Symantec: Trojan.Gen.2 - полное раскрытие

  • Автор темы komrad.vasvas
  • Дата начала

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Сделал настройки, как у вас, да на sfx и форму пошёл детект ws.reputation.1...

Сейчас откомпилировал другую форму Делфи (Пустой проект) и получил:

Посмотреть вложение 53056

Ладно хрен с делфи, откроем асм (Fasm), откомпилируем пустую форму там и посмотрим что будет:

На настройках keb, никакого детекта нет, вот VT:





Также прилагаю формы во вложении, значит всё-же и тут не на все исполняемые файлы идёт детект !Не въехал!!!

Файлы безвредны, просто выводят мессаги и всё...
Не знаю что сказать но детект есть все по тому же реп1!
Безымянный.jpg
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 142
Репутация
8 266

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Ничего не понимаю, вот посмотрите ролик, всё-ли я включил:


Также сделал проверку, ничего не сказал:

Посмотреть вложение 53059
Вряд ли это поможет но все же! Автоматически удалять угрозы выставьте - всегда также удалять угрозы если меня нет на месте - всегда! Угрозы с низкой степенью риска - всегда! Еще самому интересно перед настройкой
той что я сейчас расписал попробуйте скачать архив который вы сюда залили и распаковать его в системе! Интересно будет если он их так сдетектит!
И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Nortonсмех-смех!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 142
Репутация
8 266
Вряд ли это поможет но все же!
Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?Не въехал!!!
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?Не въехал!!!
Как то раньше на Nis 2014 был у меня момент на одних и тех же зловредах ,что у человека детекта было больше на 8-ке чем у меня на 7-ке ХЗ почему так учитывая что тогда 8-ка только недавно вышла! А может и действительно в виртуалке дело! Сейчас я тестировал на реальной 8.1!Может NS 2015 не важно под хрюшу адаптирован все же почти мертвая система уже!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 142
Репутация
8 266
И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Nortonсмех-смех!!!
Видно Нортон обиделся на мои негативные посты, а может дело в санкциях, гы-гы !смех-смех!!!
 

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
#18 > Но также тогда могут-быть ложные срабатывания, например на какой-нить патч к игре

к играм,брал без пристрастия,да и тот случай когда вес имеет значение 90м
по одному сайман бьёт
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 142
Репутация
8 266
Пока-что детекта на SFX-архив нет у Нортона (На дефолте), зато добавился TrendMicro:

Интересное наблюдение:


Qihoo-360 тырит детект с VT, я заливал чистые файлы на VT, тот-же sfx-архив, формы на делфи, наши окошки на асме...

В начале кихо не детектил, но через некоторое время, появлялся один и тот-же детект: HEUR/QVM...

Вот смотрите:

1)SFX:

На следующий день появилось:HEUR/QVM06.1.Malware.Gen

2)Обычное окно на асме:


На следующий день появилось:HEUR/QVM19.1.Malware.Gen

3)Обычное сообщение, типо "Hello world !" на асме:


На следующий день появилось:HEUR/QVM20.1.Malware.Gen

4)Ну и последнее, самое вкусное, наш новый банковский троян GoldSpy, гы-гы:

HEUR/QVM05.1.Malware.Gen


Про банковский троян это шутка, если-что !Dmeh-Smeh-Smeh!!!

Получается что Qihoo-360 вообще молодец, если файл новый и имеет хоть какой-то детект на VT, то они его тоже обзывают HEUR/QVM... !Не въехал!!!Не въехал!!!Не въехал!!!
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
- в КЛС товарищи опять эпично слились. Попытались спорить, но их аргументы рассыпались. В итоге пришли к тому, что это им просто неинтересно, а в детекте по хешу нет ничего плохого - надо просто под другим углом смотреть.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Nedovirus, а ты профессиональный троль...это да;)Конечно же твой собеседник не признает даже очевидных аргументов,ведь это будет сродни поражению и антирекламе продукта.Если развивать там эту тему и дальше,будет "многабукав",но не будет объективных прямых ответов со стороны оппонента (симнатек).Сохранил для истории веб-страничку,может когда пригодится для пруфов)
Доставило..
Снимок.PNG
 
Верх Низ