Paczki, malware, złośliwe pliki, linki itp.

[McAlex]

FakeAV - FakeVimes - Windows Expert Series

McAfee TP 2013 Beta:
448/550

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak Wasze programy na ten plik? NA vt 3 wykrycia. Po instalacji uruchamia zainfekowany proces. McAfee Beta:

[Aby zobaczyć linki, zarejestruj się tutaj]

hasło infected:

Treść widoczna jedynie dla zarejestrowanych użytkowników

[KaMiL]

Może trochę nie w temacie, ale pytanie dotyczące paczek.
Otóż wiecie, jak szybko zmienić rozszerzenia wszystkich plików z .vir na .exe?
Zauważyłem na VT, że cześć plików jest wykrywane przez herystykę F-Secure, na systemie nie. Dopiero jak zmienię rozszerzenie na .exe to F-Secure wykrywa.

[preter]

Wielokrotna zmiana nazw plików - FreeCommander, TotalCommander itp.

[KaMiL]

Tak, Total Commander poradził sobie z tym
A więc F-Secure 2013 beta po zmianie rozszerzenia na .exe

522/550 94,9%

Zauwazyłem, że F-Secure wiele wykrywa swoją heurystyką, ale dopiero po zmianie rozszerzenia na exe

Tommy, dzięki, już sobie poradziłem jak widzisz

Dla porównania wynik bez zmiany rozszerzenia 398/550

[tommyklab]

Może trochę nie w temacie, ale pytanie dotyczące paczek.
Otóż wiecie, jak szybko zmienić rozszerzenia wszystkich plików z .vir na .exe?

W TC zaznaczasz grupę szary + (duży + na numerycznej), przytrzymujesz prawy myszki i dajesz zmień nazwę i zamiast gwiazdki rozszerzenia wpisujesz exe.
Albo w TC po zaznaczeniu grupy wciskasz CTRL+M (Narzędzie wielokrotnej zamiany) i polu rozszerzenie wpisujesz exe.

Dodano: 09 lip 2012, 18:39

Zauwazyłem, że F-Secure wiele wykrywa swoją heurystyką, ale dopiero po zmianie rozszerzenia na exe

Heurystyka ala MBAM (lokalizacje, nazwy).

Powinien niezależnie od rozszerzenia wykrywać.
Niektóre pliki w paczce mogą być .dll, .scr, .sys, .ocx

[jasiekkidawa]

KIS 2013 :
511/550 ( 92,9% )

[tachion]

Trojan Simona - Killer MultiAV+rootkit
ciekawy trojan z rootkitem powodujący nie możność instalacji określonych programów antywirusowych bądź zabicie ich głównych procesów,eseta jak i avasta nie można było uruchomić<!-- s--> <!-- s-->

[Aby zobaczyć linki, zarejestruj się tutaj]

Detailed report of suspicious malware actions:

Created a service named: AeLookupSvc
Created a service named: AudioSrv
Created a service named: CertPropSvc
Created a service named: FastUserSwitchingCompatibility
Created a service named: gpsvc
Created a service named: Ias
Created a service named: IKEEXT
Created a service named: Irmon
Created a service named: lanmanserver
Created a service named: Nla
Created a service named: Ntmssvc
Created a service named: SCPolicySvc
Defined file type created in Windows folder: C:\Windows\system32\FastUserSwitchingCompatibility.dll
Defined file type created in Windows folder: C:\Windows\system32\Nla.dll
Defined file type created in Windows folder: C:\Windows\system32\Ntmssvc.dll
Defined file type modified in Windows folder: C:\Windows\system32\Ias.dll
Defined file type modified in Windows folder: C:\Windows\system32\Irmon.dll
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\DisplayName = FastUserSwitchingCompatibility
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\Parameters\ServiceDll = 43003A005C00570069006E0064006F00770073005C00730079007300740065006D00330032005C004600610073007400550073006500720053007700690074006300680069006E00670043006F006D007000610074006900620069006C006900740079002E0064006C006C000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\FastUserSwitchingCompatibility\Type = 00000020
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\DisplayName = Ias
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\Parameters\ServiceDll = 43003A005C00570069006E0064006F00770073005C00730079007300740065006D00330032005C004900610073002E0064006C006C000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ias\Type = 00000020
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\DisplayName = Irmon
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\Parameters\ServiceDll = 43003A005C00570069006E0064006F00770073005C00730079007300740065006D00330032005C00490072006D006F006E002E0064006C006C000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Irmon\Type = 00000020
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\DisplayName = Nla
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\Parameters\ServiceDll = 43003A005C00570069006E0064006F00770073005C00730079007300740065006D00330032005C004E006C0061002E0064006C006C000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Nla\Type = 00000020
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\DisplayName = Ntmssvc
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\ErrorControl = 00000001
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\Parameters\ServiceDll = 43003A005C00570069006E0064006F00770073005C00730079007300740065006D00330032005C004E0074006D0073007300760063002E0064006C006C000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\Start = 00000002
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\Ntmssvc\Type = 00000020

Treść widoczna jedynie dla zarejestrowanych użytkowników

analiza statyczno-dynamiczna

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[torello]

MSE tez wykrywa więcej dopiero po zmianie rozszerzenia...
Trojan Simona - przy wypaku

[yaslaw]

ciekawy trojan z rootkitem powodujący nie możność instalacji określonych programów antywirusowych bądź zabicie ich głównych procesów,eseta jak i avasta nie można było uruchomić

Ciekawe jak działa to w połączeniu z avastową nowo wprowadzoną usługą emergency updater....

swoją droga jak nazywa się to narzędzie którym analizowałeś tego wirusa na filmiku?

[andrzej76]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Emsi wykrywa silnikiem Ikarusa. Wysłałem do nich.

[preter]

Zauwazyłem, że F-Secure wiele wykrywa swoją heurystyką, ale dopiero po zmianie rozszerzenia na exe

Nie wiem czy w F-Secure jest taka możliwość, ale możesz dodać rozszerzenie *.vir (lub każde inne) do listy rozszerzeń skanowanych plików. Możliwe, że w jakimś stopniu to pomoże.

[tommyklab]

Paczka 265 malware 2012-07-09 by tommy:

Treść widoczna jedynie dla zarejestrowanych użytkowników

[andrzej76]

TrustPort Total Protection 2013 - 234/265 (88,3%)

[aope]

Emsisoft Anti-Malware 6.6 - 254/265 (95,85 proc.)

[McAlex]

230/265 McAfee Beta

[yaslaw]

AVG 2012
221/265 tj. 83.4%

[Borzuck]

Panda Cloud Pro 251/265 - 94,72%

[yaslaw]

Panda Cloud Beta 1.9.2
244/265 tj. 92.08 %

[Borzuck]

Panda Cloud Beta 1.9.2
244/265 tj. 92.08 %

nie wiem nadal czemu nie podajecie wyników z wirusami "nie zneutralizowanymi" - ok, teoretycznie tam zostają, ale jeśli wiesz który plik to wirus to nie wydaje mi się to problemem... generalnie jeśli przeskanujesz parę razy paczkę to będzie ich coraz mniejsza ilość, potem w folderze nawet ich nie będzie. przynajmniej ostatnio tak miałem, tą tylko zeskanowałem i wywaliłem.