Paczki, malware, złośliwe pliki, linki itp.

[KaMiL]

No virugen, postarałeś się
Piotrek, mogę ja sprawdzić Emsi? Dzisiaj znowu wyjeżdzam

[virugen]

No virugen, postarałeś się

No zebrałem się ostatecznie

[Piotrex44]

EAM 5.1:
1- nie działa
2- nie działa
3- blokuje
4- blokuje
5- blokuje
6- wpuszcza,plik nie da się uruchomić (fp)
7- blokuje przy uruchomieniu (kwarantanna)
8- nic się nie pobiera z tego linka

[Eugeniusz]

Ty masz w końcu EAM 5 czy 6 beta?

[Piotrex44]

EAM 5.1 na virtualu, a w realu beta..

[KaMiL]

Dzięki Piotrek

[Eugeniusz]

EAM 5.1 na virtualu, a w realu beta..

o_0 powinno być odwrotnie, beta to beta i błędy się zdarzają.

[Piotrex44]

no ale w końcu nie zawsze wszystkie błędy wyjdą na virtualu a dodatkowy plus to, to że testuje się aplikacje nie musząc uruchamiać virtuala..
Beta już działa całkiem przyzwoicie a gdyby nawet coś nie tak poszło to zawsze arconis pod ręką...

Edit:
Jednak podmiankę zrobiłem bo beta ma problemy z aktualizacją co jest uciążliwe...

[tommyklab]

Dodano: 01 sie 2011 14:32

tommy504 pisze:ale mógłby coś wrzucać, najlepiej świeży towar

Dodano: poniedziałek, 25 lipca 2011, 23:20

Piotrex44 pisze:Emsisoft 9/10
KIS 2012 3/10
FIS 2012 7/10
MBAM 7/10



KIS2012 3 i 4:

Kod: Zaznacz cały
Hello,

flv_media_patch_711_full.exe_ - Trojan-Ransom.Win32.HmBlocker.ezd,
jelly.exe_ - Trojan.Win32.Llac.aejn,
NvCpI.exe_ - Trojan-Downloader.Win32.VB.akna,
Postal_De_Amor.swf.exe_ - Backdoor.Win32.Ruskill.agt

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Guntoy8130.exe_, mercuryarc.exe_, pos71c.exe_

No malicious code were found in these files.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.



Wychodzi 7/10. A Emsi znowu 2 FP na 10 próbek Wiesz już chyba dlaczego Emsi przoduje w %

FIS, MBAM - dobrze.

bez złośliwości oczywiście @piotrex



Jeszcze pełny tydzień nie miną no a z tych 3 czystych co Ci Kaspersky pisał już 1 wykrywa..
Jak to jest Tommy:
-Czy oni narażają użytkowników pisząc że to czysty plik a po paru dniach okazuje się że jednak nie.
-Czy po prostu olewają użytkowników robiąc ich w h...
Bo jak dla mnie to przegięcie
Wysyłam im do analizy plik-->odpisują że czysty-->uruchamiam-->i być może po moim systemie-->po kilku dniach już KIS wykrywa to zagrożenie-->dla mnie już za późno...
Postaw się w takiej sytuacji i odpisz jak możesz co o tym sądzisz??Bo ich polityka działania pakuje użytkowników w niebezpieczeństwo..
dla jasności plik:mercuryarc.exe
Virus Total

Powtórka z przeszłości, pamiętasz jak najpierw kasper nie wykrywał kilkanaście FakeAV, a na drugi dzień wykrywał? (były podpisane cyfrowo)
Zgadza się, teraz przeskanowałem tą paczkę i doszedł 1 plik, ten mercuryarc, to jest FakeAV i to w dodatku podpisany cyfrowo.

Chyba jest tak, że na początku jeśli plik jest podpisany cyfrowo to to jest priorytetem i jest uznawany za czysty. Dokładnie tak jak w domyślnych ustawieniach kaspra. Pewnie dopiero po odpaleniu tego programu HIPS by wyłapał co chce zrobić ten program.

[Aby zobaczyć linki, zarejestruj się tutaj]

FakeAV to nic groźnego tak czy siak

[morphiusz]

lol verisign jak zawsze :/

[Eugeniusz]

lol verisign jak zawsze :/

Versign złeeee, Comodo dobre <kciuk do góry>

[morphiusz]

dlaczego imputujesz cos o czym nie powiedzialem?

[Eugeniusz]

Skąd. Po prostu czasami sytuacje się odwracają. Taki mój komentarz odnośnie certyfikatów.

[Piotrex44]

czyli tak jak przywidywałem nie uzyskałem odpowiedzi tylko typu ten plik nie groźny itp.
a gdyby tak MBR lock byłby podpisany cyfrowo???
odpowiem za Ciebie Tommy: "to wtedy zablokuje HIPS.."
to tyle w temacie...Myślałem że chociaż teraz spojrzysz na tą sytuację jak zwykły użytkownik który jest obojętny na firmę AV

[tommyklab]

Ale co tu jest do pisania, taka jest polityka Kaspersky, domyślna:

[Aby zobaczyć linki, zarejestruj się tutaj]

Być może ten sam plik tylko bez podpisu cyfrowego byłby wykrywalny? nie wiem.

Inna firma, inne zasady, pewnie w Emsi jest inaczej. Ale nie używasz kaspra, więc nie wiem co jeszcze oczekujesz ode mnie w stosunku do tego pliku.
Teraz jest kilka warstw ochrony. Uświadomiony użytkownik by tego pliku nie uruchomił, bo by sobie sprawdził (jak ja wtedy sprawdzałem file advisorem), że wyszedł today i był używany przez mniej niż 10 osób, czyli jest potencjalnie niebezpieczny lub podejrzanymimo tego jego cyfrowego podpisu. I uświadomiony użytkownik powinien przeskanować jeszcze raz na VT (co by rozjaśniło sytuację), przeskanować np. anubis albo tretexpert i wysłać do labu kaspersky z prośbą o ponowne sprawdzenie.

Nie zna się pliku, nie wie się co to jest - nie uruchamiać, proste jak drut.

[Konto usunięte]

Mamy sierpień, temat zamykam.

---

Dodano: 01 sie 2011 22:48

Temat na nowo odblokowany na prośbę Tommy''ego w sprawie jeszcze jednej paczki z lipca.

[tommyklab]

283 malware z dni 30-31.07.2011 i linki:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Modka proszę o nie zamykanie tematu przez 2dni, niech wszyscy poskanują
Jutro się postaram wrzucić paczkę z dwóch dni już z nowego miesiąca.

[tachion]

EAM 5.1
266/283 94%
Avast Free
205/283 72,4% w tym znalazl tez 12 gadzin z ktorymi nic nie zrobil poniewaz archiwom jest zabezpieczone haslem i nie wliczalem tego w wynik

[tommyklab]

@piotrex, w paczce znowu jest ten gad FakeAV, z nowym podpisem cyfrowym:
oesophagus.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

kasper go nie wykrywa dziś:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Kolos28]

no to Kasprzak dostaje po tyłku bo reszta z czołówki AV wykrywa go