Author Topic: Экран поведения winlock спокойно пропустил...  (Read 21224 times)

0 Members and 1 Guest are viewing this topic.

ex_avira_user

  • Guest
а там выше писали что десять  ;D  ???

Onix

  • Guest
С базой 110129-0 детектируется как Win32: Malware-gen.

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Мне дошло. Спасибо. А какой пароль? Если тот, что в названии содержится тогда файл битый. Их вообще два должно быть. По одному в блокерах и смс-вымогателях ни разу не встречал.
« Last Edit: January 29, 2011, 06:02:11 PM by barsukRed »

ex_avira_user

  • Guest
Мне дошло. Спасибо. А какой пароль? Если тот, что в названии содержится тогда файл битый. Их вообще два должно быть. По одному в блокерах и смс-вымогателях ни разу не встречал.


в названии это на разблокировку компа!
пароль на архив был указан в письме.

С базой 110129-0 детектируется как Win32: Malware-gen.
точно 8) эвристик подкрутили  ;D
« Last Edit: January 29, 2011, 06:39:22 PM by ex_avira_user »

Onix

  • Guest
точно 8) эвристик подкрутили  ;D
Нет, это в базу добавили :)

ex_avira_user

  • Guest
Win32: Malware-gen, Win32: Trojan-gen , Win32: Rootkit-gen === разве не детекты эвристического анализатора ? ::)
« Last Edit: January 29, 2011, 08:14:38 PM by ex_avira_user »

Offline George Yves

  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 4095
  • Help you I can
а там выше писали что десять  ;D  ???
Значит ужесточили, раньше было десять.
May the FOSS be with you!

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Win32: Malware-gen, Win32: Trojan-gen , Win32: Rootkit-gen === разве не детекты эвристического анализатора ? ::)
Думаю это маркер общего вирусного понятия,относящегося к подавляющему большинству зловредных программных механизмов. Например, Win32: Trojan-gen - можно отнести все винлокеры. Они практически одинаково работают по шаблону. Win32: Malware-gen -файл упакован неизвестным авасту пакером. Идея проста- файл проще упаковать качественным упаковщиком если он легален. Зачем изобретать велосипед? Если только нужно чтобы АВП не распаковал, разве что.
Если у антивируса модульная,многоуровневая система проверок(как бы подстраховка)это вполне логично.
Win32: Rootkit-gen - основные,классические механизмы сокрытия известные авасту сигнатурно. Если считать что аваст борется за уменьшение объема вирусных баз - это вполне оправдывает себя. Кто пользует комодоантивирус то может рассказать про огромные объемы обновлений особенно на начальном этапе развития антивируса. Порой доходило до 10-20 мегов иногда. Как то на форуме касперского ветка была с обсуждением на сколько увеличатся базы за год. ИМХО, конечно.

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
в названии это на разблокировку компа!
пароль на архив был указан в письме.
Все нашел, спасибо. А больше файлов не было? Должен быть еще вспомогательный.

ex_avira_user

  • Guest
Quote
Win32: Malware-gen -файл упакован неизвестным авасту пакером.
откуда инфа ?  :o

Все нашел, спасибо. А больше файлов не было? Должен быть еще вспомогательный.

1 файлик, все успешно локает после ребута - аваст молчит как партизан  :)
(его МП разумеется, его ведь тестим)

« Last Edit: January 30, 2011, 12:25:46 PM by ex_avira_user »

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
откуда инфа ?  :o
Сами можете попробовать. Найти пакер на wasm.ru можно, только не паблик берите. А лучше попросить програмера состряпать эксклюзив. Давно пользуете аваст?

На форуме avsoft была ветка где программер плякаль что его шедевр был упакован эксклюзивом и детектился. Возмущался на аваст а потом выяснили что пакер эксклюзивный.
« Last Edit: January 30, 2011, 01:47:18 PM by barsukRed »

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
1 файлик, все успешно локает после ребута - аваст молчит как партизан  :)
(его МП разумеется, его ведь тестим)
распотрошу - посмотрю. Вообще второй файл должен иметь пару-тройку процедур ключевого назначения. Они периодически должны переписываться чтобы изменять сигнатуры. Иначе слишком просто все.

ex_avira_user

  • Guest
откуда инфа ?  :o
Сами можете попробовать. Найти пакер на wasm.ru можно, только не паблик берите. А лучше попросить програмера состряпать эксклюзив. Давно пользуете аваст?

На форуме avsoft была ветка где программер плякаль что его шедевр был упакован эксклюзивом и детектился. Возмущался на аваст а потом выяснили что пакер эксклюзивный.

я знаю что авира очень пакеры любит :)
TR/CRYPT.XPACK.GEN (запакованный троян)
HEUR.CRYPTED (упакован незнаючем)
но чтобы так с ходу "малварой" обзывать.. :o

сам я пользуюсь G DATA (это аваст + битдефендер =2 движка)
5 версию аваста поставил на ноутбук потестить как только вышла

Offline barsukRed

  • Jr. Member
  • **
  • Posts: 34
Вообщем у меня ручная разблокировка заняла 16 минут. По открытию баннера самое тяжелое изловчиться и выбить процесс. С помощью starter. Только у меня баннер не на весь экран установился и я, поиграв размерами окна завершаю процесс. Стартер завис, естественно. Но фишка в том, что при закрытии стартера в панели задач с помощью правого клика закрывается и Баннер. Думаю что процесс баннера завязывает на себя процесс, который пытается получить список процессов. Надо додумать почему баннер не установился в полный экран сразу. Дизасемблирую как побольше время будет.
Кстати, файл упакован UPX. И фишка с закрытием баннера через правый клик в нижней панели задач работает и в смс-вымогателях. Это лишний раз доказывает что принцип работы блокировок один.
Совсем чуть не забыл, заметили что баннер запускает и таскменеджер тоже? Это чтобы окно таскменеджера попало под банер и другие окна будут открываться рядом и под банером. Думаю, для этого. И другой файл тоже есть. C:\Documents and Settings\All Users -файл малвари и еще файл назван как браузер по умолчанию. У меня оперу малварь удалил из папки и установил по этому адресу файл Opera.exe

но чтобы так с ходу "малварой" обзывать.. :o
Почему же сходу? Я же говорю, чистую прогу нет необходимости запаковывать левым пакером или переносить точку входа куда-то нестандартно. Это только малварь использует.
« Last Edit: January 30, 2011, 03:12:17 PM by barsukRed »

Aryen

  • Guest
Приветствую!
Дабы не создавать новую тему, решил спросить здесь. Скажите, какое действие экрана поведения лучше выбрать? Я решил выбрать "Определять автоматически", но хочется удостовериться, что avast! все сделает правильно, в случае заражения)