Имя: Пароль:
IT
Админ
Как быстро новые вирусы попадают в антивирусные базы?
,
0 Matrix1C
 
09.03.12
11:33
У меня на компе WinXP, со всеми обновлениями стоял антивирус от Microsoft. И вдруг перестала приходить электронная почта. Я потерпел пару дней, затем захотел скачать drweb cureit - их сайт не открылся, попробовал avast - тоже, ни IE8 ни FireFox. скачал на другом компе CureIt переписал через флешку проверил всё чисто. Отложил вопорс ещё на несколько дней. Вдруг ситуация ухудшилась игра по интернету начала вылетать. Пришлось опять думать бороздить интернет в поисках рекомендаций, такого наделал но всё бестолку. Решил снести антивирус Майкрософта и поставить Avast. Опять скачал на другом компе установил, назначил проверку до загрузки Винды- всё прекрасно! Только одно но каждые несколько минут начало вылезать сообщение о блокировании угрозы. Если нажать подробно было написано - не волнуйтесь антивирус предотвратил заражение, Вам ничего не угражает. Представляете он не понимал что вирус уже у меня на компе и именно он обращается по некоторому адресу! Запустил Autoruns посмотрел и увидел странный файл который был трижды запущен в разных ветвях реестра, посмотрел он лежит в Windows\AppPatch\epwtkk.exe. Я его послал в Virustotal.com и мне сообщили что ни один антивирусный продукт в мире в нем ничего плохого не видит. Но делать было нечего и я решил его удалить, загрузился в защищенный режим, я думал там вирус не будет активен и удалил его, а он через две секунда ОПА и опять на месте. Тогда я изменил права системы на него и очистил его до размера 0, оставив только имя, потом я очистил ссылки из реестра, перезагрузился И ВОТ ВСЁ РАБОТАЕТ! ИТАК ВОПРОС когда вирус попадает в антивирусные базы? У меня он жил неделю! инкогнито. Сегодня я передал его в drweb, avast, kaspersky. Первым отреагировал drweb через 6 часов в письме они обещали поместить его в антивирусные базы! Даже СПАСИБО не написали, остальные пока молчат...
1 ОбычныйЧеловек
 
09.03.12
11:39
(0) зависит от того кто из антивирусных компаний его создал.
2 Kom-off
 
09.03.12
11:42
(1)+
3 Jolly Roger
 
09.03.12
11:45
(0) бугага! еще одно подтверждение (1)
4 John83
 
09.03.12
11:50
вот это терпение!!!
я бы уже давно систему переставил и не парился
5 rootsmg
 
09.03.12
11:54
> Даже СПАСИБО не написали
6 rootsmg
 
09.03.12
11:54
и не напишут
7 Matrix1C
 
09.03.12
16:14
У меня был случай что я две недели, каждый день с компом возился по нескольку часов что-бы понять почему винда не грузиться. Игры сына спасал... Победил!
8 Попытка1С
 
09.03.12
16:18
Выложи куданибудь.
9 Matrix1C
 
09.03.12
20:09
Выкладывать вирус что-то не хочется, придётся мне его на какой-нибудь машинке запустить и проверить начнет он вредить и в загрузку себя вписывать. Возможно в том что я отловил тела вируса нет ведь в момент копирования он был активен, а значит мог себя маскировать, подожду денёк другой.
10 andrewks
 
09.03.12
20:39
душещипательная история. особенно понравилось про "СПАСИБО".

