Olvasóink küldték - Frissítve!!!

2008. március 31. 16:43 - Csizmazia Darab István [Rambo]

Narancsos kolléga gyűjtéséből kaptunk két különböző kártevőt. Igyekeztünk segíteni és továbbítani őket az ESET víruslaboratóriumába.



Meg is lett az eredménye. Az MSNSERV.EXE állomány egy Windows alatti IRCBOT backdoor program, illetve annak egy más sokadik változata.



A másik minta látszólag egy JPG képállomány volt, de valójában egy letöltő trójai programmal álltunk szemben.



Köszönjük a víruslabornak a gyors segítséget, az új adatállományokkal már sikeresen detektálhatóak a fájlok.

* * * F R I S S Í T V E * * *

Közben további kísérleteket végeztünk, immár a magyar NOD32 3.0-ás változatával. Ennek feltelepítése után lekapcsoltuk a netet, hogy ne tudjon frissülni az adatbázis, ekkor az adatbázis dátuma 2008.03.13., azaz 2945-ös volt.



Végeztünk egy kézi keresést, de ez ugyanúgy nem találta meg a két fájlt.





A keresés eredménye, ha a weben keresztül történik a letöltési kísérlet, mégis pozítiv lett a második mintával. Ez még akkor is igaz, ha a localhostről, vagyis a saját gépről szólítottuk meg a böngészővel. Figyeljük meg, hogy az adatbázis ugyanúgy a régi, március 13-i, ennek ellenére van találat.



Ami még érdekes lehet, hogy a VirusTotal alatt egyelőre a 2.7-es verzió dolgozik, a közeljövőben valamikor várható a frissülés az új, 3.0-ás programra.
21 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

narancsos (törölt) 2008.03.27. 21:49:03

Én köszönöm, hogy tudtam segíteni. Remélem sokaknak detektálja, mivel MSN-es körökben eléggé elterjedt ez a féreg, úgy látom.

sheppard 2008.03.31. 08:08:33

Szia Rambo. Egy kérdésem lenne. Windows Xp indításakor, kiírja, hogy 3 olvasatlan üzenet a fiókomnál. Biztos nem emailre gondol :) Feltettem az új 3-as nod trialt, frissítettem. Normál ellenőrzés, és semmi :(

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 08:52:09

Hello Shephard!
Szerintem sem vírus, inkább valami zavar az Outlook vagy Outlook Express körül, ugye azt használsz? Az lenne a legtutibb, ha írnál a PCWorld fórumba, szerintem ott villámgyorsan adnak rá konkrét megoldást, biztos vagyok benne, hogy már másnak is volt ilyen gondja, és tudni fogják, mi kell ehhez.

sheppard 2008.03.31. 09:02:59

Szia, nem használok semmi ilyen mail progit. Kizárólag webalapú oldalakon nézem meg a leveleimet. Azért köszi.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 10:16:31

Egyetlen ötletem van még: esetleg az MSN postafiókodban található olvasatlan üzenetekre figyelmeztet.

hoster 2008.03.31. 15:00:50

Igen, az MSN fiókod lesz az.

narancsos (törölt) 2008.03.31. 17:03:07

Ez érdekes :)
Ha már a gépen van a vírus, akkor nem ismeri fel, de ha localhostból vagy netről töltjük le, akkor felismeri?
MSN-en, ha valaki megkapja, akkor ezekszerint ugyanúgy veszélyeztetett. Jól értem?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.03.31. 18:34:18

Szerintem ez azt jelenti, hogy internetezés közben a legerősebb a védelem. Ez csak egy kísérlet volt, olyasmi, mint amikor a heurisztát próbára teszik, és direkt régi adatállománnyal néznek meg új kártevőket. De a naprakész, frissített adatbázissal - ahogy azt mindannyian használjuk a napi életben - mindkettőt megfogja kézi keresésben és röptében is.

narancsos (törölt) 2008.03.31. 18:43:23

Értem. Az tény, hogy a legújabb adatbázissal már felismeri minden körülmények között, és ez a lényeg.

narancsos (törölt) 2008.03.31. 19:03:02

Van egy másik vírusom amit nem ismert fel a NOD32. Küldöm a mail címedre.

