Author Topic: Win32.Malware.gen (Read 63138 times)

ex_avira_user · « **on:** February 08, 2011, 12:46:45 PM »

Скачал тут файлик один интересный

детектится аваст по сабжу.
решил в качестве теста его запустить на свой страх и риск

добавил раздел диска откуда буду запускать - в исключения
ну и запустил.. диск пошуршал, система подумала
аваст словил один файлик в C:\WINDOWS\Temp
далее сработал экран поведения, я запретил

после перезагрузки виндовс не стартует

загрузился с загрузочного ESET SysRescue и прибил парочку зловредов в system32

отсюда вопросы
Win32.Malware.gen - это всетаки сигнатуры или эвристика
Если это всетаки сигнатуры почему аваст не увидел др. инсталлируемые в систему зловреды
p.s. malware прошлогодний, все нормальные антивирусы его также детектят по вирустоталу

Onix · « **Reply #1 on:** February 08, 2011, 01:53:10 PM »

а)Это сигнатуры.
б)Так вы же этот раздел в исключения добавили,или я чего-то не понял?

ex_avira_user · « **Reply #2 on:** February 08, 2011, 02:28:23 PM »

неправильно. система на С - она и мониторится.
запуск с др. раздела чтобы не блочил монитор

Onix · « **Reply #3 on:** February 09, 2011, 08:13:38 AM »

Видимо разработчики не учитывают ситуацию, что кто-то захочет запускать зловред у себя на компьютере. Да и не должны, думаю. Другое дело, что экран поведения не заблокировал опасные действия.

Nikol@y · « **Reply #4 on:** February 09, 2011, 08:52:19 PM »

Решил потестить данным файликом Dr.Web (система виртуальная MS Virtual PC) в двух режимах:
1. с включенной "проактивкой" (запрещение подозрительных действий)
2. и выключенной

Файл определяется Dr.Web как BackDoor.Tdss.based.7 (По Касперскому - Rootkit.Win32.TDSS.hco).

Запуск зловреда осуществляется из папки, добавленной в исключени файлового монитора (в противном случае файл также сразу убивается).

1. При запуске файл зловреда исчез, из временной папки файловый монитор удалил появившися вирус.

Больше никаких явлений замечено не было. Контрольная проверка сканером Dr.Web и MBAM - чисто.
Перезагрузка. Вторая контрольная проверка -чисто.

2. При запуске файл зловреда исчез, из временной папки файловый монитор удалил вирус. Компьютер самовольно ушёл в перезагрузку.
Проверка после перезагрузки:

Видимо, это серьёзный зловред, ты уж ex_avira_user поосторожней. Может и заразил свой комп буткитом

REDACTED · « **Reply #5 on:** February 09, 2011, 11:02:52 PM »

Quote from: Nikol@y on February 09, 2011, 08:52:19 PM

Решил потестить данным файликом Dr.Web (система виртуальная MS Virtual PC) в двух режимах:
1. с включенной "проактивкой" (запрещение подозрительных действий)
2. и выключенной

Файл определяется Dr.Web как BackDoor.Tdss.based.7 (По Касперскому - Rootkit.Win32.TDSS.hco).

Запуск зловреда осуществляется из папки, добавленной в исключени файлового монитора (в противном случае файл также сразу убивается).

1. При запуске файл зловреда исчез, из временной папки файловый монитор удалил появившися вирус.

Больше никаких явлений замечено не было. Контрольная проверка сканером Dr.Web и MBAM - чисто.
Перезагрузка. Вторая контрольная проверка -чисто.

2. При запуске файл зловреда исчез, из временной папки файловый монитор удалил вирус. Компьютер самовольно ушёл в перезагрузку.
Проверка после перезагрузки:

Видимо, это серьёзный зловред, ты уж ex_avira_user поосторожней. Может и заразил свой комп буткитом

http://vms.drweb.com/virus/?i=441481
http://st.drweb.com/static/BackDoor.Tdss.565_%28aka%20TDL3%29.pdf

Одна из модификаций TDSS.

ex_avira_user · « **Reply #6 on:** February 20, 2011, 07:59:53 AM »

да.. теперь понятно почему комп не стартнанул тогда

но непонятно почему аваст молчал (поймал какойто файлик в временной директории а остальное пропустил)

Nikol@y · « **Reply #7 on:** February 21, 2011, 09:12:28 PM »

Ну во первых, avast! не молчал, а сразу предупреждал, что это вирус (см. первый пост...)

Quote from: ex_avira_user on February 08, 2011, 12:46:45 PM

Скачал тут файлик один интересный детектится аваст по сабжу.

Аналогично отработал и DrWeb с выключенной защитой системных файлов и запретом низкоуровневой записи (удалил временный файл-вирус, однако заражение пропустил - см. п.2 в моём сообщении).
А вот с включенными опциями защиты Dr.Web отработал на ура (см п. 1), в отличии от экрана поведения avast!

)

Nikol@y · « **Reply #8 on:** February 21, 2011, 09:21:40 PM »

Quote from: ex_avira_user on February 08, 2011, 12:46:45 PM

после перезагрузки виндовс не стартует
загрузился с загрузочного ESET SysRescue и прибил парочку зловредов в system32

а утилитами проверил?
http://support.kaspersky.ru/faq?qid=208636926

ex_avira_user · « **Reply #9 on:** February 23, 2011, 12:13:19 PM »

Quote from: Nikol@y on February 21, 2011, 09:12:28 PM

Ну во первых, avast! не молчал, а сразу предупреждал, что это вирус (см. первый пост...)
Quote from: ex_avira_user on February 08, 2011, 12:46:45 PM
Скачал тут файлик один интересный детектится аваст по сабжу.

Аналогично отработал и DrWeb с выключенной защитой системных файлов и запретом низкоуровневой записи (удалил временный файл-вирус, однако заражение пропустил - см. п.2 в моём сообщении).
А вот с включенными опциями защиты Dr.Web отработал на ура (см п. 1), в отличии от экрана поведения avast! )

хороший этот доктор веб последний
но памяти потребляет... !!! 150 мб только engine
+ каждый отдельный модуль (например сканер + 100 мб)

а касперский фтопго!

Author Topic: Win32.Malware.gen (Read 63138 times)

ex_avira_user

Win32.Malware.gen

Onix

Re: Win32.Malware.gen

ex_avira_user

Re: Win32.Malware.gen

Onix

Re: Win32.Malware.gen

Nikol@y

Re: Win32.Malware.gen

REDACTED

Re: Win32.Malware.gen

ex_avira_user

Re: Win32.Malware.gen

Nikol@y

Re: Win32.Malware.gen

Nikol@y

Re: Win32.Malware.gen

ex_avira_user

Re: Win32.Malware.gen