Author Topic: Про баннеры.  (Read 72516 times)

0 Members and 1 Guest are viewing this topic.

Offline Nicholas@

  • Poster
  • *
  • Posts: 406
Re: Про баннеры.
« Reply #165 on: February 24, 2013, 04:22:46 AM »
я имею виду Баннеры в аваст в базу добавились?
как вы это узнаете?
« Last Edit: February 26, 2013, 09:33:55 AM by Nicholas@ »

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #166 on: February 27, 2013, 01:09:57 AM »
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #167 on: February 27, 2013, 02:27:37 PM »
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу?  :)

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #168 on: February 27, 2013, 03:16:21 PM »
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу?  :)

А что им говорить? Просто добавляют и всё.
Вознаграждать меня за это надо =)
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 961
Re: Про баннеры.
« Reply #169 on: February 28, 2013, 01:48:30 PM »
А что им говорить? Просто добавляют и всё.
Здесь, по-моему, есть один интересный момент. Что просто добавляют? Сигнатуру или хэш конкретного файла?
Например...
Программа с цифровой подписью, 100% ПНП (устанавливает тулбар без ведома пользователя)

В день выхода новой версии детекта нет.
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361826808/

Через два дня добавлен детект (Win32:Downloader-SPO [PUP] )
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361976927/
Ура? Не-а. Потому что эту программу уже "освежили".

Детекта снова нет.

И так по кругу...
ИМХО: По-моему нечто аналогичное происходит и с теми сэмплами, которые Вы отправляете в вирлаб Аваста.



« Last Edit: February 28, 2013, 01:50:51 PM by j.bonzo »

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Про баннеры.
« Reply #170 on: February 28, 2013, 03:03:49 PM »
..Возможно и не таким уж, и зловредом посчитали, после анализа. :) Каспер, Нортон и большинство других, тоже не детектят.

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 961
Re: Про баннеры.
« Reply #171 on: February 28, 2013, 05:10:46 PM »
..Возможно и не таким уж, и зловредом посчитали, после анализа...
Я отследил несколько "жизненных циклов" этой программы.
https://www.virustotal.com/ru/file/23d314c5bc0a6c860d4ffe4110c081f01eee72a1dbb3093f432517fae0bfac81/analysis/1361403154/
https://www.virustotal.com/ru/file/e683e6f2286da9c5c5d5852e373203080857634ae62e1e468d89e08c67ca2918/analysis/1361528536/
Как раз после анализа детект появляется, но к тому времени распространяется уже другая версия программы, содержащая все тот же тулбар.
Уверен, что через несколько дней, версия этой программы с цифровой подписью от 27.0.2 будет опять определяться Авастом как Win32:Downloader-SOR [PUP] .
Т.е. детект явно по хэшу, а не сигнатурный.
P.S. 01.03 vt:
https://www.virustotal.com/ru/file/432e08a072e86926a29403d3bddbd802a04336b3fc9cf5cfef3dba67b54e0654/analysis/1362098188/
отличие: Win32:Downloader-SPW [PUP] (Может это определение будет распространятся на последующие версии этой ПНП?)







« Last Edit: March 01, 2013, 02:08:16 AM by j.bonzo »

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #172 on: March 01, 2013, 01:10:03 AM »
j.bonzo
У меня совсем другой момент, я всякими тулбарами даже и не занимаюсь, а именно только WinLock's и библиотеки(dll) блокировщики интернета в браузерах, я уверен, что их то и не убирают, как в вашем случае.


p.s. Ещё один WinLock

http://virusscan.jotti.org/ru/scanresult/87a650438c5ad99d537173ede75568512792a523
« Last Edit: March 01, 2013, 05:55:32 AM by makcunknown »
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline Nicholas@

  • Poster
  • *
  • Posts: 406
Re: Про баннеры.
« Reply #173 on: March 04, 2013, 02:48:17 AM »
тоже вот один WinLocker подцепил
http://virusscan.jotti.org/ru/scanresult/977769c74065e28bc0adac1bbb4fe8f7c3887106/7ea87899702a218dd1c18f6f9773cef9b79bad89
отправил в лабораторию avast теперь жду что то не какого не привета не ответа  >:(

Offline amid525

  • Sr. Member
  • ****
  • Posts: 397
Re: Про баннеры.
« Reply #174 on: March 04, 2013, 08:39:34 PM »
В первый раз увидел такое окошко у Аваста фри, при загрузке одного банера. Ранее, в 7-ом такого не видел  ???


Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #175 on: March 27, 2013, 03:19:26 AM »
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #176 on: April 20, 2013, 03:30:35 AM »
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline koscl

  • Jr. Member
  • **
  • Posts: 91
Re: Про баннеры.
« Reply #177 on: April 20, 2013, 08:38:34 AM »
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html

вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.

Offline afix

  • Super Poster
  • ***
  • Posts: 1569
Re: Про баннеры.
« Reply #178 on: April 20, 2013, 08:43:18 AM »
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html

вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.
МВАМ меня не пустил на данную ссылку.

Offline koscl

  • Jr. Member
  • **
  • Posts: 91
Re: Про баннеры.
« Reply #179 on: April 21, 2013, 02:33:03 PM »
напишите авторам МВАМ, что у них очередной ложный детект.