Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

capnemo

Подпомагане на АВ програмите с дефиниции, откриване на нови заплахи - част 18

Препоръчан отговор


преди 2 часа, NIKISHARK написа:

360 TS ги проспа. Comodo Firewall се обади с Cloud-a при стартиране на doc файла, но засече файл на самия пакет LibreOffice (фалшива тревога и при изтриването му офиса спира да работи та се наложи изваждането на файла от карантината). Самия LibreOffice ме предупреди, че файла съдържа macro-си и може да е опасен. Разбира се от настройките на пакета те са изключени и съобщението на doc файла не ме подлъга да ги включа. Отделно Malwarebytes Anti-Exploit предпазва работата на самия офис пакет от експлоити. Допълнителните правила в Local Security Policies пък са блокирали стартирането на tmp файловете, които са се дропнали след стартирането на doc файла.

https://virustotal.com/en/file/78008da837e31cfe649a93618c3c0ed699cbe34a1b8cd56ed31d51346c11fec8/analysis/1467921529/

https://virustotal.com/en/file/c27ee708a15b51b2a148f51e39fd8db45acfc183881f41cb84f0892435f567f7/analysis/1467921540/

То излиза, че настройките по ОС ако не по-важни то са точно толкова важни, колкото и използването на софтуер за защита.

Втория файл ще го стартирам след второто полувреме, но първо трябва да си включа Windows Scripting Host, защото в момента ми е спрян и той и файла просто не може да стартира така. :) Но ще го пусна в sandbox-a на 360 TS или на Comodo Firewall за всеки случай, макар да очаквам HIPS-a да се обади при проблем и при двата файла, ако евентуално успеят или бяха успели да извършат нещо съмнително.

Разочароващ бе факта, че макар файловете да се ловят от AVIRA не се ловят от 360 TS с включен и обновен енджин на Avira...но то се очаква по-късно да пристигат актуализациите за чуждата програма.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Нов шифратор WildFire

Eset без засичане,Comodo го прибра в сандъка

Hitman Pro без реакция,Zemana и Malwarebytes със засичане

Screenshot_10  Screenshot_11

http://sendfile.su/1248750

VirusTotal:https://virustotal.com/bg/file/642c9da844d3488c7d3fd99170626ac01b1fbc1616884ac9566468e88d3b4bd5/analysis/

Редактирано от NIKISHARK (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
преди 3 часа, NIKISHARK написа:

Нов шифратор WildFire

Eset без засичане,Comodo го прибра в сандъка

Hitman Pro без реакция,Zemana и Malwarebytes със засичане

Screenshot_10  Screenshot_11

http://sendfile.su/1248750

VirusTotal:https://virustotal.com/bg/file/642c9da844d3488c7d3fd99170626ac01b1fbc1616884ac9566468e88d3b4bd5/analysis/

2016-07-09_21h13_10.jpg

2016-07-09_21h17_35.jpg

Kaspersky Trusted Application mode

Редактирано от nikssi (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 3 часа, NIKISHARK написа:

Нов шифратор WildFire

Eset без засичане,Comodo го прибра в сандъка

Hitman Pro без реакция,Zemana и Malwarebytes със засичане

Screenshot_10  Screenshot_11

http://sendfile.su/1248750

VirusTotal:https://virustotal.com/bg/file/642c9da844d3488c7d3fd99170626ac01b1fbc1616884ac9566468e88d3b4bd5/analysis/

При мен пък на тестовата машина с Windows XP SP3 и MS NetFreamwork 4 не иска да се стартира. Явно и вирусите спират поддръжката на XP :lol6:

UnableRin.jpg


Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 13 часа, tigertron написа:

При мен пък на тестовата машина с Windows XP SP3 и MS NetFreamwork 4 не иска да се стартира. Явно и вирусите спират поддръжката на XP :lol6:

UnableRin.jpg

 :) "Негласно" може и да го има този момент - кой и защо да хаби ресурси и да се занимава със "стара" операционна система. И няма да е учудващо, ако в един момент "уязвимата" ХР, стане по-сигурна от силово налаганата и нехаресваната 10-ка. :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Архив със седем файла...

http://s2.sendfile.su/download/1249354/l4PMWwNiNvRoi4X7hJoAYB9bH8XbZEnsYisuzanl

Есет остави два файла:

Screenshot_1

Според VirusTotal:

https://www.virustotal.com/bg/file/42ada329bdfe4998bf76c50083a9caa3825832c6050fb2f3c73dcdf950a9b350/analysis/1468245415/

https://www.virustotal.com/bg/file/97841bef52468fd7eccf57ac39914dd11c37c76e6680573998d6c89aefa1f2cd/analysis/

При стартиране на  3.exe   Comodo  с предупреждение,въпреки че файла е цифрово подписан.., а след като разреших,съвсем съзнателно "Старт без ограничение",последва второ предупреждение:

Screenshot_2Screenshot_3

Втория файл отиде в сандъка

Screenshot_4

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Bitdefender засече с дефиниция само единия файл,други 5 файла бяха блокирани и изтрити от Active Threat Control,остана само един файл незасечен...

Screenshot_2.png

Screenshot_1.png

Screenshot_3.png

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

При разархивиране и стартиране не хвана нито един с антивирусния модул, пясъчника блокира всичко...

Аха, чак сега, 10 минути по-късно се обади за единия: 

f84ca1321c4acbd1.jpg

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

Точно този файл(3.exe) при мен Есет не го засича,при някои обаче е така:

  Screenshot_5

което ме изненадва...щото е с дефиниция...Предполагам само,че е заради цифровия подпис от Comodo...и все пак

Screenshot_6

преди 12 минути, viperdick написа:

c9fb4836038993aa.jpg  ec7b2f50a25d6e6e.jpg bb776e9b35708176.jpg  f4cb5839378617d5.jpg  487e2c201f82a62d.jpg  4ca5f4cda75392df.jpg  aa05f87db43fd371.jpg

Това с новата версия ли е ?

Редактирано от NIKISHARK (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

AVAST засече общо 6/7...Пет файла в карантината,един файл беше блокиран и остави само един файл...

Screenshot_5.png

Screenshot_1.png

Screenshot_2.png

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)
преди 3 часа, NIKISHARK написа:

KIS:

KIS.jpg

Скрипта го хвана след стартиране. Другите от първото сканиране.

 

MBAM:

MBAM.jpg

Редактирано от tigertron (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
публикувано (редактирано)

16 файла: http://rgho.st/8657YyTDQ 

от които Есет остави тези

Screenshot_1

 

При стартиране Comodo прибра всичките в сандъка

Земана намери един

Screenshot_20

Malwarebytes със същото засичане

Screenshot_21

 

Редактирано от NIKISHARK (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
на 10.07.2016 г. в 12:35, T-50 написа:

 :) "Негласно" може и да го има този момент - кой и защо да хаби ресурси и да се занимава със "стара" операционна система. И няма да е учудващо, ако в един момент "уязвимата" ХР, стане по-сигурна от силово налаганата и нехаресваната 10-ка. :)

Не, няма да стане...вчера борех една система с XP в едно фото студио с последната версия на CryptXXX 3.0...Не лежете на тази кълка. А и все още има достатъчно системи с Windows XP по света.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 13 минути, NIKISHARK написа:

16 файла: http://rgho.st/8657YyTDQ 

от които Есет остави тези

Screenshot_1

 

Kaspersky Total Security 2017 остави тези

2016-07-12_20h17_42.jpg

Kaspersky Trusted Applications mode блокира останалите.

2016-07-12_20h24_05.jpg

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

F-Secure засече само 2 файла,останалите не съм ги стартирал ръчно,тъй като са цели 14 файла...

Screenshot_1.png

Screenshot_2.png

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, NIKISHARK написа:

За изпращане тук-там

http://sendfile.su/1250211

Есет:

Screenshot_2

VirusTotal:https://www.virustotal.com/bg/file/a068eacb15338e53c960b0ae7a69a30c9e621bfadfda23f2499895e2618b8bf4/analysis/

Изпратен на Comodo.

MBAM:

MBAM.jpg

Сподели този отговор


Линк към този отговор
Сподели в други сайтове
преди 1 час, NIKISHARK написа:

За изпращане тук-там

http://sendfile.su/1250211

Есет:

Screenshot_2

VirusTotal:https://www.virustotal.com/bg/file/a068eacb15338e53c960b0ae7a69a30c9e621bfadfda23f2499895e2618b8bf4/analysis/

Изпратен на Comodo.

2016-07-15_20h09_08.jpg

 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...