автор, пиши ещё
11 John83
 
09.03.12
21:01
(7) копируем папку D&S, переустанавливаем винду, достаем из той папки сейвы
12 DGorgoN
 
09.03.12
23:37
(0) Напиши, узнаешь =)
13 zak555
 
09.03.12
23:41
liveUSB | liveCD с антивирями не предлагать ?
14 modestry
 
10.03.12
00:32
(0) Был аналогичный случай, через 2 недели, у них в базе появился...2 недели мучился, отослал им исходник вируса, только через 2 недели осчастливили...Первым вирус обнаружил аваст но лечить не мог, через пару дней касперский, еще через пару аваст научился лечить как и каспер, нод молчал...через 2 недели научились все...
16 Ardi
 
10.03.12
02:27
"Как быстро новые вирусы попадают в антивирусные базы?"
Антивирусы давно проиграли в войне с вирусами.
"Тогда я изменил права системы на него и очистил его до размера 0, оставив только имя, потом я очистил ссылки из реестра, перезагрузился" "
Идея конечно хорошая, нужно запомнить. Но этот файл всего лишь один из компонентов твоего вируса. Остальные компоненты продолжают жить на компе. И ждать пока им сервер выдаст новые компоненты.
17 Diktis
 
10.03.12
04:03
Как-то отправлял свежепришедший на e-mail вирус в Лабораторию Касперского, в базах появился перез пару дней.
18 mehfk
 
10.03.12
06:17
DrWeb и Kaspersky реагируют быстро, от пары-тройки часов до пары суток. NOD32 и AVAST добавляли семпл где-то неделю. В Майкрософт отправлял один раз - вообще не добавили, больше им не отсылаю.
В других AV семпл появляся сам через некоторое время (AV компании обмениваются семплами). Контролировал через virustotal
19 Thorn-deep
 
11.03.12
09:16
DrWeb по мне так грамотный антивирь и не лезет куда непросиш и техподдержка просто 5+ (были проблемы с банкклиентом, точнее их vpn и сырой версиеё 5-ки веба) Остальные по мне так "от лукавого", ну кроме как ручного (нерезидентного) AVZ который просто! выручает.
20 0xFFFFFF
 
11.03.12
09:36
... написал вирус, который физически удаляет все файлы, начинающиеся на "А".
Отправил в DrWeb, даже спасибо не сказали, sцуки.
:))
21 0xFFFFFF
 
11.03.12
09:38
... болею гриппом. Принес в лабораторию баночку с какашками.
Сказал, что грипп наверное слоновий.
Даже спасибо не сказали, sцуки.

:)))
22 Matrix1C
 
11.03.12
11:01
СЕГОДНЯ ОТВЕТИЛ ESET NOD 32. Праздники чоли кончились??

Присланный Вами вирус определяется с версией базы данных сигнатур вирусов №6956
Спасибо за помощь в борьбе с вирусами.

УРА СПАСИБО!! сказали. Одолжение мне сделали, мы за них работать должны? Ни даты, ни чо подробного...

KASPERSKY молчит.
23 Thorn-deep
 
11.03.12
11:11
даже интерестно продолжение, а в avast посылал? интересно в конце старнички увидеть табличку с рейтингом по времени реагирования...
24 Matrix1C
 
11.03.12
12:29
(23) Послал во все где знал что есть русская поддержка и AVAST. Сегодня из дома посмотрю как сдвинулось по virustotal, отпишусь.
25 Matrix1C
 
11.03.12
12:33
(16) всё поведение антивирусное что я наблюдал прекратилось. Восстановление автозагрузок себя, и восстановление того файла при удалении, и попытка открыть php на некотором сайте прекратились! Думаю я его прикончил..
26 Midaw
 
11.03.12
12:44
где вы их берёте? вирусы и к тому же новые...
27 Matrix1C
 
11.03.12
19:23
КСТАТИ антивирусы очнулись! после моей рассылки им файла они сподобились добавить его в базы.
На текущий момент по virustotal.com

File name: epwtkk.exe
Detection ratio: 7 / 43

Детектируют Anti-vir, AVAST, AVG, DrWeb,Kaspersky, NOD32, VIPRE.

