Ummitium Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Ничего личного, но некоторые специалисты (из числа вирусных аналитиков) таких похвал не заслуживают! Сообщение от модератора C. Tantin Вынес обсуждение работы Вирлаба в отдельную тему Изменено 30 января, 2009 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ummitium Опубликовано 25 января, 2009 Автор Share Опубликовано 25 января, 2009 (изменено) Некоторые аналитики ЛК халтурят. Добавляют сигнатуру упакованного вредоносного кода, достаточно снять пакер/протектор и получим новый вредонос, тут я об этом говорил. Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры... Изменено 25 января, 2009 пользователем Ummitium Ссылка на комментарий Поделиться на другие сайты More sharing options...
sergio342 Опубликовано 26 января, 2009 Share Опубликовано 26 января, 2009 (изменено) Недавно отправлял запрос в вирлаб по ложному детекту, мне пришел ответ, что спасибо, это новое вредоносное ПО, добавим в сигнатуры... Фолсы лучше через сайт отправлять: http://support.kaspersky.ru/virlab/helpdesk.htmlОтправлял not-a-virus, который явно трояном был, первый ответ через почту "Детектирование файлов будет добавлено в следующее обновление." с таким же вердиктом not-a-virus:WebToolbar.Win32.VB, на ответное письмо, что это троян - тишина. После отправки через феб-форму, довольно быстро пришел ответ: "Обладает функциональностью даунлодера - переименован в Trojan-Downloader.Win32.Agent" Наверное, надо было в теме писать Ложное срабатывание или False Alarm, тогда письмо дошло бы аналитику с 1-го раза, а не обработалось сначала роботом. Ответ с таким заголовком был, когда через сайт отправлял: RE: [310481014][False Alarm] Строгое предупреждение от модератора C. Tantin Оффтопик! (п.5 правил) Изменено 26 января, 2009 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ummitium Опубликовано 30 января, 2009 Автор Share Опубликовано 30 января, 2009 В моем случае, я просил перепроверить файл, который уже детектился! В ответ мне НЕ РОБОТ, а аналитик написал, что спасибо, добавим в базы ваше новое вредоносное ПО. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sergio342 Опубликовано 30 января, 2009 Share Опубликовано 30 января, 2009 (изменено) В ответе не пишется, что это робот ответил . Недавно отправлял письмо, ответ через 4 минуты пришел с подписью аналитика, сомневаюсь, что человек его обработал так быстро и вне очереди . Строгое предупреждение от модератора C. Tantin Публичное обсуждение действий администрации запрещено (п. 7 правил). Устное предупреждение. Изменено 30 января, 2009 пользователем C. Tantin Ссылка на комментарий Поделиться на другие сайты More sharing options...
JIABP Опубликовано 30 января, 2009 Share Опубликовано 30 января, 2009 sergio342, ну давайте для начала вспомним, что фактическим ни Вы ни я не знаеа как организована структура проверки/получения вреденосов до последней точки. Поэтому говорить о том, о чём не известно всех фактов - просто неразумно = ) Это я про 4-минуты на ответ. Ссылка на комментарий Поделиться на другие сайты More sharing options...
starik Опубликовано 30 января, 2009 Share Опубликовано 30 января, 2009 Ещё есть детекты по иконкам, нестандартным расширениям в структурах PE файла. Равшан и Джамшут устроились в вир. лаб Ссылка на комментарий Поделиться на другие сайты More sharing options...
sergio342 Опубликовано 31 января, 2009 Share Опубликовано 31 января, 2009 JIABP, это личные наблюдения, складывание воедино всей инфы, которую по кусочкам выдают на форумах, в блогах аналитиков... . Когда обрабатывается автоматически, это не пишется, как, например, у доктора, а стоит подпись аналитика. Ссылка на комментарий Поделиться на другие сайты More sharing options...
sergio342 Опубликовано 24 февраля, 2009 Share Опубликовано 24 февраля, 2009 В статье есть немного про Вирлаб: http://www.thg.ru/business/kaspersky_tour/onepage.html Как видно на экране и по тексту, большинство запросов обрабатывается роботом. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Гриша Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 Если aybo может распаковать, проанализировать, задетектировать автоматически, участие человека излишне :blink: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kapral Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 А то что робот не может обработать самостоятельно? :blink: Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 Можно выбрать из двух вариантов: 1. Игнорируется 2. Отправится аналитику Насколько качественно отработает аналитик....это другой вопрос. А если робот неправильно отработал детект.... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kapral Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 А если робот неправильно отработал детект.... :blink: Ну пошлешь файлик еще один раз - напишешь - фолс Ссылка на комментарий Поделиться на другие сайты More sharing options...
akoK Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 Или буду подымать систему :blink: Ай а где мой explorer.exe (svchost, hall.dll)? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kapral Опубликовано 25 февраля, 2009 Share Опубликовано 25 февраля, 2009 Тогда слушаем предложения :blink: по исправлению Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения