Meg is lett az eredménye. Az MSNSERV.EXE állomány egy Windows alatti IRCBOT backdoor program, illetve annak egy más sokadik változata.
A másik minta látszólag egy JPG képállomány volt, de valójában egy letöltő trójai programmal álltunk szemben.
Köszönjük a víruslabornak a gyors segítséget, az új adatállományokkal már sikeresen detektálhatóak a fájlok.
* * * F R I S S Í T V E * * *
Közben további kísérleteket végeztünk, immár a magyar NOD32 3.0-ás változatával. Ennek feltelepítése után lekapcsoltuk a netet, hogy ne tudjon frissülni az adatbázis, ekkor az adatbázis dátuma 2008.03.13., azaz 2945-ös volt.
Végeztünk egy kézi keresést, de ez ugyanúgy nem találta meg a két fájlt.
A keresés eredménye, ha a weben keresztül történik a letöltési kísérlet, mégis pozítiv lett a második mintával. Ez még akkor is igaz, ha a localhostről, vagyis a saját gépről szólítottuk meg a böngészővel. Figyeljük meg, hogy az adatbázis ugyanúgy a régi, március 13-i, ennek ellenére van találat.
Ami még érdekes lehet, hogy a VirusTotal alatt egyelőre a 2.7-es verzió dolgozik, a közeljövőben valamikor várható a frissülés az új, 3.0-ás programra.
narancsos (törölt) 2008.03.27. 21:49:03
sheppard 2008.03.31. 08:08:33
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 08:52:09
Szerintem sem vírus, inkább valami zavar az Outlook vagy Outlook Express körül, ugye azt használsz? Az lenne a legtutibb, ha írnál a PCWorld fórumba, szerintem ott villámgyorsan adnak rá konkrét megoldást, biztos vagyok benne, hogy már másnak is volt ilyen gondja, és tudni fogják, mi kell ehhez.
sheppard 2008.03.31. 09:02:59
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 10:16:31
hoster 2008.03.31. 15:00:50
narancsos (törölt) 2008.03.31. 17:03:07
Ha már a gépen van a vírus, akkor nem ismeri fel, de ha localhostból vagy netről töltjük le, akkor felismeri?
MSN-en, ha valaki megkapja, akkor ezekszerint ugyanúgy veszélyeztetett. Jól értem?
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 18:34:18
narancsos (törölt) 2008.03.31. 18:43:23
narancsos (törölt) 2008.03.31. 19:03:02
narancsos (törölt) 2008.04.01. 13:51:34
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.01. 16:25:57
Ez egy ilyen business. Olyan program, ami 100% mindent megtalál, sajnos nem létezik. Egyébként már azzal is segítesz, ha a VirusTotalon vizsgálódsz, hiszen ők a publikus mintákat automatikusan elküldik az AV gyártók laborjainak, hogy felvehessék az adatbázisba. Itt a blogon is sokszor mellékeltem már különféle VirusTotal eredmény riportokat, és azok között sok olyat is találsz, ahol meg éppen az AVG, az AntiVir vagy épp egy másik antivirus volt éppen pillanatnyi lemaradásban. MIndenesetre köszi a jelzéseket.
Algernon 2008.04.01. 16:53:04
Igazából nem is értem, miért nem fejlesztenek ki a vezető vállalatok (pl. eset, kaspersky) kémprogramirtókat, s miért az antivírusba integrálják...
Azt azért szeretném hangsúlyozni, hogy intelligens nethasználat mellett otthoni használatra bőven elégnek tartom az ingyenes termékeket. Főleg, ha valaki kicsit utánajár a tűzfalaknak, kémprogi irtóknak, antivírusoknak.
zoloe 2008.04.01. 16:55:31
Kérlek ilyen esetekben küldd a fájlokat a support kukac sicontact pont hu címre, jelszóval tömörítve. Így tudjuk beletetetni leggyorsabban az adatbázisba. Köszönjük együttműködésed!
hoster 2008.04.01. 18:14:07
Abszolúte egyetértek veled. Az internetet ésszel kéne használni és kész.
narancsos (törölt) 2008.04.01. 20:40:59
hoster 2008.04.02. 00:24:27
üdv,
xfaktor
Algernon 2008.04.02. 01:18:46
(Csak így zárójelben: én még a boldog békeidőkben szocializálódtam a "presp1" és kazaa idejében, amikor hiába volt vírusirtó és tűzfal a gépen, 2-3 havonta sikerült levinnem a masinát a nirvánába...Na és persze hőbörögtem, hogy mi a fenét csinál akkor a víruskergető????
A mai helyzetet azonban rosszabbnak látom. Aki ma teszi meg az első lépéseket a neten, az jó eséllyel rengeteg észrevétlen élősködőt fog összegyűjteni, és ezek sajnos komoly veszélyt jelenthetnek a pénztárcájára. Az üzlet, az üzlet...a vírusíróknak és antivírusíróknak egyaránt...
Ugyanakkor nem bántanám a nodot. Sem a főbb konkurenseit. A víruskészítők óriási előnyben vannak, hiszen a fontosabb antivírus szoftverek naprakész frissítéseit próbálgatva optimalizálhatják az új kártevőket. Threatsense ide vagy oda, így azért elég egyoldalú a küzdelem.
Ha kapnék egy 10 e Ft-os utalványt, amelyen valamilyen biztonsági terméket vehetek, tuti nem antivírusra költeném, sokkal inkább kémprogi irtóra ruháznék be. Az antispyware-ek mezőnyében jóval nagyobb a különbség az egyes termékek között mint a tűzfalak vagy vírusirtók fizetős vagy ingyenes változatai esetében.
zoloe 2008.04.02. 13:14:03
Mivel a vírusírás mára üzletté vált, nincsenek nagy víruskitörések, a készítők célja a "radar alatt repülés". Ez azt jelenti, hogy a minták lassabban érkeznek a víruslaborokba, ezért olyan technikákat kell alkalmazni, amelyek minta nélkül képesek felismerni a kártékony kódokat. A proaktív felismerés a vírusdefiníció alapján történő felismeréssel ellentétben nem egzakt tudomány. Léteznek szakértők által végzett proaktív tesztek (pl: www.av-comparatives.org/seiten/ergebnisse/report16.pdf), amelyekből látszik, hogy egy-egy ilyen új technológia mennyire hatékony - az ilyen teszteken a NOD32 szokta a legjobb összesített eredményt elérni. Az olyan esetekre, amikor a vírusíróknak mégis sikerül olyan kártevőket létrehozni, amelyek "átverik" a felismerést, csak a könnyen elérhető terméktámogatás nyújthat megfelelő megoldást (ez az ingyenes termékek esetén nem áll rendelkezésre). Így a minta gyorsan eljut a laborba, illetve segítünk megtisztítani a számítógépet és így elkerülni a további fertőzéseket.
narancsos (törölt) 2008.04.02. 15:27:35
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.02. 15:41:20