i za to lubię Was i Wasze forum, do wszystkiego podchodzicie z profesjonalizmem
Miło być w grupie z taki ludźmi. Piona dla Wszystkich
[Aby zobaczyć linki, zarejestruj się tutaj]
jeszcze ta pierwsza
[Aby zobaczyć linki, zarejestruj się tutaj]
Waves97 napisał(a):Emsi cisza. Ochrona www wydaje mi się tragiczna niestety.
W tym przypadku raczej nie. U mnie EAM też milczał, tylko MBAM zablokował połączenie z
[Aby zobaczyć linki, zarejestruj się tutaj]
. Ale jak widać to nie jest szkodliwe.
Ale coś jest na rzeczy z ochroną www przez EAM. W tych swoich testach nie miałem jeszcze żadnego komunikatu. Tylko MBAM blokuje dostęp. EAM milczy jak grób...
Waves97 napisał(a):Emsi cisza. Ochrona www wydaje mi się tragiczna niestety.
On nie ma typowej ochrony www , blokuje tylko podejrzane hosty i połączenia, więc się nie dziw zbytnio.
AVG IS 2012 -530/600 (88,3%)
tachion napisał(a):Tia tylko tu już żaden nie wyłapuje [Aby zobaczyć linki, zarejestruj się tutaj]
i tu dotyczące [malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
i to [malware] [Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
tak więc ciekawe co na tą gadzinę która jest przepakowana inne laby
Wszystkie linki Nod32 blokuje.
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
password sg [/malware]
W tej paczce ludzie z Microsoft MPC znaleźli już jeden fals positive: plik folmulario.exe
Na VirusTotal = 32/42
Tak więc po poprawce (ilość 69) wykrywalnośc
MSE55/69 = 79.71%
Na dowód, że to fakt zamieszczam info od MPC (skrócony)
Status:Analysis Completed
formulario.exeNot Malware
Analysis Completed: Jun 19, 2012 12:30 PM UTC
Preliminary Result Available: Jun 19, 2012 12:00 PM UTC
Under Active Investigation: Jun 19, 2012 08:53 AM UTC
Received: Jun 19, 2012 08:41 AM UTC
Submission Comments: detection by the scanner VirusTotal = 32/42
Przy okazji widać, ze ładnie pracują, nie obijają się, zwłaszcza że zaznaczyłem niski priorytet akcji
Jak plik, który ma wynik 31/41 na VT może być fałszywym alarmem? Jakie jest prawdopodobieństwo?...
Nie tylko na tej stronie widzi nod zagrożenie tu też widzi problem
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
F-Secure 2013 teraz
70/70
kamil10506 napisał(a):F-Secure 2013 teraz
70/70
proszę wyślij ten plik
formulariodo analizy do labu F-Secure
Ja wysłałem ten plik formulario.exe do analizy do Kasperskiego i dostałem taką odpowiedź:
Najpierw odpowiedź automatu:
Hello,
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
formulario.exe - Trojan.Win32.Jorik.IRCbot.mxd
At the moment this file is detected with the latest antivirus bases.
Best Regards, Kaspersky Lab
A potem już od analityka wirusów:
Hello,
There is not a false alarm.
Regards, Ivan Akimov,
Virus Analyst
No to mamy szach!
Rozwiązanie może być takie: MPC podaje info, że nie jest to malware, czyli teoretycznie nie nastąpi infekcja i nie wyrządza szkody.
Kaspersky stwierdza, że to nie jest fałszywy alarm, ale nie ma wprost, że jest to szkodliwy kod
Ciekawe kto ma rację.
Jedynym rozwiązaniem jest by jak najwięcej labów zbadało ten plik. Proszę, wysyłajcie!
Ale tam jest napisane, że Kaspersky wykrywa plik formulario.exe jako Trojan.Win32.Jorik.IRCbot.mxd, więc moim zdaniem stwierdza, że jest to szkodliwy plik.
dlatego wkleiłem emotiona
Swoją drogą jeśli to prawda, ze jakiś analityk się pomylił, to podważa to zaufanie na maksa do takiego labu i poziomu profesjonalizmu a w końcu do samego softu :/
Dlatego proszę wysyłajcie do analizy: wynik VirusTotal nie jest taki pewny, fałszywe alarmy się zdarzają, choć w takiej liczbie to rzeczywiście dziwne.. wysyłajcie!
Hmm,Eset kiedyś z bazą się walną i też nieszkodliwy kod wykrywał jako szkodliwy po następnej aktualizacji wszystko wróciło do normy<!-- s
-->
<!-- s
-->
Dodano: 19 cze 2012, 20:19
A odnośnie tego formulario.exe nic gadzina nie wykonuje nie łączy się z żadnymi adresami nie dodaje się do autostartu,nie ma zmian w rejestrze w hoście itd.dosłownie pustka w logach to win7a w xp tworzy kopie samego siebie w C:\Documents and Settings\Administrator\Dane aplikacji o nazwie 4A.tmp reszta jak wyżej być może to działało kiedyś tylko potrzebowało połączenia z określonym adresem,bądź jakieś specyficzne warunki<!-- s
-->
<!-- s
-->
a moze by tak dokleić nowy temat, np. False Positive czy jakoś tak.
W tym temacie można by pisać o takich przypadkach z podaniem linka do paczki z której wyłowiono fałszywy alarm. Co wy na to?
Wysyłam systematycznie pliki, których nie wykrył MSE. następny już okazał się niewykrytym przez MSE, mam nadziję, że juz piszą sygnaturkę
pozostało jescze kilkanaście. zobaczymy.
Odnośnie tego, co napisał tachion. Zgadzało by się to z najkrótszą definicją "malware": program wykonywalny, który jest w stanie wykonac określone szkodliwe działanie w systemie. Tak więc kod złośliwego programu, który jest zapisany gdzieś w definicjach i sygnaturach, a nie jest w stanie wykonać założonych instrukcji, w rzeczywistości nie będzie malware. Mozna go co najwyżej zaliczyć do "remnants" (resztki) , "residues" (pozostałości) lub "traces" (ślady). To miałoby sens. Pytanie tylko kto ma rację i kto się nie pomylił w analizie?
formulario.exe :u mnie stworzy c \user\...\app data\roaming\[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
[/malware]
Po wylączeniu ochrony w Emsi i Guard w Online Armor
142 malware od Tachiona & Waves97
[malware]
[Aby zobaczyć linki, zarejestruj się tutaj]
pass:sg[/malware]
Dodano: 19 cze 2012, 22:42
Emsisoft AM - 125/142 88%
Nice
AVG IS 2012 - 106/142 (74,6%)
5 plików na VT z wynikem 1,2,3/42.
Reszta poszła do labu.