Перейти к содержанию

KIS 2013 или ESET SS 6

Svetlana82

Автор Svetlana82,
в Опросы

 Share Подписчики 2

Рекомендуемые сообщения

CatalystX

CatalystX 29

Опубликовано
Опубликовано
pguard_rxykeum.exe в автозагрузке, это дроппер Gapz и MD5 и другие хеши у них одинаковые/идентичные.

У моего "дроппера" хэш - e5b9295e0b147501f47e2fcba93deb6c.

У настоящего дроппера - 4768c3d2b522c8f42a2123594961dea3d531876aacd47fce626d70fe9eca0cd6.

А совпадающие CRC32 не более чем подделка.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 624
  • Created
  • Последний ответ

Top Posters In This Topic

  • CatalystX

    137

  • EVIK

    125

  • Maratka

    47

  • Kapral

    44

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Yustas

Бред полный. Вы хоть сами поняли, что написали? Кто тормозит, КИС? Я пользуюсь КИСом, начиная с 8й версии, на среднем железе - никогда тормозов не наблюдал. Нормально работает как с Windows XP так и

kmscom

мне по барабану что ты пользователь НОД. я не расист, но говорить что один продукт релиз кандидат, а другой бета, это тоже самое что сказать на "одну палочку печенья шоколод льется вертикально, а на д

Yustas

Поздравляю! И у нас скоро будет новая версия антивируса, ну и что с того? К чему этот спор? Зачем кому-то еще писать о том, что и так всем очевидно?

Posted Images

EVIK

EVIK 4

Опубликовано
Опубликовано (изменено)

МD5 одинаковые, прием.

https://www.virustotal.com/ru/file/4768c3d2...sis/1363787367/

pguard_rxykeum.exe

MD5: e5b9295e0b147501f47e2fcba93deb6c

C:\Documents and Settings\All Users\Application Data\PiracyGuard\pguard_xdnylpt.exe - Win32/Gapz.A trojan - cleaned by deleting - quarantined [1]

:)

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
Maratka

Maratka 68

Опубликовано
Опубликовано

Виталик, если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

 

А раз не выносит - значит в автозагрузке его нет.

И потому этот файл - просто файл. Не опасный, т.к. поведенческая сигнатура для него под SW была написана еще в году мохнатом.

Ссылка на сообщение
Поделиться на другие сайты
EVIK

EVIK 4

Опубликовано
Опубликовано

Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

Ссылка на сообщение
Поделиться на другие сайты
CatalystX

CatalystX 29

Опубликовано
Опубликовано (изменено)
МD5 одинаковые, прием.

MD5: e5b9295e0b147501f47e2fcba93deb6c

И че?

если e5b9295e0b147501f47e2fcba93deb6c любым способом зарегистрировать в автозагруке, то KAV его вынесет при первом же поиске руткитов, т.е. (с учетом его длительности) максимум через час после загрузки системы.

А раз не выносит - значит в автозагрузке его нет.

КИС при скане CriticalAreasScan выносит pguard_rxykeum.exe и его ключ запуска, но сам экзешник создает лишь файл, в папке где находится, - info.dat, в котором только одна строчка - "V-|JQV-|JQ". Может это зашифрованный IP адрес ком.центра, а может идентификатор бота.

Для Виталика: pguard_rxykeum.exe хоть и имеет одинаковый хэш(по неизвестным причинам) с установщиком руткита, но pguard_rxykeum.exe заражение не восстанавливает. Это тоже самое что сделать дамп TDSS File System и орать что находящийся там файл tdl является драйвером TDL4, а значит что если его закинуть в автозагрузку(неважно куда), то руткит будет работать даже без заражения MBR.

Изменено пользователем CatalystX
Ссылка на сообщение
Поделиться на другие сайты
Maratka

Maratka 68

Опубликовано
Опубликовано
Мы тут говорим про хваленый Тдсскиллер, который не лечит, и инжект кстати тоже не видит. Там может быть у человека антивируса вообще нету. А переделают Gapz, там КИС не поможет.

:)

Виталик, либо ты дурак, либо одно из двух.

 

Назови плих любую утилиту от Eset, равно как и от любого другого производителя, которая является исключительно сканером, т.к. не имеет монитора, но видит инжект. Или установку драйвера. Или изменение ключа автозагрузки. Или запуск процесса.