Я посылал его только AVAST, DrWeb,Kaspersky, интересно они другим продали?
И вообще скоро ли до остальных дойдет?
28 Jump
 
11.03.12
19:31
(0)"Даже СПАСИБО не написали" - а с чего ты вообще решил что они должны тебе сказать "спасибо".
Ты им - возможно, а они то тебе за какие заслуги?
29 Matrix1C
 
11.03.12
19:35
(28) Так я же его не писал, я его поймал. И им подарил а они воспользовались. А ты в курсе что время от времени проводятся тесты антивирусов, и те кто в них выигрывают гордятся страшно! например в прошлом году победил G-DATA - Больше всех поймал. а AVAST быстро работает но не все ловит и тоже этим гордится.
30 Lama12
 
11.03.12
19:56
(29) а вирус то скачать где ни будь можно?
Протестить...
31 Terve-R-
 
11.03.12
20:21
(14) "отослал им исходник вируса"
Надо было скомпилированный уже слать, рабочий! А то пока собрали, пока запустили... =))
32 Terve-R-
 
11.03.12
20:22
(22) ну все, ищи себя в титрах :))
33 Jump
 
11.03.12
20:23
(29)"И им подарил а они воспользовались." - улыбнуло.
Надеюсь ты сказал "спасибо" создателям вируса - они написали и подарили его тебе,  а ты воспользовался!
34 Terve-R-
 
11.03.12
20:30
(33) ты не понял - Касперский сотни миллионов долларов зарабатывает за счет таких, как (27) :)
35 eklmn
 
гуру
11.03.12
20:33
Кстати кто знает чью базу использует майкрасофтовский эссециале?
36 Jump
 
11.03.12
20:34
(35)Свою.
37 Matrix1C
 
12.03.12
10:57
(30) ну если кому надо могу в архиве на почту прислать, пишите почту. Я только не знаю сможет ли он заразить если его запустить. Не пробовал.
38 Midaw
 
12.03.12
11:30
(37) ты это завязывай. а то без почты останешься
39 Matrix1C
 
12.03.12
21:24
Слежу дальше за появлением антивирусов способных поймать, вируса описанного в начале темы.
Сегодня ещё два антивируса присоединились (по версии virustotal.com).

File name: epwtkk.exe
Detection ratio: 9 / 43
Analysis date: 2012-03-12 16:59:16 UTC

+Antiy-AVL Backdoor/Win32.Shiz.gen
+GData Win32:Malware-gen

GData кстати лидер прошлого года, профессиональный немецкий антивирус.
40 Matrix1C
 
13.03.12
22:04
Распознавание мною пойманного вируса набирает обороты! Добавились сразу 5 антивирусов детектирующих его!(по версии virustotal.com)

File name:    epwtkk.exe
Detection ratio:    14 / 43
Analysis date:    2012-03-13 17:57:49 UTC ( 2 минут ago )

+BitDefender    Trojan.Generic.KD.565615
+F-Secure    Trojan.Generic.KD.565615
+Norman            W32/Suspicious_Gen4.ULSJ
+Sophos            Sus/UnkPack-C
+nProtect    Trojan.Generic.KD.565615

По названиям видно какие компании используют одинаковые базы.
41 Lama12
 
13.03.12
22:30
(37) Пришли мне пожалуйста. Адрес в личке.
42 Sakura
 
13.03.12
22:33
(37) скинь исходник плз))) адрес в личке
43 Matrix1C
 
14.03.12
20:00
Сегодня "мой" вирус не изменил расклад сил антивирусных баз.
Зато мне подсказали сайт Anubis - http://anubis.iseclab.org/

Там присланную программку запускают и смотрят что она делает на компе в реестре, какими файлами пользуется, куда себя размножает  и всё такое - даже непонятно мне что.

