|
Как быстро новые вирусы попадают в антивирусные базы? | ☑ | ||
---|---|---|---|---|
0
Matrix1C
09.03.12
✎
11:33
|
У меня на компе WinXP, со всеми обновлениями стоял антивирус от Microsoft. И вдруг перестала приходить электронная почта. Я потерпел пару дней, затем захотел скачать drweb cureit - их сайт не открылся, попробовал avast - тоже, ни IE8 ни FireFox. скачал на другом компе CureIt переписал через флешку проверил всё чисто. Отложил вопорс ещё на несколько дней. Вдруг ситуация ухудшилась игра по интернету начала вылетать. Пришлось опять думать бороздить интернет в поисках рекомендаций, такого наделал но всё бестолку. Решил снести антивирус Майкрософта и поставить Avast. Опять скачал на другом компе установил, назначил проверку до загрузки Винды- всё прекрасно! Только одно но каждые несколько минут начало вылезать сообщение о блокировании угрозы. Если нажать подробно было написано - не волнуйтесь антивирус предотвратил заражение, Вам ничего не угражает. Представляете он не понимал что вирус уже у меня на компе и именно он обращается по некоторому адресу! Запустил Autoruns посмотрел и увидел странный файл который был трижды запущен в разных ветвях реестра, посмотрел он лежит в Windows\AppPatch\epwtkk.exe. Я его послал в Virustotal.com и мне сообщили что ни один антивирусный продукт в мире в нем ничего плохого не видит. Но делать было нечего и я решил его удалить, загрузился в защищенный режим, я думал там вирус не будет активен и удалил его, а он через две секунда ОПА и опять на месте. Тогда я изменил права системы на него и очистил его до размера 0, оставив только имя, потом я очистил ссылки из реестра, перезагрузился И ВОТ ВСЁ РАБОТАЕТ! ИТАК ВОПРОС когда вирус попадает в антивирусные базы? У меня он жил неделю! инкогнито. Сегодня я передал его в drweb, avast, kaspersky. Первым отреагировал drweb через 6 часов в письме они обещали поместить его в антивирусные базы! Даже СПАСИБО не написали, остальные пока молчат...
|
|||
1
ОбычныйЧеловек
09.03.12
✎
11:39
|
(0) зависит от того кто из антивирусных компаний его создал.
|
|||
2
Kom-off
09.03.12
✎
11:42
|
(1)+
|
|||
3
Jolly Roger
09.03.12
✎
11:45
|
(0) бугага! еще одно подтверждение (1)
|
|||
4
John83
09.03.12
✎
11:50
|
вот это терпение!!!
я бы уже давно систему переставил и не парился |
|||
5
rootsmg
09.03.12
✎
11:54
|
> Даже СПАСИБО не написали
|
|||
6
rootsmg
09.03.12
✎
11:54
|
и не напишут
|
|||
7
Matrix1C
09.03.12
✎
16:14
|
У меня был случай что я две недели, каждый день с компом возился по нескольку часов что-бы понять почему винда не грузиться. Игры сына спасал... Победил!
|
|||
8
Попытка1С
09.03.12
✎
16:18
|
Выложи куданибудь.
|
|||
9
Matrix1C
09.03.12
✎
20:09
|
Выкладывать вирус что-то не хочется, придётся мне его на какой-нибудь машинке запустить и проверить начнет он вредить и в загрузку себя вписывать. Возможно в том что я отловил тела вируса нет ведь в момент копирования он был активен, а значит мог себя маскировать, подожду денёк другой.
|
|||
10
andrewks
09.03.12
✎
20:39
|
душещипательная история. особенно понравилось про "СПАСИБО".
