Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

поговорить о uVS, Carberp, планете Земля

RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.11.2011 19:06:42
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пред. 1 ... 38 39 40 41 42 ... 167 След.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 17:17:16
Цитата
santy пишет:
Нужно еще раз обдумать и связать в предложение вариант, когда в список детектирования на VT входит и не входит детект NOD32.
Можно проще сделать.
Добавить в  контекстное меню файла соответствующею команду.
" Удалить файл & ссылки & удалить файл из Zoo "
И всё...
Одной командой решаем три задачи разом.
------------------------------------------------------------
Цитата
Арвид пишет:
Это лишняя работа как для пользователя, так и для ZloyDi с вирлабом
По хорошему,в вир.лабе должна быть реализована функция автоматического отсева файлов по sha1
Поступил файл > Происходит расчёт sha1 файла > = Хеш файла найден в базе поступивших/обработанных объектов > Файл исключен.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 21.02.2012 17:27:03
ну файл для начала извлечь нужно из архива с паролем. а потом, если файл детектится, он удалится антивирусом у них (надеюсь у них Нод стоит )
а потом они отвечают - данный семпл обнаруживается антивирусом с версией баз 6666
Изменено: Арвид - 21.02.2012 17:29:04
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 17:37:02
Цитата
Арвид пишет:
ну файл для начала извлечь нужно из архива с паролем.
Например на V.T. при наличие стандартного пароля - распаковка происходит автоматически.
( или по крайней мере должна происходить )
Кроме того - кто, сказал - что поступают для проверки именно вирусы ?
Поступают все типы файлов - Не вирусы/ подозрительные/вирусы/bat...
Смысл их сканировать ?
Смыла нет...
А вот авто отсев по sha1 - это вещь !
Проверили файл > Приняли по нему решение > Внесли в список/базу sha1 - и всё, больше его никто проверять не будет !
Пусть он хоть ещё 1000 раз придёт на анализ по мылу или ещё как.
И нет затрат по времени...
Авто распаковка архива и авто отсев по sha1.
+ Далее:
Сканирование с автоматическим  помещением на карантин.
= Все оставшиеся новые/неизвестные/непроверенные файлы - подвергаются анализу !
Изменено: RP55 RP55 - 21.02.2012 17:39:39
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 17:50:07
Цитата
RP55 RP55 пишет:
Добавить в  контекстное меню файла соответствующею команду.
" Удалить файл & ссылки & удалить файл из Zoo "
возможно проще будет (все таки) создать модифицированную реакцию на ADDSgn.
без ZOO в случае, если есть детект по VT. поскольку в любом случае придется проверить: есть детект или нет.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 17:59:35
Цитата
santy пишет:
Поскольку в любом случае придется проверить: есть детект или нет.
V.T.Часто в таком состоянии, что до него и не достучаться вовсе...
Значит при его недоступности и смысл пропадает...
Так проще; " Удалить файл & ссылки & удалить файл из Zoo "
Можно на V.T. проверить и по команде удалить.
Сколько времени займёт проверка ?
10 - 20 секунд.
Как правило речь идёт об 1-2-х вирусах...
А, это минимальный расход времени.
Сложно решение - есть сложное решение.
Изменено: RP55 RP55 - 21.02.2012 17:59:56
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2012 18:02:20
Цитата
RP55 RP55 пишет:
V.T.Часто в таком состоянии, что до него и не достучаться вовсе...
Значит при его недоступности и смысл пропадает...

Так проще; " Удалить файл & ссылки & удалить файл из Zoo "
а как ты хочешь удалять файл из карантина, если не знаешь реакции антивируса детектирует его скажем ESET или нет?
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 18:04:28
И кстати - по вирусам шифраторам.
Есть ли реальная возможность выловить зловреда посредством uVS ?
Я бы предложил провести ряд экспериментов.
При работе, через ADDDIR - с добавлением всех Temp/ов.
Даже если не будет результата то: "Отсутствие результат и есть результат "  :(  :D
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 21.02.2012 18:08:03
Цитата
RP55 RP55 пишет:
Есть ли реальная возможность выловить зловреда посредством uVS ?

Дроппер можно выловить узнав значение в реестре, а лопатить все тепмы очень долго... и не имеет никакого смысла... чему и есть доказательство вчерашняя тема.
Изменено: zloyDi - 21.02.2012 18:09:02

 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 18:09:30
Цитата
santy пишет:
А как ты хочешь удалять файл из карантина, если не знаешь реакции антивируса детектирует его скажем ESET или нет?

Проехали!
Изменено: RP55 RP55 - 21.02.2012 18:16:48
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 21.02.2012 18:13:59
Цитата
zloyDi пишет:
Дроппер можно выловить узнав значение в реестре, а лопатить все тепмы очень долго... и не имеет никакого смысла... чему и есть доказательство вчерашняя тема.
Вчерашняя тема доказывает - только, то, что тэмпы рано было чистить.
Это тот случай - когда нужно было вирусы не удалять - а искать.
 
Пред. 1 ... 38 39 40 41 42 ... 167 След.
Читают тему