И на работе модуль XP что-то словил, прямо нашествие вирусов на меня - прикольно!
44 Matrix1C
 
14.03.12
20:23
(42) фото красивая, но письма к Вам не идут (по обоим адресам), похоже Вы тоже вирус :)
45 Glenas
 
14.03.12
20:38
(1) KIS и подобные опровергают это мнение. И вообще... уже давно АК признали, что сигнатурный способ не спасает от новых вирусов. Ещё одно подтверждение, что в (1) бред.
46 Glenas
 
14.03.12
20:44
(0) А вы наверное и не в курсе, что только защита в комплексе может спасать от угроз. Ппц.. стаж 7г.. Антивирус от MS, они даже сами говорят, что он дохлый
47 Lama12
 
14.03.12
21:29
(43) Avira поймала сразу.
48 Matrix1C
 
15.03.12
20:48
(46)??? я что много написал? что то неясно?, Тема такая: как быстро новые вирусы попадают в базы! что я не в курсе? я замеряю скорость реакции антивирусов на угрозы! И так-же мне интересно если-бы я сам им его не прислал, насколько долго он мог бы резвиться на просторах интернета?

До сих пор куча известных компаний не внесла его в базы! Comodo, McAfee, Microsoft, Panda, PCTools, Symantec,

И ещё почти 30 мне не встречавшихся раньше.
49 Matrix1C
 
15.03.12
20:51
(47) она ловит его начиная с 11 марта, кстати я им не посылал либо сами поймали, либо по обмену с другими.
50 Sakura
 
15.03.12
21:14
(44) обоим? О_о е-мэйл адрес там только один, если что))
51 Matrix1C
 
16.03.12
20:37
(50) Дело в том что письмо не ушло по тому что именно почтовый адрес, и поэтому я попробовал часть другого который был с @ (собакой), сейчас ещё попробую.
52 Sakura
 
16.03.12
20:40
(51) второе - это джаббер, не почта :)
адрес - который на гмэйле. вообще странно, не должно быть проблем.
53 Matrix1C
 
16.03.12
20:48
Опять не получилось, проверьте Ваш адрес я его здесь не стал показывать ( _xXx_ вставил :))
Или ваша почта не позволяет пересылать запороленные архивы!

К сожалению, Ваше письмо не может быть доставлено одному или нескольким получателям:

 [email protected]
   SMTP error from remote mail server after end of data:
   host gmail-smtp-in.l.google.com [173.194.69.26]:
   552-5.7.0 Our system detected an illegal attachment on your message. Please
   552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer=6590 to
   552 5.7.0 review our attachment guidelines. zw9si2760596bkb.124

Рекомендуем Вам проверить корректность указания адресов получателей.
54 Sakura
 
16.03.12
20:53
(53) в каком формате исходники шлешь? можешь в 7z заархивировать? гугл, похоже, проверяет вложения - ругается на него.
ну или на [email protected] кинь, там вроде поспокойнее с этим
55 Matrix1C
 
16.03.12
21:02
Еще два антивируса присоединились +Sophos  +Panda

File name:    epwtkk.exe
Detection ratio:    16 / 43
Analysis date:    2012-03-16 16:53:49 UTC ( 1 минута ago )

Symantec , McAfee и Microsoft - Этакие ГИГАНТЫ пока его не зафиксировали. Буду ждать!
56 Капитан Смоллет
 
модератор
16.03.12
21:09
Медальку за быстроту отлова вируса. Пора вам создать свою фирму и переплюнуть означенные выше, поскольку вы спать не будете, а ихний зловредный код изловите..
57 Matrix1C
 
17.03.12
22:00
(56) Ценю Вашу иронию.

Я второй раз за жизнь ловлю нечаянно неизвестный вирус. Прикол в том что компании антивирусов всячески игнорируют помощь энтузиастов, а могли бы поощрять. Пытался ещё вручить его тем кто его не знает, но на их сайтах даже такого места найти не смог. То есть как послал в AVAST, Kaspersky, drweb так и всё больше желающих этим заниматься нет. А ведь Симантек и McAfee чуть ли не на все ноутбуки предустанавливают для продажи в России!
58 andrewks
 
17.03.12
22:03
(55) "Symantec , McAfee и Microsoft - Этакие ГИГАНТЫ пока его не зафиксировали. Буду ждать!"