автор, пиши ещё |
|||
11
John83
09.03.12
✎
21:01
|
(7) копируем папку D&S, переустанавливаем винду, достаем из той папки сейвы
|
|||
12
DGorgoN
09.03.12
✎
23:37
|
(0) Напиши, узнаешь =)
|
|||
13
zak555
09.03.12
✎
23:41
|
liveUSB | liveCD с антивирями не предлагать ?
|
|||
14
modestry
10.03.12
✎
00:32
|
(0) Был аналогичный случай, через 2 недели, у них в базе появился...2 недели мучился, отослал им исходник вируса, только через 2 недели осчастливили...Первым вирус обнаружил аваст но лечить не мог, через пару дней касперский, еще через пару аваст научился лечить как и каспер, нод молчал...через 2 недели научились все...
|
|||
16
Ardi
10.03.12
✎
02:27
|
"Как быстро новые вирусы попадают в антивирусные базы?"
Антивирусы давно проиграли в войне с вирусами. "Тогда я изменил права системы на него и очистил его до размера 0, оставив только имя, потом я очистил ссылки из реестра, перезагрузился" " Идея конечно хорошая, нужно запомнить. Но этот файл всего лишь один из компонентов твоего вируса. Остальные компоненты продолжают жить на компе. И ждать пока им сервер выдаст новые компоненты. |
|||
17
Diktis
10.03.12
✎
04:03
|
Как-то отправлял свежепришедший на e-mail вирус в Лабораторию Касперского, в базах появился перез пару дней.
|
|||
18
mehfk
10.03.12
✎
06:17
|
DrWeb и Kaspersky реагируют быстро, от пары-тройки часов до пары суток. NOD32 и AVAST добавляли семпл где-то неделю. В Майкрософт отправлял один раз - вообще не добавили, больше им не отсылаю.
В других AV семпл появляся сам через некоторое время (AV компании обмениваются семплами). Контролировал через virustotal |
|||
19
Thorn-deep
11.03.12
✎
09:16
|
DrWeb по мне так грамотный антивирь и не лезет куда непросиш и техподдержка просто 5+ (были проблемы с банкклиентом, точнее их vpn и сырой версиеё 5-ки веба) Остальные по мне так "от лукавого", ну кроме как ручного (нерезидентного) AVZ который просто! выручает.
|
|||
20
0xFFFFFF
11.03.12
✎
09:36
|
... написал вирус, который физически удаляет все файлы, начинающиеся на "А".
Отправил в DrWeb, даже спасибо не сказали, sцуки. :)) |
|||
21
0xFFFFFF
11.03.12
✎
09:38
|
... болею гриппом. Принес в лабораторию баночку с какашками.
Сказал, что грипп наверное слоновий. Даже спасибо не сказали, sцуки. :))) |
|||
22
Matrix1C
11.03.12
✎
11:01
|
СЕГОДНЯ ОТВЕТИЛ ESET NOD 32. Праздники чоли кончились??
Присланный Вами вирус определяется с версией базы данных сигнатур вирусов №6956 Спасибо за помощь в борьбе с вирусами. УРА СПАСИБО!! сказали. Одолжение мне сделали, мы за них работать должны? Ни даты, ни чо подробного... KASPERSKY молчит. |
|||
23
Thorn-deep
11.03.12
✎
11:11
|
даже интерестно продолжение, а в avast посылал? интересно в конце старнички увидеть табличку с рейтингом по времени реагирования...
|
|||
24
Matrix1C
11.03.12
✎
12:29
|
(23) Послал во все где знал что есть русская поддержка и AVAST. Сегодня из дома посмотрю как сдвинулось по virustotal, отпишусь.
|
|||
25
Matrix1C
11.03.12
✎
12:33
|
(16) всё поведение антивирусное что я наблюдал прекратилось. Восстановление автозагрузок себя, и восстановление того файла при удалении, и попытка открыть php на некотором сайте прекратились! Думаю я его прикончил..
|
|||
26
Midaw
11.03.12
✎
12:44
|
где вы их берёте? вирусы и к тому же новые...
|
|||
27
Matrix1C
11.03.12
✎
19:23
|
КСТАТИ антивирусы очнулись! после моей рассылки им файла они сподобились добавить его в базы.
