Резултати от новия архив malware_5 на kav6.0.4.1212_winwksen

Scanned-26

Detected-16

Остана само един файл в архива с размер 441кб.,за който липсва дефиниция!Оприличавам го като keylogger от играта 18 Wheels of Steel American Long Haul.

Този файл според Вирлаба на Касперски не е заразен.

Воала Най сетне се размърдахме всички.

Мерси колеги

В тази тема,няма да допусна спам и off-topic, нито коментари от рода на: "Изоставащите кога най-после ще догонят?" "Еди коя си програма

е по-добра и по-ловяща и пр."

mihnev_sz

http://rapidshare.de/files/48512348/malware_6.rar.html

http://4storing.com/di3tca/2879a281014f64e7737ad4c75ec8d916.html

http://stashbox.org/659246/malware_6.rar

Вътре са 16 заразени файла,архива е с парола - стандартна ( infected ) KAV WKS 6.0.4.1212 Лог от сканиране с Malwarebytes' Anti-Malware 1.41 на същият архив:

Malwarebytes' Anti-Malware 1.41 Database version: 2951 Windows 5.1.2600 Service Pack 3 13.10.2009 г. 09:05:53 mbam-log-2009-10-13 (09-05-47).txt Scan type: Quick Scan Objects scanned: 17 Time elapsed: 16 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 10 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: c:\documents and settings\USER\Desktop\malware_6\fkk.exe (Trojan.PWS) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\installer.1.exe (Rogue.InternetAntiVirus) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\install_o.exe (Rogue.SecurityTool) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\install_old.exe (Trojan.FakeAlert) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\Lolita_Fuck_Movie_4.mpeg.exe (Trojan.FakeAlert) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\prismsetup.exe (Trojan.Dropper) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\setup.exe (Rogue.Multiple) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\setup_.exe (Trojan.Koobface) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\tax-statement.exe (Spyware.Zbot) -> No action taken. c:\documents and settings\USER\Desktop\malware_6\update.exe (Trojan.PWS) -> No action taken.

След повторна проверка с KAV WKS на останалите в папката остана само един =>> setup_build6_7.exe Всички за които няма дефиниции изпратени за анализ в Kaspersky Lab Да поясня за TNN понеже и той като Танганайка пее с един микрофон една и съща песен.пък тъкмо си мислех,че е уврял. 1.Не си мерим пиш...те а целтта е помагаме на ползваните продукти. 2.Понеже все Касперски ти е в устата - то няма лошо де,но да ти поясня отново Компанията не толерира ползването на пиратски продукти,за които все даваш пример.Просто не ги добавя в дефинициите си - всеки сам си е отговорен. Към ВСИЧКИ: - Нека не изпадаме в крайности и да се нападаме,да не пълним форума с безсмислени изказавания.Участваш ли в темата - участваш според правилата,не я харесваш - НЕ ЧЕТИ. PS. TNN може да свалиш горният и оттук и то без парола

http://www.4shared.com/file/140516645/1f99104f/malware_6.html

Още ли мислиш,че това което пише - Проверно с Kaspersky Anti-Virus е истина? И вземи виж снимката - там май пише друго оградил съм ти го в червено.

Редактирано 13 октомври 200916 г. от nikssi (преглед на промените)

a-squared Free - Версия 4.5

Последно обновяване: 10/13/2009 6:19:11 PM

Настройки на проверката:

Scan type: N/A

Обекти: C:\Downloads\malware_6.zip

Проверка на архиви: Включено

Евристика: Изключено

ADS Проверка: Включено

Начало на проверката: 10/13/2009 6:39:38 PM

C:\Downloads\malware_6.zip/fkk.exe Открити: Trojan-Spy.Win32.Zbot!IK

C:\Downloads\malware_6.zip/index_av.cgi Открити: Exploit.PDF-JS!IK

C:\Downloads\malware_6.zip/install.exe Открити: Trojan.Crypt!IK

C:\Downloads\malware_6.zip/install_old.exe Открити: Packed.Win32.Tdss!IK

C:\Downloads\malware_6.zip/installer.1.exe Открити: Trojan.Win32.FakePlus!IK

C:\Downloads\malware_6.zip/Lolita_Fuck_Movie_4.mpeg.exe Открити: Packed.Win32.Tdss!IK

