CatalystX 29 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 pguard_rxykeum.exe в автозагрузке, это дроппер Gapz и MD5 и другие хеши у них одинаковые/идентичные. У моего "дроппера" хэш - e5b9295e0b147501f47e2fcba93deb6c. У настоящего дроппера - 4768c3d2b522c8f42a2123594961dea3d531876aacd47fce626d70fe9eca0cd6. А совпадающие CRC32 не более чем подделка. Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 (изменено) МD5 одинаковые, прием. https://www.virustotal.com/ru/file/4768c3d2...sis/1363787367/ pguard_rxykeum.exe MD5: e5b9295e0b147501f47e2fcba93deb6c C:\Documents and Settings\All Users\Application Data\PiracyGuard\pguard_xdnylpt.exe - Win32/Gapz.A trojan - cleaned by deleting - quarantined [1] Изменено 20 марта, 2013 пользователем EVIK Цитата Ссылка на сообщение Поделиться на другие сайты
Maratka 68 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 Виталик, если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы. А раз не выносит - значит в автозагрузке его нет. И потому этот файл - просто файл. Не опасный, т.к. поведенческая сигнатура для него под SW была написана еще в году мохнатом. Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет. Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 (изменено) МD5 одинаковые, прием. MD5: e5b9295e0b147501f47e2fcba93deb6c И че? если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.А раз не выносит - значит в автозагрузке его нет. КИС при скане CriticalAreasScan выносит pguard_rxykeum.exe и его ключ запуска, но сам экзешник создает лишь файл, в папке где находится, - info.dat, в котором только одна строчка - "V-|JQV-|JQ". Может это зашифрованный IP адрес ком.центра, а может идентификатор бота. Для Виталика: pguard_rxykeum.exe хоть и имеет одинаковый хэш(по неизвестным причинам) с установщиком руткита, но pguard_rxykeum.exe заражение не восстанавливает. Это тоже самое что сделать дамп TDSS File System и орать что находящийся там файл tdl является драйвером TDL4, а значит что если его закинуть в автозагрузку(неважно куда), то руткит будет работать даже без заражения MBR. Изменено 20 марта, 2013 пользователем CatalystX Цитата Ссылка на сообщение Поделиться на другие сайты
Maratka 68 Опубликовано 20 марта, 2013 Share Опубликовано 20 марта, 2013 Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет. Виталик, либо ты дурак, либо одно из двух. Назови плих любую утилиту от Eset, равно как и от любого другого производителя, которая является исключительно сканером, т.к. не имеет монитора, но видит инжект. Или установку драйвера. Или изменение ключа автозагрузки. Или запуск процесса. И на все это дело спрашивает: разрешить? Да/Нет. А также назови пять причин, почему TDSS Killer должен детектить Gapz. Если нет возможности назвать пять - назови одну. Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 22 марта, 2013 Share Опубликовано 22 марта, 2013 Из отчета разведки: плохой детект и лечение нодом руткитов, из-за того что, Саша Матросов и Женя Родионов пользуются только Kaspersky Internet Security Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 (изменено) Не, там Александр Гостев и Евгений Касперский пользуются NOD32. Я первый тут написал, не тыреть у меня! А Касперский вирусы не ловит. https://www.virustotal.com/ru/file/06401b44...sis/1365158005/ MD5: b20924d27288e5e59d1bd74ce25a8434 Operating memory » explorer.exe(2280) - a variant of Win32/Gapz.A trojan - unable to clean 05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis. 05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis. Изменено 5 апреля, 2013 пользователем EVIK Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 (изменено) Eset на VirusTotal почему-то тоже не ловит https://www.virustotal.com/ru/file/06401b44...sis/1365158005/ Изменено 5 апреля, 2013 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
CatalystX 29 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 (изменено) 05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis. А толк? Все равно у ЕSET детект по несколько дней добавляется. У каспера это реализовано намного лучше - подозрительный файл отправляется через КСН в ЛК, а через пару минут приходит UDS детект, а через пару часов - сигнатура. Проверял с другом, с помощью трояна Зевс который был закриптован полиморфным криптором. Но не смотря на то, что у друга запускался чистый Зевс, Зевс все равно не смог установится - его поймал System Watcher - PDM.Trojan.Win32.Generic. Система осталась чистой и у каспера были настройки по умолчанию. А нод так умеет, при настройках по умолчанию? Александр Гостев и Евгений Касперский пользуются NOD32 Они уж точно таким дер..ом не пользуются. Либо КИС, либо линукс. Третьего не дано. Изменено 5 апреля, 2013 пользователем CatalystX Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 (изменено) А у нас детектирует Zero Day с точным вердиктом и удаляет. А Gapz в следующие обновление добавили в базы. Почему-то дикий винлок заблокировал Касперского во втором ролике. Не бывает такого упаковщика, протектора, который сможет обойти NOD32. Heuristics – detection directly in memory А у нас ещё есть: Advanced heuristics on file execution Internet heuristics Heuristics Advanced heuristics/DNA/Smart signatures ThreatSense(is technology consists of many complex threat detection methods..) Live Grid IDS HIPS(автоматический режим с моими правилами) SysInspector Live Grid Да и модули нам обновляют и улучшают постоянно. Сегодня антивирус у меня сам обновился до новой версии 6.0.316.0, а потом обновится до 6.2, а далее до 7 версии. А Касперский до сих пор даже не умеет распаковывать протектор ENIGMA(уже 2 года не умеет!). http://forum.drweb.com/index.php?showtopic...12&p=659732 А вот тут ещё 2 протектора, и дикий винлок: http://forum.drweb.com/index.php?showtopic...12&p=659916 Изменено 5 апреля, 2013 пользователем EVIK Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 (изменено) Кто же тестирует на бета версии KIS? Виталик наверное не знал, то что Kaspersky Internet Security Technical Preview это бета версия антивируса. Также не понятно какие настройки использовались в бета версии KIS и был ли включен автоматический режим принятия решений? Вообщем баян Изменено 5 апреля, 2013 пользователем mike 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
EVIK 4 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 Во втором ролике релиз, все настройки KIS по умолчанию. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 Во втором ролике релиз, все настройки KIS по умолчанию. Тогда почему у тебя Kaspersky Internet Security Technical Preview? (Это бета версия антивируса) Цитата Ссылка на сообщение Поделиться на другие сайты
skril 0 Опубликовано 5 апреля, 2013 Share Опубликовано 5 апреля, 2013 А кто пробовал Emsisoft Emergency Kit он даже после Касперыча пару штук находит...... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.