На текущий момент по virustotal.com File name: epwtkk.exe Detection ratio: 7 / 43 Детектируют Anti-vir, AVAST, AVG, DrWeb,Kaspersky, NOD32, VIPRE. Я посылал его только AVAST, DrWeb,Kaspersky, интересно они другим продали? И вообще скоро ли до остальных дойдет? |
|||
28
Jump
11.03.12
✎
19:31
|
(0)"Даже СПАСИБО не написали" - а с чего ты вообще решил что они должны тебе сказать "спасибо".
Ты им - возможно, а они то тебе за какие заслуги? |
|||
29
Matrix1C
11.03.12
✎
19:35
|
(28) Так я же его не писал, я его поймал. И им подарил а они воспользовались. А ты в курсе что время от времени проводятся тесты антивирусов, и те кто в них выигрывают гордятся страшно! например в прошлом году победил G-DATA - Больше всех поймал. а AVAST быстро работает но не все ловит и тоже этим гордится.
|
|||
30
Lama12
11.03.12
✎
19:56
|
(29) а вирус то скачать где ни будь можно?
Протестить... |
|||
31
Terve-R-
11.03.12
✎
20:21
|
(14) "отослал им исходник вируса"
Надо было скомпилированный уже слать, рабочий! А то пока собрали, пока запустили... =)) |
|||
32
Terve-R-
11.03.12
✎
20:22
|
(22) ну все, ищи себя в титрах :))
|
|||
33
Jump
11.03.12
✎
20:23
|
(29)"И им подарил а они воспользовались." - улыбнуло.
Надеюсь ты сказал "спасибо" создателям вируса - они написали и подарили его тебе, а ты воспользовался! |
|||
34
Terve-R-
11.03.12
✎
20:30
|
(33) ты не понял - Касперский сотни миллионов долларов зарабатывает за счет таких, как (27) :)
|
|||
35
eklmn
гуру
11.03.12
✎
20:33
|
Кстати кто знает чью базу использует майкрасофтовский эссециале?
|
|||
36
Jump
11.03.12
✎
20:34
|
(35)Свою.
|
|||
37
Matrix1C
12.03.12
✎
10:57
|
(30) ну если кому надо могу в архиве на почту прислать, пишите почту. Я только не знаю сможет ли он заразить если его запустить. Не пробовал.
|
|||
38
Midaw
12.03.12
✎
11:30
|
(37) ты это завязывай. а то без почты останешься
|
|||
39
Matrix1C
12.03.12
✎
21:24
|
Слежу дальше за появлением антивирусов способных поймать, вируса описанного в начале темы.
Сегодня ещё два антивируса присоединились (по версии virustotal.com). File name: epwtkk.exe Detection ratio: 9 / 43 Analysis date: 2012-03-12 16:59:16 UTC +Antiy-AVL Backdoor/Win32.Shiz.gen +GData Win32:Malware-gen GData кстати лидер прошлого года, профессиональный немецкий антивирус. |
|||
40
Matrix1C
13.03.12
✎
22:04
|
Распознавание мною пойманного вируса набирает обороты! Добавились сразу 5 антивирусов детектирующих его!(по версии virustotal.com)
File name: epwtkk.exe Detection ratio: 14 / 43 Analysis date: 2012-03-13 17:57:49 UTC ( 2 минут ago ) +BitDefender Trojan.Generic.KD.565615 +F-Secure Trojan.Generic.KD.565615 +Norman W32/Suspicious_Gen4.ULSJ +Sophos Sus/UnkPack-C +nProtect Trojan.Generic.KD.565615 По названиям видно какие компании используют одинаковые базы. |
|||
41
Lama12
13.03.12
✎
22:30
|
(37) Пришли мне пожалуйста. Адрес в личке.
|
|||
42
Sakura
13.03.12
✎
22:33
|
(37) скинь исходник плз))) адрес в личке
|
|||
43
Matrix1C
14.03.12
✎
20:00
|
Сегодня "мой" вирус не изменил расклад сил антивирусных баз.
