Paczki, malware, złośliwe pliki, linki itp.

[lukmaciej]

i za to lubię Was i Wasze forum, do wszystkiego podchodzicie z profesjonalizmem
Miło być w grupie z taki ludźmi. Piona dla Wszystkich

[tachion]

[Aby zobaczyć linki, zarejestruj się tutaj]

jeszcze ta pierwsza

[Aby zobaczyć linki, zarejestruj się tutaj]

[Adi Cherryson]

Emsi cisza. Ochrona www wydaje mi się tragiczna niestety.

W tym przypadku raczej nie. U mnie EAM też milczał, tylko MBAM zablokował połączenie z

[Aby zobaczyć linki, zarejestruj się tutaj]

. Ale jak widać to nie jest szkodliwe.
Ale coś jest na rzeczy z ochroną www przez EAM. W tych swoich testach nie miałem jeszcze żadnego komunikatu. Tylko MBAM blokuje dostęp. EAM milczy jak grób...

[andrzej76]

Emsi cisza. Ochrona www wydaje mi się tragiczna niestety.

On nie ma typowej ochrony www , blokuje tylko podejrzane hosty i połączenia, więc się nie dziw zbytnio.

AVG IS 2012 -530/600 (88,3%)

[McAlex]

Tia tylko tu już żaden nie wyłapuje

[Aby zobaczyć linki, zarejestruj się tutaj]

i tu dotyczące

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

i to

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

tak więc ciekawe co na tą gadzinę która jest przepakowana inne laby

Wszystkie linki Nod32 blokuje.

[torello]

Treść widoczna jedynie dla zarejestrowanych użytkowników

W tej paczce ludzie z Microsoft MPC znaleźli już jeden fals positive: plik folmulario.exe
Na VirusTotal = 32/42
Tak więc po poprawce (ilość 69) wykrywalnośc MSE55/69 = 79.71%

Na dowód, że to fakt zamieszczam info od MPC (skrócony)

Status:Analysis Completed

formulario.exeNot Malware

Analysis Completed: Jun 19, 2012 12:30 PM UTC
Preliminary Result Available: Jun 19, 2012 12:00 PM UTC
Under Active Investigation: Jun 19, 2012 08:53 AM UTC
Received: Jun 19, 2012 08:41 AM UTC
Submission Comments: detection by the scanner VirusTotal = 32/42

Przy okazji widać, ze ładnie pracują, nie obijają się, zwłaszcza że zaznaczyłem niski priorytet akcji

[KaMiL]

Jak plik, który ma wynik 31/41 na VT może być fałszywym alarmem? Jakie jest prawdopodobieństwo?...

[tachion]

Nie tylko na tej stronie widzi nod zagrożenie tu też widzi problem

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

F-Secure 2013 teraz
70/70

[torello]

F-Secure 2013 teraz
70/70

proszę wyślij ten plik formulariodo analizy do labu F-Secure

[F4z]

Ja wysłałem ten plik formulario.exe do analizy do Kasperskiego i dostałem taką odpowiedź:
Najpierw odpowiedź automatu:
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

formulario.exe - Trojan.Win32.Jorik.IRCbot.mxd

At the moment this file is detected with the latest antivirus bases.

Best Regards, Kaspersky Lab

A potem już od analityka wirusów:
Hello,

There is not a false alarm.

Regards, Ivan Akimov,
Virus Analyst

[torello]

No to mamy szach!
Rozwiązanie może być takie: MPC podaje info, że nie jest to malware, czyli teoretycznie nie nastąpi infekcja i nie wyrządza szkody.
Kaspersky stwierdza, że to nie jest fałszywy alarm, ale nie ma wprost, że jest to szkodliwy kod
Ciekawe kto ma rację.
Jedynym rozwiązaniem jest by jak najwięcej labów zbadało ten plik. Proszę, wysyłajcie!