C:\Downloads\malware_6.zip/ms.22.exe Открити: Net-Worm.Win32.Koobface!IK

C:\Downloads\malware_6.zip/prismsetup.exe Открити: Trojan.Zbot!IK

C:\Downloads\malware_6.zip/setup_.exe Открити: Net-Worm.Win32.Koobface!IK

C:\Downloads\malware_6.zip/Soft_156.exe Открити: Packed.Win32.Krap!IK

C:\Downloads\malware_6.zip/Soft_282.exe Открити: Packed.Win32.Krap!IK

C:\Downloads\malware_6.zip/tax-statement.exe Открити: Trojan-Spy.Win32.Zbot!IK

Проверени

Файлове: 17

Следи: 0

Бисквитки: 0

Процеси: 0

Открити

Файлове: 12

Следи: 0

Бисквитки: 0

Процеси: 0

Записи в регистъра: 0

Край на проверката: 10/13/2009 6:39:40 PM

Време за проверката: 0:00:02 С Comodo е безсмислено да продължавам - Defense+ вече е на параноичен режим.Не ме интересува колко лови и класифицира. Специален линк за желаещи да помагат на програми hxxp://www.4shared.com/dir/7911051/7119cfc3/sharing.html Ако пак бъде модерирано необективно - ще инсталирам KAV 2010 + други IDS/HIPS програми и ще посочвам в темата всяко пропуснато творение - за да им помагам. Поздрави

Имам един въпрос: ако заразите са "пресни", т.е. не са засичани все още от никого, откъде знаеш колко бройки си??? Освен ако не си създал ти, или пък си ги получил от "създателите".... Винаги съм се чудил когато се каже: "вътре има Х броя..."... значи са засечени с някоя програма, което пък значи, че тази програма винаги ще дава 100%, освен ако за "цвят" не е добавено нещо, което пък е засечено от друга програма.... А...?

Знае се много лесно. Файловете се събират от добре познати зловредни сайтове. Т.е. всички файлове са зловредни и колкото е бройката файлове в архива толкова са и опасните файлове. Това, че Norton не засича нещо понеже е "прясно" не значи, че не е опасно. Пак извъртя дискусията, че не всичко в архива били опасно. Принципно понякога е така, но да го твърдиш за TDSS както го направи преди време е смешно !

Естествено, че се добавят в черния списък, но дори тези сайтове си обновяват (дефинициите - сиреч черните списъци), когато някой попадне на такъв сайт (или го намери) и им съобщи за него.

Разбира се, че няма и един "писач на вируси" да си публикува сам сайта в тези списъци...затова си има хора като MysteryFCM (създаделя на hphosts и човека, който отговаря за IP Protection модула на Malwarebytes' Anti-Malware), които се занимават с претърсването на зловредни домейни и на евентуално-потенциално опасни файлове разпространявани през тях. Предполага се, че вирус ресърчърите на големите антивирусни лаборатории също ги преравят.

И нещо много важно...това, че даден сайт вече е в черния списък и вече си изтеглил файл оттам, който се засича не означава, че след определено време там няма да се хост-не същия файл само, че препакетиран така, че да не се засича от повечето антивирусни.Това е масовата практика днес. Файл засичан довчера...не е гаранция, че след препакетирането ще се засича и утре...това е непрестанна игра на котка и мишка. И както казва и sUBs...както е при истинските престъпления...първо трябва да се извърши престъпление, за да могат полицаите да заловят злосторниците...така и създателите на зловреден код, ще са винаги една идея напред...пред класическите решенията за сигурност (не говорим за HIPS, IDS модулите).

http://www.malwaredomains.com/

http://www.malwaredomainlist.com/mdl.php

http://www.malwareurl.com/listing-urls.php?page=1&urls=on&rp=

и т.н.

Внимание...не посещавайте линковете от сайтовете публикувани на тези места, ако не знаете какво правите !!!

По темата (извинявам се, че по-късно тествам, но преди малко се прибрах от работа).

От 16 файла - 11 засечени и 11 изтрити.