Зато мне подсказали сайт Anubis - http://anubis.iseclab.org/ Там присланную программку запускают и смотрят что она делает на компе в реестре, какими файлами пользуется, куда себя размножает и всё такое - даже непонятно мне что. И на работе модуль XP что-то словил, прямо нашествие вирусов на меня - прикольно! |
|||
44
Matrix1C
14.03.12
✎
20:23
|
(42) фото красивая, но письма к Вам не идут (по обоим адресам), похоже Вы тоже вирус :)
|
|||
45
Glenas
14.03.12
✎
20:38
|
(1) KIS и подобные опровергают это мнение. И вообще... уже давно АК признали, что сигнатурный способ не спасает от новых вирусов. Ещё одно подтверждение, что в (1) бред.
|
|||
46
Glenas
14.03.12
✎
20:44
|
(0) А вы наверное и не в курсе, что только защита в комплексе может спасать от угроз. Ппц.. стаж 7г.. Антивирус от MS, они даже сами говорят, что он дохлый
|
|||
47
Lama12
14.03.12
✎
21:29
|
(43) Avira поймала сразу.
|
|||
48
Matrix1C
15.03.12
✎
20:48
|
(46)??? я что много написал? что то неясно?, Тема такая: как быстро новые вирусы попадают в базы! что я не в курсе? я замеряю скорость реакции антивирусов на угрозы! И так-же мне интересно если-бы я сам им его не прислал, насколько долго он мог бы резвиться на просторах интернета?
До сих пор куча известных компаний не внесла его в базы! Comodo, McAfee, Microsoft, Panda, PCTools, Symantec, И ещё почти 30 мне не встречавшихся раньше. |
|||
49
Matrix1C
15.03.12
✎
20:51
|
(47) она ловит его начиная с 11 марта, кстати я им не посылал либо сами поймали, либо по обмену с другими.
|
|||
50
Sakura
15.03.12
✎
21:14
|
(44) обоим? О_о е-мэйл адрес там только один, если что))
|
|||
51
Matrix1C
16.03.12
✎
20:37
|
(50) Дело в том что письмо не ушло по тому что именно почтовый адрес, и поэтому я попробовал часть другого который был с @ (собакой), сейчас ещё попробую.
|
|||
52
Sakura
16.03.12
✎
20:40
|
(51) второе - это джаббер, не почта :)
адрес - который на гмэйле. вообще странно, не должно быть проблем. |
|||
53
Matrix1C
16.03.12
✎
20:48
|
Опять не получилось, проверьте Ваш адрес я его здесь не стал показывать ( _xXx_ вставил :))
Или ваша почта не позволяет пересылать запороленные архивы! К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям: [email protected] SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [173.194.69.26]: 552-5.7.0 Our system detected an illegal attachment on your message. Please 552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer=6590 to 552 5.7.0 review our attachment guidelines. zw9si2760596bkb.124 Рекомендуем Вам проверить корректность указания адресов получателей. |
|||
54
Sakura
16.03.12
✎
20:53
|
(53) в каком формате исходники шлешь? можешь в 7z заархивировать? гугл, похоже, проверяет вложения - ругается на него.
ну или на [email protected] кинь, там вроде поспокойнее с этим |
|||
55
Matrix1C
16.03.12
✎
21:02
|
Еще два антивируса присоединились +Sophos +Panda
File name: epwtkk.exe Detection ratio: 16 / 43 Analysis date: 2012-03-16 16:53:49 UTC ( 1 минута ago ) Symantec , McAfee и Microsoft - Этакие ГИГАНТЫ пока его не зафиксировали. Буду ждать! |
|||
56
Капитан Смоллет
модератор
16.03.12
✎
21:09
|
Медальку за быстроту отлова вируса. Пора вам создать свою фирму и переплюнуть означенные выше, поскольку вы спать не будете, а ихний зловредный код изловите..
|
|||
57
Matrix1C
17.03.12
✎
22:00
|
(56) Ценю Вашу иронию.
Я второй раз за жизнь ловлю нечаянно неизвестный вирус. Прикол в том что компании антивирусов всячески игнорируют помощь энтузиастов, а могли бы поощрять. Пытался ещё вручить его тем кто его не знает, но на их сайтах даже такого места найти не смог. То есть как послал в AVAST, Kaspersky, drweb так и всё больше желающих этим заниматься нет. А ведь Симантек и McAfee чуть ли не на все ноутбуки предустанавливают для продажи в России! |
|||
58
andrewks
17.03.12
✎
22:03
|
(55) "Symantec , McAfee и Microsoft - Этакие ГИГАНТЫ пока его не зафиксировали. Буду ждать!"
