Antivírus blog

vírusok, férgek, botnetek, kártevők

Magyarázzuk a mechanizmust

2007. szeptember 23. 18:46 - Csizmazia Darab István [Rambo]

Csak röviden szeretnék ezekkel foglalkozni, két cikket olvastam, és az ott leírtakkal kapcsolatban gondolatok születtek a fejemben. Az első az Index tech blogjában volt, a Skype-on terjedő féreggel kapcsolatban, ahol a Norton nem ismerte fel a férget. A cikk minden megállapításával egyetértek, egyetlen egyet kivéve - és itt jön a lényeges rész, idézek:

"Ha minden egyes új vírus leírását automatikusan letöltené a program, zavaróan gyakran töltene."



Nyilván nem is lehet és nem is érdemes minden vírusra azonnal adatbázist frissíteni, de ha van olyan új támadás, ami széleskörű, sok felhasználót érint és/vagy kiemelt veszélyességű, szerintem teljesen normális a rendkívüli adatbázis frissítés, és meggyőződésem, hogy adott esetben egy pár óránként frissülő Kaspersky vagy NOD32 nem zavarja a felhasználókat.

A másik ilyen gyöngyszem az "Egyre trükkösebbek az internetes csalók" című mfor cikkben szerepelt, idézek itt is:

"Mint a Symantec magyarországi képviseletének marketing vezetője elmondta, a cégük filozófiája szerint a vírusokat nem annyira gyorsan, mint inkább alaposan kell keresnie a szoftvereknek..."



Valahogy az jutott eszembe, hogy aki nem elég gyors, az jól megmagyarázza. Nyilván sokféle szempont játszik szerepet egy biztonsági megoldás kiválasztásánál, a megbízhatóság, a technikai és a support háttér, a reagálási idő, frissítési gyakoriság, erőforrás igény, távmenedzsment képességek, platform lefedettség, ár, és még további fontos kritériumok. Azért úgy vélem, hogy NOD32 kiemelkedő sebessége a megszerzett 45 Virus Bulletin 100% Award fényében nem ment a minőség rovására.

Nem az említett gyártó megbántása, vagy kifigurázása volt a célom - igyekszem is a jövőben nem túl gyakran ilyen esetekkel foglalkozni - hanem a sugallt megállapítások voltak olyanok, amikkel én személy szerint nem értettem egyet.
8 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr80174450

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Arki · http://www.freegamespalace.org 2007.09.25. 23:00:21

A frissítés zavaró tényezőjével abban az esetben nem értek csak egyet, ha újra kell indítani a gépet egy frissítésnél (nem tudom, hogy ez mennyire gyakori), de szimpla definicó frissítés - pláne háttérben - nem zavaró. Itt arra akartam rávilágítani, hogy az ember az operációs rendszer frissítéseit is sokszor halogatja, ha újraindítás szükséges.

Nem is tudom, talán a heurisztikára gondolt alaposság szóval - mi másra? -, de nem olvastam még olyan visszajelzést, hogy a Symantec akár abban kitünt volna, így adott egy pofont a bizonyosnak.

A 45 VB díjhoz és a gyorsasághoz gratulálok, bár nem tudom melyik után kapta meg a leggyorsabb titulust :).

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.09.26. 18:31:00

Kedves Arki!
Én is a szimpla definíció frissítésre gondoltam, és ezeknek sosem szükséges újraindítani a gépet.

A sebességnél meg csak arra gondolni, hogy savanyú a szőlő. Ebben a tekintetben egyébként újabban az AVG is hihetlen módon megerősödött.

zoloe 2007.09.28. 16:29:52

Kedves Arki!
Köszönjük szépen, már bele is került a telepítő az adatbázisba.
Eddig csak a telepítéskor kitömörített 2 fájlt fogta meg a NOD32 (heurisztikával), így már magát a telepítőt is felismeri.
Üdv:
zolo

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.09.28. 16:46:14

Kedves Arki!
Ahogy zolo már jelezte, bekerült a kártevő az adatbázisba, most ellenőriztem a VirusTotalon:
"NOD32v2 2558 2007.09.28 Win32/TrojanDownloader.Zlob.BFI"
Köszi a jelzést :-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.09.28. 19:58:15

idézet következik:
"Kedves Rambo!

Amennyire én tudom, hiába erősít be sebességben, heurisztikában a nod még mindig jobb.

Más: biztos van más módja is, de kérem segítsen eljuttatni ezt a károkozót a vírusirtókhoz:

...törölve.../download/ alatt
hqcodec4158.exe fájl

A TV2 fórumjában lévő botok bejegyzései random domain névvel - melyek először frame tartalmú oldalt töltenek be - átugrasztanak a itsgo.com oldalra, ami a rosszindulatú scripttel feltételenül fel akarja telepíttetni a fájlt a látogató gépére. A böngésző feladatkezelőből való bezárásával elkerülhető (vagy a scriptek tiltásával). Itt - tv2 fórum.. - mondjuk azt sem tudom, hogy kit kellene értesíteni.

