SafeGroup

Creer napisał(a):Jaki komunikat wyswietla Comodo? Jaka jest jego tresc?

Comodo wyświetlił standardowe okno z zapytaniem czy dopuścić adv.exe ( chyba ) do sieci czy zablokować.Dopuściłem sobie, w uruchomionych procesach pojawiły się 2 nowe: server.exe oraz adv.exe ( o ile dobrze pamiętam jego nazwę ).

Wczoraj uruchomilem plik wykonywalny: server.exe

1. Dwu-klik na plik server.exe - OA, zapytal czy chce uruchomic plik, kliknalem Zezwól.
Ukazalo sie okienko programu (do tego momentu, zadne dodatkowe wpisy w rejestrze nie zostaly utworzone), w ktorym wpisalem pierwsze lepsze dane i kliknalem Generate:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak widac plik zostal stworzony i zapisany pod sciezka ktora wskazalem wczesniej.
W tym czasie OA pytal czy zezwolic na dostep do przestrzeni dyskowej programowi server.exe w celu zapisania pliku.

2. Wygenerowany plik uruchomilem, OA przed uruchomieniem wielokrotnie pytal czy zezwolic temu plikowi na dostep do przestrzeni OLE, oraz na dostep do przegladarki - klikalem wszedzie Zezwol. Uruchomieniu procesu z wygenerowanego wczesniej pliku towarzyszylo pojawienie sie na liscie niezaufanych procesow w oknie DefenseWall, procesu:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po chwili process ten chcial uzyskac dostep do sieci, o czym poinformowal mnie firewall i co bylo widoczne w statusie firewall''a. Chwilke to potrwalo i wyswietlil mi sie taki blad, ktory jest zasluga DW:

[Aby zobaczyć linki, zarejestruj się tutaj]

Przez co dostep do Internetu tego procesu zostal przerwany.

3. W nastepnym kroku, wszedlem w liste zaufanych i niezaufanych procesow w DefenseWall - zaznaczylem poprzez klikniecie, dany process i wybralem zakoncz. Momentalnie process zniknal z listy procesow niezaufanych.

4. Z ciekawosci - wszedlem na liste Przywroc w DW aby sprawdzic co stworzyl po sobie ten program:

[Aby zobaczyć linki, zarejestruj się tutaj]

Oczywiscie wpisy maja status Niezaufany i dzialac moga tylko w osobnej strefie, strefie Niezaufanej.

5. Restart komputera, po uruchomieniu, zaden nowy process nie zostaje uruchomiony, nic sie nie dzieje, zero sladow infekcji. Stworzone procesy nie maja uprawnien do samodzielnego uruchomienia.
***

Wg. autora programu server.exe:

Cytat:
Program zapisuje się do rejestru HKLMsoftwaremicrosoftwindows.

A następnie kopiuje się do windows/system jako plik ALG.exe(poprawna ścieżka tego pliku to windows/system32)

program posiada wbudowany binder dzięki czemu jego instalacja w systemie nie wzbudza podejrzeń, po uruchomieniu serwera trojan uruchamia bindowany plik i jednocześnie instaluje się w ukryciu ,niewidoczny na liście procesów,niewykrywalny przez starażników rejestru,omija WSZYSTKIE firewalle

Myśle ze kolejny mit zostal obalony (busted), jak widac powyzej zarowno fw jak i wbudowany w niego hips informowal o kazdej czynnosci jaka chcial wykonac ten program.

nic dodać nic ująć świetna analiza

Creer analiza profesjonalna Ja wysłałem te pliki do Aviry ciekawe co powiedzą.
A co to jest przestrzeń OLE? OA to jak widać bdb firewall, a czy darmowa wrersja OA ma hips?

