KIS 2013 или ESET SS 6

[CatalystX]

pguard_rxykeum.exe в автозагрузке, это дроппер Gapz и MD5 и другие хеши у них одинаковые/идентичные.

У моего "дроппера" хэш - e5b9295e0b147501f47e2fcba93deb6c.

У настоящего дроппера - 4768c3d2b522c8f42a2123594961dea3d531876aacd47fce626d70fe9eca0cd6.

А совпадающие CRC32 не более чем подделка.

[EVIK]

МD5 одинаковые, прием.

https://www.virustotal.com/ru/file/4768c3d2...sis/1363787367/

pguard_rxykeum.exe

MD5: e5b9295e0b147501f47e2fcba93deb6c

C:\Documents and Settings\All Users\Application Data\PiracyGuard\pguard_xdnylpt.exe - Win32/Gapz.A trojan - cleaned by deleting - quarantined [1]

Изменено 20 марта, 2013 пользователем EVIK

[Maratka]

Виталик, если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

 

А раз не выносит - значит в автозагрузке его нет.

И потому этот файл - просто файл. Не опасный, т.к. поведенческая сигнатура для него под SW была написана еще в году мохнатом.

[EVIK]

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

[CatalystX]

МD5 одинаковые, прием.

MD5: e5b9295e0b147501f47e2fcba93deb6c

И че?

если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

А раз не выносит - значит в автозагрузке его нет.

КИС при скане CriticalAreasScan выносит pguard_rxykeum.exe и его ключ запуска, но сам экзешник создает лишь файл, в папке где находится, - info.dat, в котором только одна строчка - "V-|JQV-|JQ". Может это зашифрованный IP адрес ком.центра, а может идентификатор бота.

Для Виталика: pguard_rxykeum.exe хоть и имеет одинаковый хэш(по неизвестным причинам) с установщиком руткита, но pguard_rxykeum.exe заражение не восстанавливает. Это тоже самое что сделать дамп TDSS File System и орать что находящийся там файл tdl является драйвером TDL4, а значит что если его закинуть в автозагрузку(неважно куда), то руткит будет работать даже без заражения MBR.

Изменено 20 марта, 2013 пользователем CatalystX

[Maratka]

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

Виталик, либо ты дурак, либо одно из двух.

 

Назови плих любую утилиту от Eset, равно как и от любого другого производителя, которая является исключительно сканером, т.к. не имеет монитора, но видит инжект. Или установку драйвера. Или изменение ключа автозагрузки. Или запуск процесса.

И на все это дело спрашивает: разрешить? Да/Нет.

 

А также назови пять причин, почему TDSS Killer должен детектить Gapz. Если нет возможности назвать пять - назови одну.

[CatalystX]

Из отчета разведки: плохой детект и лечение нодом руткитов, из-за того что, Саша Матросов и Женя Родионов пользуются только Kaspersky Internet Security

[EVIK]

Не, там Александр Гостев и Евгений Касперский пользуются NOD32. Я первый тут написал, не тыреть у меня!

 

А Касперский вирусы не ловит.

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

MD5: b20924d27288e5e59d1bd74ce25a8434

Operating memory » explorer.exe(2280) - a variant of Win32/Gapz.A trojan - unable to clean

 

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

Изменено 5 апреля, 2013 пользователем EVIK

[mike 1]

Eset на VirusTotal почему-то тоже не ловит

 

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

Изменено 5 апреля, 2013 пользователем mike 1

[CatalystX]

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

А толк? Все равно у ЕSET детект по несколько дней добавляется.

У каспера это реализовано намного лучше - подозрительный файл отправляется через КСН в ЛК, а через пару минут приходит UDS детект, а через пару часов - сигнатура.

Проверял с другом, с помощью трояна Зевс который был закриптован полиморфным криптором. Но не смотря на то, что у друга запускался чистый Зевс, Зевс все равно не смог установится - его поймал System Watcher - PDM.Trojan.Win32.Generic. Система осталась чистой и у каспера были настройки по умолчанию. А нод так умеет, при настройках по умолчанию?

Александр Гостев и Евгений Касперский пользуются NOD32

Они уж точно таким дер..ом не пользуются. Либо КИС, либо линукс. Третьего не дано.

Изменено 5 апреля, 2013 пользователем CatalystX

[EVIK]

А у нас детектирует Zero Day с точным вердиктом и удаляет. А Gapz в следующие обновление добавили в базы.

 

 

Почему-то дикий винлок заблокировал Касперского во втором ролике.

 

 

 

Не бывает такого упаковщика, протектора, который сможет обойти NOD32.

Heuristics – detection directly in memory

 

 

А у нас ещё есть:

Advanced heuristics on file execution

Internet heuristics

Heuristics

Advanced heuristics/DNA/Smart signatures

ThreatSense(is technology consists of many complex threat detection methods..)

Live Grid

IDS

HIPS(автоматический режим с моими правилами)

SysInspector Live Grid

 

Да и модули нам обновляют и улучшают постоянно.

 

Сегодня антивирус у меня сам обновился до новой версии 6.0.316.0, а потом обновится до 6.2, а далее до 7 версии.

 

А Касперский до сих пор даже не умеет распаковывать протектор ENIGMA(уже 2 года не умеет!).

http://forum.drweb.com/index.php?showtopic...12&p=659732

 

А вот тут ещё 2 протектора, и дикий винлок:

http://forum.drweb.com/index.php?showtopic...12&p=659916

Изменено 5 апреля, 2013 пользователем EVIK

[mike 1]

Кто же тестирует на бета версии KIS? Виталик наверное не знал, то что Kaspersky Internet Security Technical Preview это бета версия антивируса. Также не понятно какие настройки использовались в бета версии KIS и был ли включен автоматический режим принятия решений? Вообщем баян

Изменено 5 апреля, 2013 пользователем mike 1

[EVIK]

Во втором ролике релиз, все настройки KIS по умолчанию.

[mike 1]

Во втором ролике релиз, все настройки KIS по умолчанию.

Тогда почему у тебя Kaspersky Internet Security Technical Preview? (Это бета версия антивируса)

[skril]

А кто пробовал Emsisoft Emergency Kit он даже после Касперыча пару штук находит......