Тест на VirusTotal (часть вторая)

[Mike 125]

Я что-то пропустил или пора Гостеву писать новую статью под названием "Rustock.E - уже не миф!" ?

Вроде как прошлая полемика по Рустоку окончилась модификацией "С".

по терминологии касперского это скорее всего очередной Trojan-Clicker.Win32.Costrat

[Mike 125]

eще парочка свежих руткитов.

кстати вчерашнего руткита до сих пор никто в базу не добавил.

65862dd6.sys– 2008.11.17 23:44:47 (CET) / 2/35 (5.72%)

AntiVir 7.9.0.31 2008.11.17 -

DrWeb 4.44.0.09170 2008.11.17 -

Kaspersky 7.0.0.125 2008.11.17 -

McAfee 5437 2008.11.17 -

Microsoft 1.4104 2008.11.17 Backdoor:WinNT/Rustock.E

NOD32 3619 2008.11.17 -

Symantec 10 2008.11.17 -

TrendMicro 8.700.0.1004 2008.11.17 -

VBA32 3.12.8.9 2008.11.17 suspected of Malware-Cryptor.Win32.General.3

http://www.virustotal.com/de/analisis/440a...bf972829894c2a9

––––––––––––––––––––––––

senekavbuw.sys– 2008.11.17 23:45:41 (CET) / 6/36 (16.67%)

AntiVir 7.9.0.31 2008.11.17 TR/Rootkit.Gen

DrWeb 4.44.0.09170 2008.11.17 -

Kaspersky 7.0.0.125 2008.11.17 -

McAfee 5437 2008.11.17 -

Microsoft 1.4104 2008.11.17 -

NOD32 3619 2008.11.17 -

Symantec 10 2008.11.17 -

TrendMicro 8.700.0.1004 2008.11.17 -

VBA32 3.12.8.9 2008.11.17 -

http://www.virustotal.com/de/analisis/c35a...b53272141141fcf

–––––––––––––––––––––––––

TDSSserv.sys – 2008.11.17 23:46:05 (CET) /12/36 (33.34%)

AntiVir 7.9.0.31 2008.11.17 TR/Peed.A.72

DrWeb 4.44.0.09170 2008.11.17 -

Kaspersky 7.0.0.125 2008.11.17 -

McAfee 5437 2008.11.17 -

Microsoft 1.4104 2008.11.17 Trojan:WinNT/Tibs.gen!A

NOD32 3619 2008.11.17 -

Symantec 10 2008.11.17 Backdoor.Tidserv

TrendMicro 8.700.0.1004 2008.11.17 -

VBA32 3.12.8.9 2008.11.17 -

http://www.virustotal.com/de/analisis/580a...593c554452000be

[p2u 824]

eще парочка свежих руткитов.

Mike,

О способе их распространения вы можете что-нибудь подробнее сказать, или вы опять "сходили туда, куда ходить не рекомендуется, и 'случайно' экзешник запустили"?

P.S.: Желательно указать, какой мусор ещё создался во время создания этих руткитов на компе (имею в виду: на вид незначительные файлы). Спасибо.

Paul

[Mike 125]

О способе их распространения вы можете что-нибудь подробнее сказать, или вы опять "сходили туда, куда ходить не рекомендуется, и 'случайно' экзешник запустили"?

на этот раз была запущен тот–же лодер, что и позавчера.

особенность в том , что тест проводился на чистой машине без антивирусов,

и я похоже успел перехватить почти все.

сегодня постараюсь собрать с харддиска весь мусор ( в .т.ч. бинарники с расширением htm )

и выложить в закрытый раздел или на рапиду.

––––––––––––––

Пауль, включите или очистите ПМ, у меня к Вашему ПМ нет доступа.

[sww 486]

Пауль, включите или очистите ПМ, у меня к Вашему ПМ нет доступа.

О, я смотрю вы нашли друг друга

[AlexxSun 150]

кстати вчерашнего руткита до сих пор никто в базу не добавил.

Странно, а так много писали о том, что Вирустотал делится "уловом" с производителями антивирусного ПО

Получается, что или не делится, или производители просматривают полученный материал не очень оперативно.

[dot_sent 140]

Странно, а так много писали о том, что Вирустотал делится "уловом" с производителями антивирусного ПО

Получается, что или не делится, или производители просматривают полученный материал не очень оперативно.

Материалы с ВТ, как правило, имеют весьма низкий приоритет в АВ-лабораториях, ибо смотреть каждый файл, на который ругнулся какой-нибудь eSafe - весьма напряжно и накладно. Кроме того, с ВТ обычно можно получить только ошметки зверья по одному файлу, а напрямую в вирлаб часто присылаются полные комплекты - либо самостоятельно собранные грамотными пользователями/админами, либо выковырянные с пользовательских машин при помощи ТП.

[Mike 125]

Только для тех, кто в теме.

Downloader лежит в последней солянке.

http://www.virustotal.com/de/analisis/3a11...b7ffc688f85cb43