бугага. жги дальше.

юзай др.веб или касперыча, и будет тебе щастье
59 Matrix1C
 
17.03.12
22:09
(58) McAfee ПРИСОЕДИНИЛСЯ и McAfee-GW-Edition тоже

File name:    epwtkk.exe
File type:    Win32 EXE
Detection ratio:    18 / 43
Analysis date:    2012-03-17 18:04:34 UTC ( 1 минута ago )

Уже можно считать что мир под защитой 50%!
60 andrewks
 
17.03.12
22:16
сёдня попался на фдэхе новый вирус, каспер определят эвристикой, дрвеб молчит. отправил в др.веб, посмотрим на скорость реакции.  раньше обычно в течение суток реагировали
61 andrewks
 
18.03.12
10:19
+(60)
"Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
"

итак, время реакции др.веба составило 4,5 часа. отличный результат

и, кстати, спасибо сказали:
"Спасибо за сотрудничество."
62 Matrix1C
 
18.03.12
22:24
СВЕЖИЕ РЕЗУЛЬТАТЫ  +Jiangmin (КИТАЙ ПРИСОЕДИНИЛСЯ)

Detection ratio:    19 / 43
Analysis date:    2012-03-18 18:13:31 UTC

ИНТЕРЕСНО!
Продукт китайского антивирусного рынка Jiangmin без санкции «Лаборатории Касперского» (ЛК) используют базу вирусов с сайта российской компании. (2006 год)
ПОХОЖЕ УЖЕ НЕИСПОЛЬЗУЕТ! Разница между базами неделя, Так что либо не копируют либо осторожно очень.

(60) а как каспер его Называет?
Попробуй сайт Anubis - http://anubis.iseclab.org/
63 Matrix1C
 
26.03.12
18:39
!!!!!!!! УРА !!!!!!!!!!!!!!
Сегодня ещё мои знакомые словили вируса! Похожего на тот что я уже ловил.
На работе, в режиме администратора на Windows XP без антивируса просидели месяц в интернете yota. Всего 2 человека на нём работали обычные женщины среднего возраста. Интересы социальные сети, сайты бизнес направления, ну и может ещё чего...

Симптом: перестали открываться старые DOS программы. Открываются на секунду и тут же закрываются.
Я подобное уже видел, тогда возится не хотелось и я посоветовал Windows переставить.
К тому-же сайт AVAST открывается но сам антивирус не скачивается.

Сейчас вошёл удаленным администрированием и посмотрел что у них в автозагрузке - а там опять странный файл (приложение) из папки AppPatch. Ну я как водится открыл его стёр всё содержимое. Но он себя восстановил! Тогда я сделал его ReadOnly и очистил.


Этот файл я себе перекачал предварительно и проверил на virustotal.
Результаты удивительные: 5 антивирусов на него срабатывают остальные нет!
Avast    Win32:MalOb-KC [Cryp]
Fortinet    W32/Shiz.NCI!tr.spy
GData    Win32:MalOb-KC
Sophos    Sus/UnkPack-C
Symantec    Suspicious.Cloud.5

Теперь лидеры те что не ловили предыдущий (верх темы). Причем я его ни кому не посылал.
Буду наблюдать..
64 Matrix1C
 
29.03.12
21:11
ПРОШЛО ТРИ ДНЯ! К этому вирусу "иммунитет" вырабатывается гораздо быстрее!
Уже 22 антивируса его знают!(по virustotal.com)

File name:    ydeobva.exe
Detection ratio:    22 / 42
Analysis date:    2012-03-29 17:04:16 UTC ( 0 минут ago )

Все широкоизвестные антивирусы его уже ловят. Вот это нормальная скорость 3 дня и готово.

Не знакомы с ним (из известных)
-McAfee
-Panda
-PCTools
Оптимист верит, что мы живем в лучшем из миров. Пессимист боится, что так оно и есть.