Symantec: Trojan.Gen.2 - полное раскрытие

  • Автор темы komrad.vasvas
  • Дата начала

K

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
X-Shar сказал(а):
Сделал настройки, как у вас, да на sfx и форму пошёл детект ws.reputation.1...

Сейчас откомпилировал другую форму Делфи (Пустой проект) и получил:

Посмотреть вложение 53056

Ладно хрен с делфи, откроем асм (Fasm), откомпилируем пустую форму там и посмотрим что будет:

На настройках keb, никакого детекта нет, вот VT:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Также прилагаю формы во вложении, значит всё-же и тут не на все исполняемые файлы идёт детект !Не въехал!!!

Файлы безвредны, просто выводят мессаги и всё...
Нажмите, чтобы раскрыть...
Не знаю что сказать но детект есть все по тому же реп1!
Безымянный.jpg
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 082
Репутация
8 199
K

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
X-Shar сказал(а):
Ничего не понимаю, вот посмотрите ролик, всё-ли я включил:


Также сделал проверку, ничего не сказал:

Посмотреть вложение 53059
Нажмите, чтобы раскрыть...
Вряд ли это поможет но все же! Автоматически удалять угрозы выставьте - всегда также удалять угрозы если меня нет на месте - всегда! Угрозы с низкой степенью риска - всегда! Еще самому интересно перед настройкой
той что я сейчас расписал попробуйте скачать архив который вы сюда залили и распаковать его в системе! Интересно будет если он их так сдетектит!
И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Nortonсмех-смех!!!
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 082
Репутация
8 199
keb сказал(а):
Вряд ли это поможет но все же!
Нажмите, чтобы раскрыть...
Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?Не въехал!!!
 
K

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
X-Shar сказал(а):
Неа, не помогло...

Скачал с форума, распаковал, всё-равно файлы запустились и что это такое ?

Система хрюша и тестирую на виртуалке, может дело в этом ?Не въехал!!!
Нажмите, чтобы раскрыть...
Как то раньше на Nis 2014 был у меня момент на одних и тех же зловредах ,что у человека детекта было больше на 8-ке чем у меня на 7-ке ХЗ почему так учитывая что тогда 8-ка только недавно вышла! А может и действительно в виртуалке дело! Сейчас я тестировал на реальной 8.1!Может NS 2015 не важно под хрюшу адаптирован все же почти мертвая система уже!
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 082
Репутация
8 199
keb сказал(а):
И самое главное я слышал что ws.reputation.1 срабатывает только у тех кто по настоящему любит Nortonсмех-смех!!!
Нажмите, чтобы раскрыть...
Видно Нортон обиделся на мои негативные посты, а может дело в санкциях, гы-гы !смех-смех!!!
 
DikiySan

DikiySan

Уважаемый пользователь
Форумчанин
Регистрация
22.02.2014
Сообщения
672
Репутация
2 093
#18 > Но также тогда могут-быть ложные срабатывания, например на какой-нить патч к игре

к играм,брал без пристрастия,да и тот случай когда вес имеет значение 90м
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

по одному сайман бьёт
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 082
Репутация
8 199
Пока-что детекта на SFX-архив нет у Нортона (На дефолте), зато добавился TrendMicro:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


Интересное наблюдение:

Qihoo-360 тырит детект с VT, я заливал чистые файлы на VT, тот-же sfx-архив, формы на делфи, наши окошки на асме...

В начале кихо не детектил, но через некоторое время, появлялся один и тот-же детект: HEUR/QVM...

Вот смотрите:

1)SFX:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


На следующий день появилось:HEUR/QVM06.1.Malware.Gen

2)Обычное окно на асме:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


На следующий день появилось:HEUR/QVM19.1.Malware.Gen

3)Обычное сообщение, типо "Hello world !" на асме:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


На следующий день появилось:HEUR/QVM20.1.Malware.Gen

4)Ну и последнее, самое вкусное, наш новый банковский троян GoldSpy, гы-гы:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки


HEUR/QVM05.1.Malware.Gen

Про банковский троян это шутка, если-что !Dmeh-Smeh-Smeh!!!

Получается что Qihoo-360 вообще молодец, если файл новый и имеет хоть какой-то детект на VT, то они его тоже обзывают HEUR/QVM... !Не въехал!!!Не въехал!!!Не въехал!!!
 
Nedovirus

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- в КЛС товарищи опять эпично слились. Попытались спорить, но их аргументы рассыпались. В итоге пришли к тому, что это им просто неинтересно, а в детекте по хешу нет ничего плохого - надо просто под другим углом смотреть.
 
Антоха

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Nedovirus, а ты профессиональный троль...это да;)Конечно же твой собеседник не признает даже очевидных аргументов,ведь это будет сродни поражению и антирекламе продукта.Если развивать там эту тему и дальше,будет "многабукав",но не будет объективных прямых ответов со стороны оппонента (симнатек).Сохранил для истории веб-страничку,может когда пригодится для пруфов)
Доставило..
Снимок.PNG
 
Для ответа нужно войти/зарегистрироваться
Автор темы Похожие темы Форум Ответы Дата
X-Shar Новость Google удалит корневой сертификат Symantec из своих продуктов Новости и статьи IT безопасности 0
KILLER-S Антивирусы под прицелом #2: взлом BitDefender и серьезные уязвимости в Symantec Новости и статьи IT безопасности 9
Похожие темы
Новость Google удалит корневой сертификат Symantec из своих продуктов
Антивирусы под прицелом #2: взлом BitDefender и серьезные уязвимости в Symantec
Верх Низ