Plati napisał(a):Creer analiza profesjonalna Ja wysłałem te pliki do Aviry ciekawe co powiedzą.
A co to jest przestrzeń OLE? OA to jak widać bdb firewall, a czy darmowa wrersja OA ma hips?

ma ale okrojony, lepiej dodać do tej konfiguracji DefenseWall i jest gites

polak900 napisał(a):

Plati napisał(a):Creer analiza profesjonalna Ja wysłałem te pliki do Aviry ciekawe co powiedzą.
A co to jest przestrzeń OLE? OA to jak widać bdb firewall, a czy darmowa wrersja OA ma hips?

ma ale okrojony, lepiej dodać do tej konfiguracji DefenseWall i jest gites

nie chcę płacić, więc się zapytałem o OA Free.

nie ma co się zastanawiać !!Jest to najlepszy darmowy firewall!!Ciekawe czy go kiedykolwiek spolszczą?!

za defense wall bym zapłacił a online armor free bym zainstalował bez hipsa
tak ja bym zrobił i się zastanawiam nad zmianą firewalla chociaz mój CIS działa bardzo dobrz

A ja sobie właśnie zainstalowałem Spyware Terminator który też ma HIPS-a

Dozamet1 napisał(a):nie ma co się zastanawiać !!Jest to najlepszy darmowy firewall!!Ciekawe czy go kiedykolwiek spolszczą?!

Chciałbym aby go spolszczyli. Może się ktoś zapyta kiedy planują wydanie wersji polskiej?

Pablosss ja bym nie ryzykował. Kiedyś ten program był na liście wątpliwej reputacji -

[Aby zobaczyć linki, zarejestruj się tutaj]

Plati napisał(a):Pablosss ja bym nie ryzykował. Kiedyś ten program był na liście wątpliwej reputacji -

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak wiem, ale to już przeszłość. Teraz program jest już bezpieczny.

Ale juz nie jest na tej liscie!Creer jest najlepszym zrodlem informacji na temat OA ale jak niedawno pisal nic nie slychac o polskiej wersji!

Pablosss napisał(a):

Plati napisał(a):Pablosss ja bym nie ryzykował. Kiedyś ten program był na liście wątpliwej reputacji -

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak wiem, ale to już przeszłość. Teraz program jest już bezpieczny.

W 100% nigdy nie wiadomo.

Avira jednak uważa tego trojana za wirusa - Dear Sir or Madam,

Thank you for your email to Avira''s virus lab.
Tracking number: INC00272581.

We received the following archive files:
File ID Filename Size (Byte) Result
25277962 1337 trojan demo.rar 33.23 KB OK

A listing of files contained inside archives alongside their results can be found below:
File ID Filename Size (Byte) Result
25277349 1337_trojan_demo.exe 104 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result 1337_trojan_demo.exe MALWARE

The file ''1337_trojan_demo.exe'' has been determined to be ''MALWARE''. Our analysts discovered that the file is a construction kit. The purpose of such programs is to create various malware variants. Detection will be added to our virus definition file (VDF) with one of the next updates.

Alternatively you can see the analysis result here:

[Aby zobaczyć linki, zarejestruj się tutaj]

An overview of all your submissions can be found here:

[Aby zobaczyć linki, zarejestruj się tutaj]

Please note: The detection of Spy/Adware is not available in the product "AntiVir PersonalEdition Classic". Please address specific questions to <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->

Kind regards
Avira Virus Lab

Też dostałem kilka minut temu taką odpowiedź

ale cienki ten wir

HIPS Outposta podobnie jak OA, blokuje wirusa. Nie chciałem dawać zezwól, bo ten wirus wygląda poważnie a córki używają GG. Gdybym miał Nortona, to spokojnie bym go uruchomił

Nowy wirus. Co ciekawe Nod nie wykrywa, a dużo innych antywirusów tak
pharmch.png

[Aby zobaczyć linki, zarejestruj się tutaj]

VT -

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak prześledzisz ostatnie tematy na forum MBAM to zobaczysz iż NOD ma chyba ostatnio złe dni - znalazłem przypadek że 25 skanerów widziało syfa a NOD nie

Pablosss właśnie znalazłem paczkę 3 wirusów niewykrywalnych jak na razie -

[Aby zobaczyć linki, zarejestruj się tutaj]

Na razie ich nie wysyłam do labu Aviry, pobawcie się nimi