5 изпратени за анализ.

Лог =>

LOG.txt

Отворете за проба в музилка сайта на нашите приятели - Кейбълтел

Ей няма да се оправят тия, с форума си се избъзикаха на няколко пъти, сега и със сайта си. Смешници, а ние чакаме ли чакаме хайдефинъшъни и всякакви подобни цифрови чудеса

Отворете за проба в музилка сайта на нашите приятели - Кейбълтел

Ей няма да се оправят тия, с форума си се избъзикаха на няколко пъти, сега и със сайта си. Смешници, а ние чакаме ли чакаме хайдефинъшъни и всякакви подобни цифрови чудеса

Имам свободен нормален достъп - SEP 11 и KAV 2010 не реагират за заплахи, а предупреждението от Google си стои http://www.google.bg/search?hl=bg&source=hp&q=http%3A%2F%2Fwww.cabletel.bg%2F&btnG=Google+%D1%82%D1%8A%D1%80%D1%81%D0%B5%D0%BD%D0%B5&meta=&aq=null&oq= Поздрави

Отворете за проба в музилка сайта на нашите приятели - Кейбълтел

Ей няма да се оправят тия, с форума си се избъзикаха на няколко пъти, сега и със сайта си. Смешници, а ние чакаме ли чакаме хайдефинъшъни и всякакви подобни цифрови чудеса

От 248 страници, които изпробвахме в сайта през последните 90 дни, 11 са довели до изтеглянето и инсталирането на злонамерен софтуер без съгласието на съответния потребител. Последният път, когато този сайт е бил посетен от Google, е на 2009-10-14, а последният път, когато на него е било намерено подозрително съдържание, е на 2009-10-14.

Malicious software includes 11 scripting exploit(s), 6 trojan(s)

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=bg&site=http://www.cabletel.bg/?lang=bg&p=news&id=160

Редактирано 14 октомври 200916 г. от nikssi (преглед на промените)

Отворете за проба в музилка сайта на нашите приятели - Кейбълтел

Ей няма да се оправят тия, с форума си се избъзикаха на няколко пъти, сега и със сайта си. Смешници, а ние чакаме ли чакаме хайдефинъшъни и всякакви подобни цифрови чудеса

След посещаването на сайта без антивирусна, MBAM не откри никакви заплахи в компютъра. С уиндоус 7 съм.

Редактирано 14 октомври 200916 г. от plamen_dikov (преглед на промените)

hxxp://wt1.97sky.cn/zip/ https://www.virustotal.com/ru/analisis/f3af8976ffa90e417b8587b4f0989b288c003d58faf074fc3e1558bb38b4b436-1255676965 https://www.virustotal.com/ru/analisis/cb2f02128ca1b001528f4eaec94868d25bcce3bcd4935d7114bed1b4398f111e-1255676792 https://www.virustotal.com/ru/analisis/5303405ff7015b553482ab8d7a2412560bfb2c1617bb89a0153445886f642ad6-1255677228 Име на хост wt1.97sky.cn Интернет доставчик CNCGROUP China169 Backbone

Държава China Код на държава CN (CHN)

Град Daqing Регион Liaoning

IP адрес 221.209.235.13

И внимателно с китайското творчество ! Можете да изпратите линка на лабораториите вместо да рискувате да се заразите. Поздрави

malware_6:

В папката останаха 4 незасечени

malware.rar:

+9 парчета от предното сканиране.

malware.rar:

Редактирано 16 октомври 200916 г. от trix (преглед на промените)

hxxp://xz.qupan.com/down/kjhack_1971326.html А тук как са нещата? Този път няма предварително да предоставям резултати - за да е по-интересно. Поздрави

Хора някой може ли да ми осигури папка с много вируси- и стари и нови, за да тествам няколко антивирусни продукта?В тая тема търсих,но не намерих.Бихте ли ми съдействали?

Хора някой може ли да ми осигури папка с много вируси- и стари и нови, за да тествам няколко антивирусни продукта?В тая тема търсих,но не намерих.Бихте ли ми съдействали?

Nikssi наскоро ни предостави шест архива - има линкове към тях в последните страници от темата! Пропуснал ли си ги? Поздрави

Ами аз искам да има около 300-400 вируса в даден архив,да го изтегла и да сканирам с моята антивирусна.Може ли линк към подобен архив?

Моята цел беше да видя как ще се държи KAV WKS 6.0.4.1212 при по голям архив с буби,дали ще има проблема на KIS 2009 с архивите при излизането си като финал.

Оказа се,че проблем няма.Как ли е KIS 2010?

При мен КИС 2010 с последни дефиниции ми открива 88 заразени файла!

Редактирано 16 октомври 200916 г. от ivan_baroveca (преглед на промените)

Шестте архива може да се поставят в една папка и да се сканират - количеството е достатъчно. Поздрави

Хора някой може ли да ми осигури папка с много вируси- и стари и нови, за да тествам няколко антивирусни продукта?В тая тема търсих,но не намерих.Бихте ли ми съдействали?

Защо не прегледаш предните части на темата 3-4-5 там има тестове на архив 3 и 4 с доста гадини.Заедно с последните направи си един архив и давай.дори ако искаш го пусни тук.

Преди време и аз бях с Avira Antivir Premium 9 и както бях пуснал рутинно СКАН-а компютърът се изключи и повече не успях да го рестартирам.За разлика от другия потребител писал по същия проблем аз не успях да се справя с вируса и занесох компютъра на една фирма.Предполагам че са влезли да го изчистят Safe mode with networking. Казаха че не успели чрез Norton и Mcafee накрая го спасили с Kaspersky 2010.За съжаление лиценза изтече след 3 дни.Сега се чудя какъв антивирус да си купя.Посещавам доста американски руски и български саитове и не съм убеден къде съм го пипнал този вирус.Поздрави

Редактирано 17 октомври 200916 г. от nachumeren (преглед на промените)

2.5 Не са желателни прекомерните off-topic – мнения, които не са свързани с темата.

http://www.kaldata.com/forums/index.php?app=forums&module=extras&section=boardrules

mihnev_sz

hxxp://xz.qupan.com/down/kjhack_1971326.html А тук как са нещата? Този път няма предварително да предоставям резултати - за да е по-интересно. Поздрави

Пробват да ми пробутват например това https://www.virustotal.com/analisis/c4065229edda06119233c0ca45b620553b2c08ce803ce26c97a67c8196cf7ba8-1255800594 Тепърва едва ли ще разберат каква лепка-маниак им се е лепнала... Няма ли още някой съфорумец да ми прави компания!?Име на хост xz.qupan.com Интернет доставчик No.31,Jin-rong Street

Държава China Код на държава CN (CHN)

Град Guangzhou Регион Guangdong

IP адрес 121.14.241.132

Пробват да ми пробутват например това https://www.virustotal.com/analisis/c4065229edda06119233c0ca45b620553b2c08ce803ce26c97a67c8196cf7ba8-1255800594 Тепърва едва ли ще разберат каква лепка-маниак им се е лепнала... Няма ли още някой съфорумец да ми прави компания!?Име на хост xz.qupan.com Интернет доставчик No.31,Jin-rong Street

Държава China Код на държава CN (CHN)

Град Guangzhou Регион Guangdong

IP адрес 121.14.241.132

MBAM Блокира зловреден IP-Aдрес 121.10.112.75 -->hxxp://www.qupan.com/--> 121.10.112.75 hxxp://so.qupan.com/search?content=&sort=all

Допълвам:Блокиранията на МБАМ не блокират целия сайт каквато е практиката ка Касперски,а само зловредния IP-Aдрес и сайта си се отваря нормално

Редактирано 17 октомври 200916 г. от deep15 (преглед на промените)

https://www.virustotal.com/analisis/8d9833ddb1fa0c77b065f44a44613d8c9e8fed713f66b1a53d4939941f54c6d7-1255874661 Това също е тях касаещо.Ще си стоя при тях не зная докога - и без това те не знаят как да се справят с IDS/HIPS противодействие, което дори е безплатно.Китайски им работи... Поздрави

TNN изпрати ми на ЛС линк за изтегляне на този файл, за да мога да репортна този проблем с енджина на F-Prot (Виж линка към Virustotal, който си публикувал).