Перейти к содержанию
Mike

Trojan-Downloader.Zlob (или Ikarus рулит)

Recommended Posts

Mike

получил я как–то меил с линком на новый кодек. :D

естессно скачал его и как и положено на на вирустотале проверил.

малоизвестный икарус кодек донлодер–злобом обругал.

зато уважаемые антивири все показали, чо это не злоб какой–нибудь, а настоящий кодек:

videomp3_setup_3913107.exe empfangen 2007.11.29 23:05:34

AntiVir 7.6.0.34 2007.11.29 -

DrWeb 4.44.0.09170 2007.11.29 -

Ikarus T3.1.1.12 2007.11.29 Trojan-Downloader.Zlob.AAZR

Kaspersky 7.0.0.125 2007.11.29 -

McAfee 5174 2007.11.29 -

Microsoft 1.3007 2007.11.29 -

NOD32v2 2693 2007.11.29 -

Symantec 10 2007.11.29 -

сынсталировал я кодек, чобы порнушку посмотреть :D

и винда заверещала:

3_923.jpg

понял я, чо все–таки злоба подцепил и скачал рекомендованную антиспувару :D

которая мне ентого злоба и удалила :D

а через недельку снова кодек на вирустотале проверил: :D

AntiVir 7.6.0.40 2007.12.07 TR/Dldr.Delf.ddz

DrWeb 4.44.0.09170 2007.12.08 Trojan.DownLoader.origin

Ikarus T3.1.1.12 2007.12.08 Trojan-Downloader.Zlob.AAZR

Kaspersky 7.0.0.125 2007.12.08 Trojan-Downloader.Win32.Delf.ddz

McAfee 5181 2007.12.08 Downloader.gen.a

Microsoft 1.3007 2007.12.08 -

NOD32v2 2711 2007.12.07 -

Symantec 10 2007.12.08 Trojan.Zlob

AntiVir , DrWeb, Kaspersky и McAfee никакого злоба не обнаружили, заявив, чо ето обыкновенный донлодер.

Symantec уперся утверждая, чо енто все–таки злоб.

а самый крутой витально–чачавный антивирь ваще ниче не нашел.

:lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Mike, уже перешли на Ikarus? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
  Иван сказал:
Mike, уже перешли на Ikarus? :D

я в размышлении: то–ли на Ikarus переходить нужно, то–ли на IE Defender

а то авира с каспером щас в ауте.

и нод с нортоном – тоже.

:lol::lol::lol:

кстати мои поздравления первому гуру на форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
  Mike сказал:
videomp3_setup_3913107.exe empfangen 2007.11.29 23:05:34

DrWeb 4.44.0.09170 2007.11.29

а через недельку снова кодек на вирустотале проверил: :D

DrWeb 4.44.0.09170 2007.12.08 Trojan.DownLoader.origin

ХМ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

A.

Нет они может просто обновили Gentertic детект на детектирование этого малвара? как думаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

Вообще-то тема мной была открыта как полушутливая.

И я не предполагал, что она уйдет в такое русло.

Я рассматривал вариант донлодера, который под видом кодека инсталлируется в систему.

После инсталляции, он заявляет, что компьютер завирусован злобом и предлагает загрузить "антималвару", которая далее с этим "злобом " успешно борется.

Кстати этот "кодек" уже неделю лежит в закрытом разделе форума.

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Все сообщения, относящиеся к технологии origin выделены в отдельную тему http://www.anti-malware.ru/phpbb/viewtopic...253cf7d3d52a08b

Добавлено спустя 6 минут 52 секунды:

Сообщения, касающиеся "кражи сигнатур" выделены в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic...253cf7d3d52a08b

:off:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
  Иван сказал:
Mike, уже перешли на Ikarus? :D

Ikarus рулит !!!

Иван, давайте вместе перейдем на Икарус.

Третьим возьмем Гостева.

А четвертым, этого, забыл ник, из лаболатории Данилова,

который антивирусы с автобусами путает.

:D:D:D

Datei videomp3_setup_3913107.exe empfangen 2008.01.02 22:54:56 (CET)

AntiVir 7.6.0.46 2008.01.02 -

ClamAV 0.91.2 2008.01.02 -

DrWeb 4.44.0.09170 2008.01.02 -

F-Prot 4.4.2.54 2008.01.02 -

F-Secure 6.70.13030.0 2008.01.02 -

Ikarus T3.1.1.15 2008.01.02 Trojan-Downloader.Win32.Delf.cwv

Kaspersky 7.0.0.125 2008.01.02 -

McAfee 5197 2008.01.02 -

Microsoft 1.3109 2008.01.02 -

NOD32v2 2762 2008.01.02 -

Symantec 10 2008.01.02 -

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=22278785 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
    • PR55.RP55
      Ту что-то, эдакое.... https://www.safezone.cc/threads/mainer-ili-net-nt-kernel-system.46113/
    • PR55.RP55
      Полное имя                  E:\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
      Имя файла                   SCREENSHOTS@MOZILLA.ORG.XPI
      Статус                      FireFox
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Extension_ID                screenshots@mozilla.org
      Extension_name              Firefox Screenshots
      Extension_type              extension
      Extension_active            true
      Extension_visible           true
      Extension_version           39.0.1
      Extension_installDate       2023-08-30 17:02
      Extension_description       Take clips and screenshots from the Web and save them temporarily or permanently.
      Extension_userDisabled      false
      Extension_sourceURI         null
      --------------------------------------------------------- Предлагаю (Нужно) искать  "не найденные"объекты на других дисках. Ведь они эти объекты есть... D:\Program Files\Mozilla Firefox\browser\features  
    • demkd
      Правильно будет вот так: cexec "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Remove-MpPreference -ExclusionPath "путь" и оно работает, если powerShell на месте и это действительно powershell.
×