narancsos (törölt) 2008.04.01. 13:51:34

Megint szereztem egy másikat, amit nem ismert fel, de AVG, AntiVir eddig mindet felismerte. Kezdek pipa lenni. Küldhetem azt is?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.01. 16:25:57

Hello!
Ez egy ilyen business. Olyan program, ami 100% mindent megtalál, sajnos nem létezik. Egyébként már azzal is segítesz, ha a VirusTotalon vizsgálódsz, hiszen ők a publikus mintákat automatikusan elküldik az AV gyártók laborjainak, hogy felvehessék az adatbázisba. Itt a blogon is sokszor mellékeltem már különféle VirusTotal eredmény riportokat, és azok között sok olyat is találsz, ahol meg éppen az AVG, az AntiVir vagy épp egy másik antivirus volt éppen pillanatnyi lemaradásban. MIndenesetre köszi a jelzéseket.

Algernon 2008.04.01. 16:53:04

Egyetértek Ramboval. Nekem abban a "szerencsében" van részem, hogy a munkahelyi email címemre napi 100-150 spam érkezik (na jó, hétvégén általában több :) ), s a symantech által átengedett gyanús dolgokat megvizslatom a virustotalon. Nem merném kijelenteni, hogy szignifikáns különbség van a népszerűbb termékek között. Persze azért, én is úgy látom, hogy van egy élményezőny...(inkább az ár-érték arányokon lehetne vitatkozni...)Ja, és olvasgatva a régebbi posztokat is, nem igazán értek egyet azokkal, akik csak fizetős (azok közül is csak 1-2) vírusirtóval mernek kimenni a netre...Úgy látom, hogy a vírusirtók harcának harcmezejét már nem a férgek felismerési képessége jelenti, hanem az egyre profibb kémprogramok kiszűrése. Ezen a területen pedig messze vannak a tökéletestől...
Igazából nem is értem, miért nem fejlesztenek ki a vezető vállalatok (pl. eset, kaspersky) kémprogramirtókat, s miért az antivírusba integrálják...
Azt azért szeretném hangsúlyozni, hogy intelligens nethasználat mellett otthoni használatra bőven elégnek tartom az ingyenes termékeket. Főleg, ha valaki kicsit utánajár a tűzfalaknak, kémprogi irtóknak, antivírusoknak.

zoloe 2008.04.01. 16:55:31

Szia narancsos!

Kérlek ilyen esetekben küldd a fájlokat a support kukac sicontact pont hu címre, jelszóval tömörítve. Így tudjuk beletetetni leggyorsabban az adatbázisba. Köszönjük együttműködésed!

hoster 2008.04.01. 18:14:07

@Algernon!
Abszolúte egyetértek veled. Az internetet ésszel kéne használni és kész.

narancsos (törölt) 2008.04.01. 20:40:59

Én is ésszel használom, de nem mindenki ért a számítógéphez meg kell hogy mondjam. Antivírus nélkül is meglennék, de fontosnak tartom azt, hogyha valaki kifizet 10 000Ft-ot egy vírusírtóért, akkor meg kapja azt amiért fizetett. NOD32 nem kicsi cég, biztos van bevétele, de az utóbbi időben 4 vírussal találkoztam, ami a "legnépszerübb" csevegő programon keresztűl terjed, és nem ismerte fel. Az tény, hogy a NOD32 supportja gyors, és másnapra benne is volt a vírusadatbázisban a vírus amit küldtem. Az MSN nem hibás, hanem azok az emberek akik megnyitják a kapott fájl(oka)t. A spyware-ekről meg annyit, hogy többsége az interneten található, de az emberek jelentős része fel sem megy a netre, hanem különböző csevegőprogramokat használ inkább. Rengeteg ilyen embert ismerek, és azok jelentős része nem nagyon ért a géphez, ezért elfogadnak mindenféle fájlokat, de ha nincs megfelelő védelmük több, mint 10 000Ft-ért? Én elhiszem, hogy a NOD32 eléggé kiemelkedik a többi neves gyártó közül, de akkor is nevetséges, hogy 4 vírust eddig lazán beengedett. Hol van a ThreatSense ilyenkor?

hoster 2008.04.02. 00:24:27

Az emberek jelentős része nem azért kattint a hírtelen előugró linkekre, mert nem ért a számítógéphez, hanem azért mert naiv és figyelmetlen. Nem mondom, van abban igazság, amit mondasz, éppen ezért szükségesnek is tartom az antivírus használatát, de 100%-os megoldás nem létezik, hiszen ebben a gépezetben maga a felhasználó a leggyengébb láncszem. Úgy gondolom, hogyha a meglévő biztonsági szoftverek használata mellet az emberek is odafigyelnek, mire klikkelnek, akkor nagy baj nem történhet.