Elemzés eredmények:
Antivirus Version Last Update Result
AhnLab-V3 2007.9.28.0 2007.09.27 -
AntiVir 7.6.0.15 2007.09.27 TR/DNSChanger.GH
Authentium 4.93.8 2007.09.27 -
Avast 4.7.1043.0 2007.09.26 -
AVG 7.5.0.488 2007.09.27 -
BitDefender 7.2 2007.09.27 -
CAT-QuickHeal 9.00 2007.09.27 -
ClamAV 0.91.2 2007.09.27 Trojan.Dropper-2644
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.27 -
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.27 -
Ikarus T3.1.1.12 2007.09.27 -
Kaspersky 7.0.0.125 2007.09.27 Trojan.Win32.DNSChanger.ph
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.27 -
NOD32v2 2554 2007.09.26 -
Norman 5.80.02 2007.09.27 -
Panda 9.0.0.4 2007.09.27 -
Prevx1 V2 2007.09.27 -
Rising 19.42.32.00 2007.09.27 -
Sophos 4.21.0 2007.09.27 -
Sunbelt 2.2.907.0 2007.09.26 -
Symantec 10 2007.09.27 -
TheHacker 6.2.6.072 2007.09.27 -
VBA32 3.12.2.4 2007.09.26 -
VirusBuster 4.3.26:9 2007.09.27 -
Webwasher-Gateway 6.0.1 2007.09.27 Trojan.DNSChanger.GH
Additional information
File size: 210275 bytes
MD5: ae009284867ab67d575313c02b5cee8a
SHA1: 4f3d548303c871e76863cf02c65de39605c7c983
packers: BINARYRES, BINARYRES

Üdv:

Arki"

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.09.28. 20:14:52

Kedves Arki!

Kénytelen voltam kitörölni, es moderálva visszamásolni a hozzászólásodat, mert úgy tűnik, a hivatkozott oldal egy új veszélyforrásnak látszik. Rendszeres időközönként (félóránként?) új exe jelenik meg rajta, és míg az előző fájlt a víruslaboratóriumnak elküldve már bekerült az adatbázisba, a még újabb exe egyelőre még ismeretlen. Több ilyen új EXE is van különböző neveken, és mintha az IP címeket is figyelné, hogy ugyanaz ne töltödjön le kétszer egy gépre.

Bár azt tapasztaltam, hogy a letöltött nagy EXE-t nem is észleli a NOD32 mindig, a benne levő állományokra már rendesen riaszt, de azért biztos, ami biztos: szeretném megelőzni, hogy az adott konkrét link által valakit baleset érjen.

Mellékelem a mostani exe VirusTotalos listáját, és még egyszer köszönöm, hogy felhívtad erre a dologra a figyelmünket.

* * * * *
A(z) hqcodec1000.exe állomány feltöltve: 2007.09.28 20:05:58 (CET)
Antivírus Verzió Utolsó frissítés Eredmény
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 TR/Dldr.Zlob.NMO
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.28 -
CAT-QuickHeal 9.00 2007.09.28 -
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.28 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.28 -
NOD32v2 2558 2007.09.28 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 -
Prevx1 V2 2007.09.28 Trojan.Nudos
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Dldr.Zlob.NMO

Arki · http://www.freegamespalace.org 2007.09.28. 22:38:26

Teljesen megértem. Egy fertőzött gép próbált meg ma MSN-en keresztül letölttetni velem egy fájlt, a variáns kifejezés alább elégséges vagy adjak konkrét linket? Persze, talán linuxos verzióhoz találni lehet mást is a link mappájánál (bluetooth hack-et olvastam, de nem jártam utána).

AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.28 -
Avast 4.7.1043.0 2007.09.28 Win32:Delf-FND
AVG 7.5.0.488 2007.09.28 Dropper.Generic.QEU
BitDefender 7.2 2007.09.28 -
CAT-QuickHeal 9.00 2007.09.28 -
ClamAV 0.91.2 2007.09.28 -
DrWeb 4.33 2007.09.28 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.28 -
FileAdvisor 1 2007.09.28 -
Fortinet 3.11.0.0 2007.09.28 -
F-Prot 4.3.2.48 2007.09.27 -
F-Secure 6.70.13030.0 2007.09.28 -
Ikarus T3.1.1.12 2007.09.28 -
Kaspersky 7.0.0.125 2007.09.28 -
McAfee 5129 2007.09.27 -
Microsoft 1.2803 2007.09.28 -
NOD32v2 2558 2007.09.28 a variant of Win32/TrojanDropper.Delf.NFJ
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.28 Suspicious file
Prevx1 V2 2007.09.28 -
Rising 19.42.42.00 2007.09.28 -
Sophos 4.21.0 2007.09.28 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.28 W32.Spybot.Worm
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.27 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 Win32.Malware.gen (suspicious)
További információ
File size: 46024 bytes
MD5: aff52cc325b0b30f928bef4a94caf1ea
SHA1: 29dbaeb566131cbc4a6910a905043d4d263d52eb

zoloe 2007.09.30. 12:20:07

Szia Arki,

Kérlek küldj linket a support kukac sicontact pont hu cimre, a nevemre. Köszönöm!