не подтягивает.

В автозагрузку не прописывается. При закрытии программы удаляет свои файлы, которые сбрасывает в system32 при своём запуске (см. сообщение Dmitriy K). Сайт sicheats.com, который указан в меню About, не работает.

В целом согласен с мнением В.Мартьянова, что данная программа не является вредоносной. Детект же KL, полагаю, сделан аналитическим роботом по совокупности действий: 1) сброс в системный каталог бинарных файлов, 2) присвоение им атрибута hidden (скрытый), 3) попытка отследить события клавиатуры.

Остальные же из списка детектирующих, скорее всего, просто сделали свой вердикт также на основании робото-вердиктов и из соображений trusted_to_kaspersky (такие вещи тоже встречаются даже у тех, кто весьма гордится своими авторскими технологиями отлова вредоносов. :) ).

post-270-1401142235_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Непонятно, почему робот ( или вирусный аналитик ) выносит именно такой вердикт - FakeAv, Troajn PWS (троян такой-то) и т.д. (у обоих вирлабов). Он не пишет HEUR, probably . Это, как я понимаю, сигнатурный анализ.

newvirus@kaspersky.com

кому: мне

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Trojan-FakeAV.Win32.AdwareRemover.fb

Sincerely yours,

Vasilios Hioureas,

Junior Malware analyst.

Dr Web признает, что срабатывания ложные (те файлы, которые я им отсылал). Kaspersky не всегда признает. Ну, им виднее B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Непонятно, почему робот ( или вирусный аналитик ) выносит именно такой вердикт - FakeAv, Troajn PWS (троян такой-то) и т.д. (у обоих вирлабов). Он не пишет HEUR, probably . Это, как я понимаю, сигнатурный анализ.

newvirus@kaspersky.com

кому: мне

Здравствуйте,

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Trojan-FakeAV.Win32.AdwareRemover.fb

Sincerely yours,

Vasilios Hioureas,

Junior Malware analyst.

Dr Web признает, что срабатывания ложные (те файлы, которые я им отсылал). Kaspersky не всегда признает. Ну, им виднее B)

Последний скан файла: https://www.virustotal.com/ru/file/4b839dc4...74633/analysis/

DrWeb Trojan.Siggen6.18279 20140616

Так, всё-таки, признаёт ложным или trusted_by_kis сработал? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×