[F4z]

Ale tam jest napisane, że Kaspersky wykrywa plik formulario.exe jako Trojan.Win32.Jorik.IRCbot.mxd, więc moim zdaniem stwierdza, że jest to szkodliwy plik.

[KaMiL]

No to mamy szach!
Rozwiązanie może być takie: MPC podaje info, że nie jest to malware, czyli teoretycznie nie nastąpi infekcja i nie wyrządza szkody.
Kaspersky stwierdza, że to nie jest fałszywy alarm, ale nie ma wprost, że jest to szkodliwy kod
Ciekawe kto ma rację.
Jedynym rozwiązaniem jest by jak najwięcej labów zbadało ten plik. Proszę, wysyłajcie!

Nie za bardzo Ciebie rozumiem...Jeśli Kaspersky ma ten plik w bazie i ma sygnaturę to oznacza to, że ma on szkodliwy kod wg. Kasperkyego (i nie tylko wg. niego )...

Uczepiłeś się tej próbki, a czy aż 30 skanerów się myli? Nie wierz tak ślepo Microsoftowi

[torello]

dlatego wkleiłem emotiona
Swoją drogą jeśli to prawda, ze jakiś analityk się pomylił, to podważa to zaufanie na maksa do takiego labu i poziomu profesjonalizmu a w końcu do samego softu :/
Dlatego proszę wysyłajcie do analizy: wynik VirusTotal nie jest taki pewny, fałszywe alarmy się zdarzają, choć w takiej liczbie to rzeczywiście dziwne.. wysyłajcie!

[tachion]

Hmm,Eset kiedyś z bazą się walną i też nieszkodliwy kod wykrywał jako szkodliwy po następnej aktualizacji wszystko wróciło do normy<!-- s--> <!-- s-->

Dodano: 19 cze 2012, 20:19

A odnośnie tego formulario.exe nic gadzina nie wykonuje nie łączy się z żadnymi adresami nie dodaje się do autostartu,nie ma zmian w rejestrze w hoście itd.dosłownie pustka w logach to win7a w xp tworzy kopie samego siebie w C:\Documents and Settings\Administrator\Dane aplikacji o nazwie 4A.tmp reszta jak wyżej być może to działało kiedyś tylko potrzebowało połączenia z określonym adresem,bądź jakieś specyficzne warunki<!-- s--> <!-- s-->

[torello]

a moze by tak dokleić nowy temat, np. False Positive czy jakoś tak.
W tym temacie można by pisać o takich przypadkach z podaniem linka do paczki z której wyłowiono fałszywy alarm. Co wy na to?
Wysyłam systematycznie pliki, których nie wykrył MSE. następny już okazał się niewykrytym przez MSE, mam nadziję, że juz piszą sygnaturkę
pozostało jescze kilkanaście. zobaczymy.

Odnośnie tego, co napisał tachion. Zgadzało by się to z najkrótszą definicją "malware": program wykonywalny, który jest w stanie wykonac określone szkodliwe działanie w systemie. Tak więc kod złośliwego programu, który jest zapisany gdzieś w definicjach i sygnaturach, a nie jest w stanie wykonać założonych instrukcji, w rzeczywistości nie będzie malware. Mozna go co najwyżej zaliczyć do "remnants" (resztki) , "residues" (pozostałości) lub "traces" (ślady). To miałoby sens. Pytanie tylko kto ma rację i kto się nie pomylił w analizie?

[myciu1974]

formulario.exe :u mnie stworzy c \user\...\app data\roaming\

Treść widoczna jedynie dla zarejestrowanych użytkowników

Po wylączeniu ochrony w Emsi i Guard w Online Armor

[Waves]

142 malware od Tachiona & Waves97

Treść widoczna jedynie dla zarejestrowanych użytkowników

Dodano: 19 cze 2012, 22:42

Emsisoft AM - 125/142 88%
Nice

[andrzej76]

AVG IS 2012 - 106/142 (74,6%)


5 plików na VT z wynikem 1,2,3/42.

Reszta poszła do labu.