Хочу сделать краткое напоминание всем о небольших но важных вещах
В последнее время участились случаи публикации тем от авторов с 1 постом, содержащих краткую фразу и ссылку. Модераторам довольно сложно (но нужно!) проверять абсолютно все на virustotal.com
Однако даже проверка не даёт 100% гарантии чистоты файла. Почему? Потому что ехе-файл может быть закриптован должным образом и результатом проверки трояна будет 0/39
Но есть пара "примет", о которых Модераторы знать просто обязаны:
1. Если при проверке файла, выяснилось что его палит лишь 1 антивирус - Avira AntiVir - можете быть на 60% уверены что там троян. Если тот же Avira AntiVir палит, да при это и ругается на: "TR/Crypt.CFI.Gen" или "TR/VB.hpq"(пример), если там присутствует что-то вроде Crypt, VB.gen, Dropper.Generic и.т.п - можете на 90% быть уверены что этот файл закриптован криптором и содержит в себе что-то "интересное". Да, возможно алгоритмы работы Авиры далеки от идеала и порой она метит как Susp. File нормальные файлы но вот фразы, наподобии приведенных выше, обычно попадают в самую точку
2. Если Вы, проверив файл получили результат 0/39 а проверив его же через 3-7 дней получили, например, 4/39 - смело удаляйте, это тоже закриптованый файл, который постепенно начинают палить по соответствующим сигнатурам антивирусы
3. Смотрите на результаты не только по антивирусам но и по упаковщикам (Packer detected). Если есть что-нибудь вроде OpenCryptor, ExeCryptor и.т.п - файл криптован. А зачем? Скорее всего для сокрытия от Ваших глаз чего-то важного
Выводы: внимательно смотрим на результаты проверки (Susp file и Win32/Injector это две очень большие разницы). Проверяем файлы несколько раз (первый раз выложили - проверка, через неделю - опять). Смотрим на детект упаковщиков - наличие в каком-нибудь боте для PW пакера OpenCryptor (пример) говорит прямо о наличии вируса
Последний раз редактировалось Zhyk; 22.03.2009 в 17:44.
Аналог вирустотал.ком - [Ссылки могут видеть только зарегистрированные пользователи. ]
Также думаю нужно банить по IP тех личностей что выкладывают данный софт напичканный троянами. Особенно это касается тех людей у которых счётчик постов стремится к нулю.
Сразу банить по айпи без разбора не надо, ибо автор может не догадываться о вирусе в выкладываемом им файле. Обычно делают так - нашли что то интересное - отпостили, а про вирусы никто не вспоминает.
Вот ещё)
[Ссылки могут видеть только зарегистрированные пользователи. ]
Только там зараженные файлы не проходят дополнительные исследования, как на вирустотале. Это значит, что непалящийся криптор так же будет не палится через неделю.
Желательно так же скачать [Ссылки могут видеть только зарегистрированные пользователи. ]
Им открыть экзэшку и через плагин unpacker попробовать распаковать.
Вот этого я вообще не понял... добровольно открывать хз что и подвергать тачку опасности... Тем более отчет пейда есть на вирустотале О_о Спрашивается зачем весь гемор перекладывать на себя? О_о
Просьба не писать мне в ЛС по поводу того, что что-то не работает/выложить тему из подполья/рассказать о последних багах, читах, глюках. Не отвечу! Задавайте конкретные вопросы. Чем смогу - тем помогу. И в теме указывайте суть вопроса, а то смотреть вообще не буду - удалю и все.
__________________
Предоставляю услуги Гаранта/Проверяющего. Все подробности здесь.
Связь только через ПМ. В теме писать "Гарант/Проверка".
__________________
Вот этого я вообще не понял... добровольно открывать хз что и подвергать тачку опасности... Тем более отчет пейда есть на вирустотале О_о Спрашивается зачем весь гемор перекладывать на себя? О_о
Ну можно открывать из песочницы, как вариант, и вдруг там чего интересного можно найти ...
________________
Благодарности принимаю в виде пива и денег.Торты и конфеты не пью!
Регистрация: 24.01.2008
Сообщений: 891
Популярность: 123175
Золото Zhyk.Ru: 1 
Сказал(а) спасибо: 864
Обзор вирусной активности на Zhyk.Ru!
.