üdv,
xfaktor

Algernon 2008.04.02. 01:18:46

Valahol én narancsos koma nézetét is osztom. Ha úgy dönt valaki, hogy beruház egy internet security-be, szétnéz az egyes forgalmazók honlapján, jobbnál jobb, tökéletesebbnél tökéletesebb, díjnyertesebbnél díjnyertesebb, stb. terméket talál. A termékhez kapcsolódó kommunikáció (na és ár) alapján talán joggal várja el, hogy pár hét nethasználat (na persze az átlagosnál némiképp "kalandvágyóbb" nethasználat) után a gépe ne hasonlítson egy virtuális kártevőgyűjteményre. Csalódni fog.
(Csak így zárójelben: én még a boldog békeidőkben szocializálódtam a "presp1" és kazaa idejében, amikor hiába volt vírusirtó és tűzfal a gépen, 2-3 havonta sikerült levinnem a masinát a nirvánába...Na és persze hőbörögtem, hogy mi a fenét csinál akkor a víruskergető????
A mai helyzetet azonban rosszabbnak látom. Aki ma teszi meg az első lépéseket a neten, az jó eséllyel rengeteg észrevétlen élősködőt fog összegyűjteni, és ezek sajnos komoly veszélyt jelenthetnek a pénztárcájára. Az üzlet, az üzlet...a vírusíróknak és antivírusíróknak egyaránt...
Ugyanakkor nem bántanám a nodot. Sem a főbb konkurenseit. A víruskészítők óriási előnyben vannak, hiszen a fontosabb antivírus szoftverek naprakész frissítéseit próbálgatva optimalizálhatják az új kártevőket. Threatsense ide vagy oda, így azért elég egyoldalú a küzdelem.

Ha kapnék egy 10 e Ft-os utalványt, amelyen valamilyen biztonsági terméket vehetek, tuti nem antivírusra költeném, sokkal inkább kémprogi irtóra ruháznék be. Az antispyware-ek mezőnyében jóval nagyobb a különbség az egyes termékek között mint a tűzfalak vagy vírusirtók fizetős vagy ingyenes változatai esetében.

zoloe 2008.04.02. 13:14:03

@narancsos
Mivel a vírusírás mára üzletté vált, nincsenek nagy víruskitörések, a készítők célja a "radar alatt repülés". Ez azt jelenti, hogy a minták lassabban érkeznek a víruslaborokba, ezért olyan technikákat kell alkalmazni, amelyek minta nélkül képesek felismerni a kártékony kódokat. A proaktív felismerés a vírusdefiníció alapján történő felismeréssel ellentétben nem egzakt tudomány. Léteznek szakértők által végzett proaktív tesztek (pl: www.av-comparatives.org/seiten/ergebnisse/report16.pdf), amelyekből látszik, hogy egy-egy ilyen új technológia mennyire hatékony - az ilyen teszteken a NOD32 szokta a legjobb összesített eredményt elérni. Az olyan esetekre, amikor a vírusíróknak mégis sikerül olyan kártevőket létrehozni, amelyek "átverik" a felismerést, csak a könnyen elérhető terméktámogatás nyújthat megfelelő megoldást (ez az ingyenes termékek esetén nem áll rendelkezésre). Így a minta gyorsan eljut a laborba, illetve segítünk megtisztítani a számítógépet és így elkerülni a további fertőzéseket.

narancsos (törölt) 2008.04.02. 15:27:35

Elolvastam mindenki hozzászólását. No komment. Szerintem kitárgyaltuk. A további vírusokat, amiket nem ismer fel, azokat melyik e-mail címre küldhetem?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.04.02. 15:41:20

A legjobb, ha a support kukac sicontact pont hu címre, és jelszóval tömörítve. Köszi :-)
süti beállítások módosítása