бугага. жги дальше. юзай др.веб или касперыча, и будет тебе щастье |
|||
59
Matrix1C
17.03.12
✎
22:09
|
(58) McAfee ПРИСОЕДИНИЛСЯ и McAfee-GW-Edition тоже
File name: epwtkk.exe File type: Win32 EXE Detection ratio: 18 / 43 Analysis date: 2012-03-17 18:04:34 UTC ( 1 минута ago ) Уже можно считать что мир под защитой 50%! |
|||
60
andrewks
17.03.12
✎
22:16
|
сёдня попался на фдэхе новый вирус, каспер определят эвристикой, дрвеб молчит. отправил в др.веб, посмотрим на скорость реакции. раньше обычно в течение суток реагировали
|
|||
61
andrewks
18.03.12
✎
10:19
|
+(60)
"Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении. " итак, время реакции др.веба составило 4,5 часа. отличный результат и, кстати, спасибо сказали: "Спасибо за сотрудничество." |
|||
62
Matrix1C
18.03.12
✎
22:24
|
СВЕЖИЕ РЕЗУЛЬТАТЫ +Jiangmin (КИТАЙ ПРИСОЕДИНИЛСЯ)
Detection ratio: 19 / 43 Analysis date: 2012-03-18 18:13:31 UTC ИНТЕРЕСНО! Продукт китайского антивирусного рынка Jiangmin без санкции «Лаборатории Касперского» (ЛК) используют базу вирусов с сайта российской компании. (2006 год) ПОХОЖЕ УЖЕ НЕИСПОЛЬЗУЕТ! Разница между базами неделя, Так что либо не копируют либо осторожно очень. (60) а как каспер его Называет? Попробуй сайт Anubis - http://anubis.iseclab.org/ |
|||
63
Matrix1C
26.03.12
✎
18:39
|
!!!!!!!! УРА !!!!!!!!!!!!!!
Сегодня ещё мои знакомые словили вируса! Похожего на тот что я уже ловил. На работе, в режиме администратора на Windows XP без антивируса просидели месяц в интернете yota. Всего 2 человека на нём работали обычные женщины среднего возраста. Интересы социальные сети, сайты бизнес направления, ну и может ещё чего... Симптом: перестали открываться старые DOS программы. Открываются на секунду и тут же закрываются. Я подобное уже видел, тогда возится не хотелось и я посоветовал Windows переставить. К тому-же сайт AVAST открывается но сам антивирус не скачивается. Сейчас вошёл удаленным администрированием и посмотрел что у них в автозагрузке - а там опять странный файл (приложение) из папки AppPatch. Ну я как водится открыл его стёр всё содержимое. Но он себя восстановил! Тогда я сделал его ReadOnly и очистил. Этот файл я себе перекачал предварительно и проверил на virustotal. Результаты удивительные: 5 антивирусов на него срабатывают остальные нет! Avast Win32:MalOb-KC [Cryp] Fortinet W32/Shiz.NCI!tr.spy GData Win32:MalOb-KC Sophos Sus/UnkPack-C Symantec Suspicious.Cloud.5 Теперь лидеры те что не ловили предыдущий (верх темы). Причем я его ни кому не посылал. Буду наблюдать.. |
|||
64
Matrix1C
29.03.12
✎
21:11
|
ПРОШЛО ТРИ ДНЯ! К этому вирусу "иммунитет" вырабатывается гораздо быстрее!
Уже 22 антивируса его знают!(по virustotal.com) File name: ydeobva.exe Detection ratio: 22 / 42 Analysis date: 2012-03-29 17:04:16 UTC ( 0 минут ago ) Все широкоизвестные антивирусы его уже ловят. Вот это нормальная скорость 3 дня и готово. Не знакомы с ним (из известных) -McAfee -Panda -PCTools |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |