Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

capnemo

Подпомагане на АВ програмите с дефиниции, откриване на нови заплахи - част 18

Препоръчан отговор


Още един JavaScript Downloader:

Вирустотал 15 / 55

Spoiler

Изтегляне: http://dox.bg/files/dw?a=e723f118aa

Парола: infected

Според КИС:

824737.jpg

Според вирустотал Авира, Бит Дефендер, Комодо, Г-Дата, Панда, Симантек и други не го откриват. Дали е така, аз мисля, че поне бита и авирата трябва да го хванат в реални условия. Някой с такава АВ да провери?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

360 TS при Вирустотал трябва да го лови - ама при мен си мълчи с най-новата си версия  - може да е поредно  FP   https://www.virustotal.com/bg/file/98def3b0e3cea4c0d92477cb350d682d9deaf4c722dda24697dd1e1982d3e2a6/analysis/1449853282/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не ми се вярва да е FP. Човекът, който ми го изпрати много държеше да отворя и да видя "фактурата", която ми е изпратил ;)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 8 минути, attj написа:

360 TS при Вирустотал трябва да го лови - ама при мен си мълчи с най-новата си версия 

нищо чудно с тая бъгава защита в реално време

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 10 часа, ✯ D I A B L O ✯ написа:
преди 10 часа, ✯ D I A B L O ✯ написа:

нищо чудно с тая бъгава защита в реално време

 

360 TS e  невероятно добра и безплатна програма - недостатък са единствено повечето фалшиви тревоги... SEP 12 и CIS 8  също мълчат...   Аз съм си всестранен свободен  ползвател на всички програми...


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, tigertron написа:

Още един JavaScript Downloader:

Вирустотал 15 / 55

  Затвори скритото съдържание

Изтегляне: http://dox.bg/files/dw?a=e723f118aa

Парола: infected

Според КИС:

824737.jpg

Според вирустотал Авира, Бит Дефендер, Комодо, Г-Дата, Панда, Симантек и други не го откриват. Дали е така, аз мисля, че поне бита и авирата трябва да го хванат в реални условия. Някой с такава АВ да провери?

при стартиране bita лови двете дропнати екзета с АВК

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
Гост
преди 1 час, tigertron написа:

Още един JavaScript Downloader:

Вирустотал 15 / 55

  Покажи скритото съдържание

Изтегляне: http://dox.bg/files/dw?a=e723f118aa

Парола: infected

Според КИС:

824737.jpg

Според вирустотал Авира, Бит Дефендер, Комодо, Г-Дата, Панда, Симантек и други не го откриват. Дали е така, аз мисля, че поне бита и авирата трябва да го хванат в реални условия. Някой с такава АВ да провери?

http://store.picbg.net/pubpic/A3/2F/3c0c1097b8e2a32f.jpg

3c0c1097b8e2a32f.jpg

Редактирано от Гост (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, attj написа:

Съвсем не се впрягам - обаче при мен се изтегля друг плеър.   Имам си ги и двата непрекъснато и не иде реч за натрапванеhttps://www.virustotal.com/bg/file/499e77695747123f2e39b63442f1d966d1c8db33e939b697b3d332b54aef6091/analysis/1449851881/

Точно същият файл е. Отвори архива и го инсталирай и ще видиш,че е така. Пък и без инсталацията можеш да отвориш изпълнимия файл с някой архиватор.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, tigertron написа:

Още един JavaScript Downloader:

Според вирустотал Авира, Бит Дефендер, Комодо, Г-Дата, Панда, Симантек и други не го откриват. Дали е така, аз мисля, че поне бита и авирата трябва да го хванат в реални условия. Някой с такава АВ да провери?

Емсисофт не го засича, Земана го лови.

2.jpg

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 24 минути, aten написа:

Това засичане от комодо за двойното разширение аз никога не го приемам. Никаква не е гаранцията, че няма да преименувам файла и да го направя с едно разширение и да ти го пратя, за да си прегледаш новата фактура. И какво ще се получи... Хоп.. няма вече детекция от двойно разширение и компютъра е заразен....

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 3 минути, tigertron написа:

Това засичане от комодо за двойното разширение аз никога не го приемам. Никаква не е гаранцията, че няма да преименувам файла и да го направя с едно разширение и да ти го пратя, за да си прегледаш новата фактура. И какво ще се получи... Хоп.. няма вече детекция от двойно разширение и компютъра е заразен....

В случая си е директно блокиране, заради двойното разширение...ако е едно,не трябва ли, преди това да мине, през пясъчника и hips-а на Comodo,за да стане поразия?

Иначе,може да си добавяте, колкото си искате разширения за наблюдение

screenshot.2.jpeg

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 10 часа, nikssi написа:

Точно същият файл е. Отвори архива и го инсталирай и ще видиш,че е така. Пък и без инсталацията можеш да отвориш изпълнимия файл с някой архиватор.

Това са ми любимите плеъри!    А има ли буба тук    http://24online.mynewupdater4free.net/?pcl=owF0EpqLyFNO-soRwANKQNo8BRkgd3LQKFmcfD9THkQ.&cid=13140706731449860145&SUB_ID=994035&v_id=F7Nw-N6cU5hKVX0sIGku6wJG0GzzvtBaIa9zQxelieY.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

При мен малко трудно сработи, защото съм изключил Windows Script Host и отделно съм направил JS да се отваря с notepad (даже трябва да взема да го добавя notepad-a в MBAE), но като премахнах двойното разширение на файла при сканиране от контекстното меню не се засече вече от COMODO, но при стартиране пак го закова и без HIPS-a, на базата на облака. Щеше ми се да видя какво прави и с HIPS-а и да го пусна през засичането, но в момента не ми се рискува, защото е работна станция машинката и не исках да лепна някой криптор. :)

ezfMpmF.jpg

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 24 минути, aten написа:

Реакция на хипса със премахнато двойно разширение

32f80caa154a3ab3.jpg

Сега да питам-колко човека,от другата тема, не разбират подобно предупреждение!?

Редактирано от NIKISHARK (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Всъщност първото съобщение за explorer => изпълним файл винаги се появява...по-интересното тук са какви други промени би се опитал да направи файла, но не мога да моля aten затова, защото ако не се извърши в подходяща среда не се знае какви ще са последиците. Но да, в случая предупреждението е да се блокира заявката, защото файла вече им е известен, че е вредоносен, но ако не им беше известно първото предупреждение не е гаранция за взимане на решение за блокиране или не. Просто вметвам. И все пак пак засега CIS се справи чудесно на няколко фронта...дефиниция за двойно разширение, облак и HIPS...това се нарича работа в тандем и многопластово подсигуряване. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 32 минути, B-boy/StyLe/ написа:

Всъщност първото съобщение за explorer => изпълним файл винаги се появява...по-интересното тук са какви други промени би се опитал да направи файла, но не мога да моля aten затова, защото ако не се извърши в подходяща среда не се знае какви ще са последиците. Но да, в случая предупреждението е да се блокира заявката, защото файла вече им е известен, че е вредоносен, но ако не им беше известно първото предупреждение не е гаранция за взимане на решение за блокиране или не. Просто вметвам. И все пак пак засега CIS се справи чудесно на няколко фронта...дефиниция за двойно разширение, облак и HIPS...това се нарича работа в тандем и многопластово подсигуряване. :)

Така е, но аз лично предпочитам детекция през облак, евристика или дефиниция. Хипса е голям и силен коз и наистина беше добре да видим как ще реагира, но за съжаление файлът вече се открива от доста АВ програми. И все пак, аз си продължавам да твърдя, че детекцията на двойно разширение не е откриване на вреден непознат файл, защото много лесно се прескача. 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 2 часа, tigertron написа:

Така е, но аз лично предпочитам детекция през облак, евристика или дефиниция. Хипса е голям и силен коз и наистина беше добре да видим как ще реагира, но за съжаление файлът вече се открива от доста АВ програми. И все пак, аз си продължавам да твърдя, че детекцията на двойно разширение не е откриване на вреден непознат файл, защото много лесно се прескача. 

Така е, но в случая както видя се засича и без двойното разширение чрез облака. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 35 минути, B-boy/StyLe/ написа:

Така е, но в случая както видя се засича и без двойното разширение чрез облака. :)

След толкова упражнения с тоя файл остана и да не го засече. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 6 минути, nikssi написа:

След толкова упражнения с тоя файл остана и да не го засече. :)

Е не...когато аз го тествах, и премахнах двойното разширение все още не бяха много тестовете с него. ;)

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

 

http://flash-player-update.xyz/newversion.exe

тва флаш плеар с бонус ли е? Бита скочи с АВК-ла

 

Редактирано от ✯ D I A B L O ✯ (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Фалшивите засичания на Zemana стават все по притеснителни..

screenshot.1.jpg

FormatFactory.exe(първия от засечените)качен на VirusТотал: https://www.virustotal.com/bg/file/5f388e5d889a05038f44d72a47fe1aff440ccb42c0f2cff6a3974085f1ab931c/analysis/1451331385/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Интересно, че намира доста неща от папката на FF, но не и самите проблеми, които са тук:

https://www.kaldata.com/forums/topic/236622-почистване-на-компютъра-от-нежелани-програми-и-реклами/?do=findComment&comment=3088568

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...