ESET CONNECT

Рекомендуют:
http://kb.eset.com/esetkb/index?page=content&id=SOLN2895#III
[QUOTE]Если после выполнения действия, описанные в частях I-III выше проблема не будет решена, ваш компьютер может быть заражен другой версии вредоносной программы Sirefef.
Чтобы удалить эту версию Sirfef, следуйте инструкциям ниже.
1.Click ссылку ниже, чтобы скачать ESETSirefefremover и инструмент ESET Servicesrepair. [/QUOTE]
http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe
:)
Если версия Sirefef без драйвера(а она сейчас самая распрастраненная), лечит ServicesRepair.exe. Я проверял на виртуальной машине, точно лечит. :)

Часто в таком архиве несколько вредоносных файлов. И например один файл может(пока) не детектироваться. Я думаю правильно удалять весь архив, так как архиве с высокой степенью вероятности могут быть и другие вредоносные файлы. В нормальных архивах вредоносных файлов вообще нет!!!
:)

Вот ещё очень давно  смотрел, когда не ловил эвристикой.  
https://www.virustotal.com/file/c0b8f62bdbe9f5636e83b3a7d2bb45943bf8c407474ce939188­1183b2ff06239/analysis/1341062458/
В оперативной памяти(Heuristics – detection directly in memory) 100%  обноружение, точное - > Live Grid  
Скриншот Zero Day:

Свежий семпл:
https://www.virustotal.com/file/542a73a0f6dd21d6ac35eb2c8541410fe791b1e20827f293b13­2e7cd3ed4c793/analysis/
Поставте везде в настройках галочки, обнаруживать потенциально опасные..
В 6 версии, только в одном месте, вот тут:

Много!!! :)

[QUOTE]Heuristics – detection directly in memory
Advanced heuristics on file execution
Internet heuristics
Heuristics
Advanced heuristics/DNA/Smart signatures
ThreatSense(is technology consists of many complex threat detection methods..)
Live Grid
IDS
HIPS(автоматический режим с моими правилами)
SysInspector Live Grid[/QUOTE]
:)

[QUOTE]Avast 6 пишет:
EVE N , это очень круто, но по моему кроме карбера есть и другая мальварь. Например TDL3/4, SST.a/b, Cidox, Spy Eye, Zbot, ZeroAccess. Сделай по ним такое.[/QUOTE]

Сделаю, не всё сразу, снимать долго, а потом разработчики LK будут плакать. Всёму свое время. :)

[B]Всё это дропперы нужно останавливать выполнение процесса в оперативной памяти с помощью HIPS[/B](иногда работает UAC). :)
ZeroAccess - Win32/Sirefef
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_50363072127f4.png[/IMG]
https://www.virustotal.com/file/2cb3fa658771d5ebfdb8f0c245a7aa9ce2eca1f2ee751b1edd9­29120ff30f9d7/analysis/
Kaspersky -
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_50363105dda42.png[/IMG]

Zbot бывают разные, все ловятся. :)
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_5036318bbabac.png[/IMG]
Перезагрузка, ПК чистый. Файла в базах нету. :)
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_5036329bc3007.png[/IMG]
https://www.virustotal.com/file/9428155bc0d4d64a2d11c8a0dd21296df5557b75faae273f378­ad1a31e472f01/analysis/


Маячок1 - cidox - Win32/Agent.SFM
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_50363984379b2.png[/IMG]
https://www.virustotal.com/file/d65aeec4e0010f56442a17d459f9175d8aa439ebb6055384672­ed90b36df024f/analysis/1345730376/
[IMG]http://img13.imageshost.ru/img/2012/08/23/image_503639096f80a.png[/IMG]
Spy Eye, SpyVoltar точно ловится, да уже почти всё зверки ловится с точным вердиктом. Винлоки всё что я видел - ловятся, всякие разные - очень много.
:)
Есть у меня один новый винлок(американский), там после точного вердикта на exe файл - unable to clean, похоже разработчики проверяют на ложные срабатывания. Там даже и перезагрузка не нужна, чтобы завершить процесс и грохнуть файл.
:)

Olmarik TDL4 - пока у меня нет дикого семпла которого нет в базах. Сейчас почти всё зверки чем нибудь уже защищены, и после протектора файл уже не работает. Да и у всех антивирусов останется в базах MBR и другой внутренний код TDL4. Этот TDL4 пока не распространяют, почти. Нужен дикий zero-day.
:)


[B]Kapral[/B]
Если какой разработчик LK будит говорить что KIS не поддерживает виртуальную машину - Майкрософт ХP MODE. Тому разработчику сам E.K. даст в глазик.
Тем более я проверял на разных виртуальных машинах, всё у вас работает, даже на VM VirtualBox. Отмазка не прокатит. :)

Kaspersky 2013 RC зверушек вообще не ловит. :) Могу целыми днями такое видео снимать, на разных зверушках. Там хорошо видно как он тормозит, на весь монитор! :)
http://www.youtube.com/watch?v=cC3u65s-oLo
P.S. Если не использовать HIPS, зверька накроет первая-же автоматическая проверка оперативной памяти. :)


Если это дроппер. Например Carberp, с помощью HIPS( иногда работает и UAC) нужно остановить выполнение вредоносного процесса в оперативной памяти.
http://img13.imageshost.ru/img/2012/04/26/image_4f98b6a87b720.png
Если видим:
Operating memory » explorer.exe(1024) - a variant of Win32/TrojanDownloader.Carberp.AH trojan
Включаем HIPS (например в интерактивный режим), выходим из системы или перезагружаем ПК, останавливаем вредоносный процесс в оперативной памяти, дроппер ловится и выносится, в базах файла нету.
:)
У меня автоматический режим и свои настройки и правила, все что нужно автоматически блокируется, меня информируют и записывают события в логи, или спрашивают. За день щёлкаю по нескольким алертам HIPS.
:)

Обнаглевший Kaspersky 2013 удаляет антивирусный софт. :o
Для удаления он использует стандартный установщик WINDOWS(system32/SysWOW64) -> msiexec.exe
Я естественно его заблокировал с помощью HIPS. :)
http://img13.imageshost.ru/img/2012/08/21/image_5033c10b0b675.png
Эта поделка даже и не видит, что Нод и не собирается удаляться. Пишет, успешно удалено. :)

У меня есть ссылочка, я каждый день новые файлы скачиваю, часто Live Grid сам их сразу отправляет, как только файл скачался. Наверно с точным вердиктом, хотя файл не детектируется.
:)
https://www.virustotal.com/file/3d03170434b28fa5d4b846751b38b4eba9342ce2eb88403af58­09a2e97e732ad/analysis/
На момент проверки Detection ratio: 5 / 41. Файл не очень новый, обычно на VT 0/41, и если этот файл там не проверять, его почти не кто не будит ловить.

Все 100% файлов ловятся в оперативной памяти с точным вердиктом, а затем Live Grid их отправляет в ESET. Просто нужно с помощью HIPS (на этом зверке можно использовать UAC) остановить процесс в оперативной памяти, так как это дроппер.
:)

Все организаторы ботнета Carberp арестованы! :)
http://blog.eset.com/2012/07/02/all-carberp-botnet-organizers-arrested

Во всяком случае сейчас очень даже заметно как многие вирусописатели разных зверьков если ещё в ужасе не бросили это занятие, то заметно сыкают что их поймают за попу и жестоко отлупят. Даже разных зверьков у нас сейчас разпространяют потихоньку чтобы некто не заметил, не посчитал серьзным, и не обратил на них внимание. Боятся, полиция и омон как влупят по печени, больно.
:)