И на все это дело спрашивает: разрешить? Да/Нет.

 

А также назови пять причин, почему TDSS Killer должен детектить Gapz. Если нет возможности назвать пять - назови одну.

Ссылка на сообщение
Поделиться на другие сайты
CatalystX

CatalystX 29

Опубликовано
Опубликовано

Из отчета разведки: плохой детект и лечение нодом руткитов, из-за того что, Саша Матросов и Женя Родионов пользуются только Kaspersky Internet Security :lol:

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
EVIK

EVIK 4

Опубликовано
Опубликовано (изменено)

Не, там Александр Гостев и Евгений Касперский пользуются NOD32. Я первый тут написал, не тыреть у меня! :)

 

А Касперский вирусы не ловит. :)

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

MD5: b20924d27288e5e59d1bd74ce25a8434

Operating memory » explorer.exe(2280) - a variant of Win32/Gapz.A trojan - unable to clean

 

05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

post-27165-1365158542_thumb.png

post-27165-1365158636_thumb.png

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Eset на VirusTotal почему-то тоже не ловит :)

 

https://www.virustotal.com/ru/file/06401b44...sis/1365158005/

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
CatalystX

CatalystX 29

Опубликовано
Опубликовано (изменено)
05.04.2013 14:46:46 ESET Kernel File 'explorer.exe(2280)' was sent to ESET for analysis.

05.04.2013 14:37:40 ESET Kernel File 'C:\Documents and Settings\XPMUser\Рабочий стол\CPDv.EXE' was sent to ESET for analysis.

А толк? Все равно у ЕSET детект по несколько дней добавляется.

У каспера это реализовано намного лучше - подозрительный файл отправляется через КСН в ЛК, а через пару минут приходит UDS детект, а через пару часов - сигнатура. :)

Проверял с другом, с помощью трояна Зевс который был закриптован полиморфным криптором. Но не смотря на то, что у друга запускался чистый Зевс, Зевс все равно не смог установится - его поймал System Watcher - PDM.Trojan.Win32.Generic. Система осталась чистой и у каспера были настройки по умолчанию. А нод так умеет, при настройках по умолчанию? :)

Александр Гостев и Евгений Касперский пользуются NOD32

Они уж точно таким дер..ом не пользуются. Либо КИС, либо линукс. Третьего не дано.

Изменено пользователем CatalystX
Ссылка на сообщение
Поделиться на другие сайты
EVIK

EVIK 4

Опубликовано
Опубликовано (изменено)

А у нас детектирует Zero Day с точным вердиктом и удаляет. А Gapz в следующие обновление добавили в базы.

:)

 

 

Почему-то дикий винлок заблокировал Касперского во втором ролике. :)

 

 

 

Не бывает такого упаковщика, протектора, который сможет обойти NOD32.

Heuristics – detection directly in memory

 

 

А у нас ещё есть:

Advanced heuristics on file execution

Internet heuristics

Heuristics

Advanced heuristics/DNA/Smart signatures

ThreatSense(is technology consists of many complex threat detection methods..)

Live Grid

IDS

HIPS(автоматический режим с моими правилами)

SysInspector Live Grid

 

Да и модули нам обновляют и улучшают постоянно.

 

Сегодня антивирус у меня сам обновился до новой версии 6.0.316.0, а потом обновится до 6.2, а далее до 7 версии. :good:

 

А Касперский до сих пор даже не умеет распаковывать протектор ENIGMA(уже 2 года не умеет!).

http://forum.drweb.com/index.php?showtopic...12&p=659732

 

А вот тут ещё 2 протектора, и дикий винлок:

http://forum.drweb.com/index.php?showtopic...12&p=659916

:ded:

Изменено пользователем EVIK
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Кто же тестирует на бета версии KIS? Виталик наверное не знал, то что Kaspersky Internet Security Technical Preview это бета версия антивируса. Также не понятно какие настройки использовались в бета версии KIS и был ли включен автоматический режим принятия решений? Вообщем баян :)

Изменено пользователем mike 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Во втором ролике релиз, все настройки KIS по умолчанию. :)

Тогда почему у тебя Kaspersky Internet Security Technical Preview? (Это бета версия антивируса) :)

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем
×
×
  • Создать...