[xoxmodav]

Я прекрасно знаю для чего создаются и нужны кейгены (и в большинстве случаев - далеко не для распространения вирусов), да и других способов распространения вирусов в настоящее время хватает, но вопрос стоял немножко по-другому.

[Greyman]

xoxmodav
Дык объявления читать неприянто? Есть же специально в разделе висит:
On-line проверка файлов на вирусы сразу несколькими антивирусами

[xoomer]

xoxmodav
Bit Defender 8 (sign. 28.04.2007 17:10:10): No viruses found.

[dmitryst]

AVG Free не нашел ничего (версия 7,5,467 база 269,6,1/778 от 27,04,02007 13:39)

[Erekle]

Symantec, AVZ, AVG Anti-Spyware (его аналог Ewido присутствует на ВирусТотал-е постоянно) не нашли ничего. Обновления - час назад.
__________________________________________________________________

Очень интересный вопрос. Недавно, например, заинтересовало: когда антивирус ругается на бэкдор в отношении легальной программы для уд. администрирования/наблюдения, а у меня нет полной уверенности в производителе - что он, антивир, имеет в виду - легальный бэкдор или скрытый от пользователя, какой там может иметься теоретически.

Packed.Win32.CryptExe - в расчёт принимать конечно не стоит, никакой это не вирус.

Цитата:

The "Packed.Win32.CryptExe" message indicates to me that the KAV engine is currently unable to unpack objects that were encrypted/packed with EXEcrypt, and thus is forced to report the object as simply "packed" with "X" software.

VIPRE - только движок Субнелта для детектирования. У этого механизма имеются подозрения.
Остальные тоже говорят, что подозрителен, и один конкретизирует, из-за чего: DNAScan. Но DNAScan обычно выскакивает при наличии определённых упаковщиков и не свидетельствует, что имеем дело с вирусом.
И один определяет: Virus.Win32.FileInfector.gen. Это имя встречается на (не самых выдающихся) форумах, в таком же обсуждении - подозрителен или нет. Но castlecops.com утверждает, что аналоги определяемого вируса имеются под другим именем: IRC/Flood.ev (McAfee) и/или Troj/Zapchas-AR (Sophos)

Цитата:

Trojan.Zapchast.AU is a backdoor trojan for Windows platforms. Users receive a spoofed email, which claims to be an online postcard from a friend. The message provides a link to a malicious executable. The malware is a self-extracting RAR archive containing a mIRC application. One of the files is also infected with the file infector virus Win32.Parite

И по сценарию вредоносец должен делать следующее:

Цитата:

Troj/Zapchas-CR creates the following files in the C:\WINDOWS\system\ folder: nicks.txt --- aliases.ini --- control.ini --- mirc.ini --- remote.ini --- script.ini --- servers.ini --- users.ini --- sup.bat --- svchost.exe --- mirc.ico --- sup.reg Troj/Zapchas-CR also creates the following folders in the C:\WINDOWS\system\ folder: download logs sounds The file svchost.exe is a clean mIRC application. The files script.ini and mirc.ini are also detected as Troj/Zapchas-CR. The remaining files are clean and may be deleted. After these files have been installed, svchost.exe is executed, causing it to connect to a preconfigured IRC server and join a channel in which a remote attacker can control the infected computer.

Почему-то думается, что всё это не имеет место. Идём дальше к Win32.Parite, например, http://www.viruslist.com/ru/viruslist.html?id=4420
По сценарию, "вирус ищет Win32 PE EXE файлы с расширениями .exe и .scr на логических дисках компьютера, а также в ресурсах локальной сети, и заражает их."
И что, все заражены?
Ещё на castlecops.com имя Virus.Win32.FileInfector.gen пересекается с:

Цитата:

W32/Warezov.gen3!W32DL Downloader.Generic3.NXY W32/Small.ME!tr.dldr W32/DLoader.CCNB New Malware.bx W32/Spamta.TG.worm Win32.Malware.gen VIPRE.Suspicious Downloader

То есть - или разные имена от производителей малоизвестных программ, или опять обще-неопределённое, или не совпадающие по поведению, или конкретно какой-то червь, - но симптомы с Virus.Win32.FileInfector.gen не совпадают.
Таким образом, единственное точно указанное на ВирусТотал-е имя/определение приводит до недоразумения.

Хотя DNAScan DNAScan-у рознь. Тот же CAT-QuickHeal месяц назад определил у меня файл как "(Suspicious) - DNAScan", а остальные на вирустотал-е говорили - подозрителен. Один признал в нём "диалера". Но эта программка и была трояном: она прописала себя в исключениях "стенки" и скрывалась довольно ухищрённо. Речь о программе Update.exe, аналог которого, как говорилось в Общем разделе, в начале апреля создал проблемы пользователям форума (то же имя, скрывался тоже на десктопе).
__________________________________________________________________

Описание на ВирусЛист-е - серьёзно. Но я не додумываюсь, какое отношение имеет "аналог", приведённый там под разными именами, к Packed.Win32.CryptExe.

Цитата:

Поведение Virus, компьютерный вирус У данной программы пока нет описания.

И мол, помогут аналоги. Но у аналогов есть описание поведения, у Packed.Win32.CryptExe - нет. И раз так, откуда уверенность, что он ведёт себя как вирус?

Вообще-то, когда какой-то известный борец с заразой указывает точно на что-то, я такой файл не сохраняю и убираю. Хотя если нужно, можно и запустить его, узнать интересующееся, а потом удалить. Это - если точно знаем, что он конкретно вытворяет.

В данном случае - у "аналогов" Packed.Win32.CryptExe замечено:
1) стремление открывать доступ врагу, затаившемуся за дверями. В одном случае поведение типичного бекдора и имя создаваемого файла известно -

Цитата:

Copies itself as System.exe to either the %Windir% or the %System% folder http://www.symantec.com/security_res...358-99&tabid=2

2). замечено отсутствие поведения:

Цитата:

As this is a generic detection, specific details are not possible

(здравствуйте на здоровье) 3) замечены свойства червя, замахивающегося на звание бекдора-трояна-вируса:

Цитата:

Worm.Mytob.IS • Blocks access to security websites • Disable security applications • Uses its own Email engine • Registry modification • Third party control

И это всё в кейгене? Но на ВирусЛист-е подобный стандартный набор выдаётся всегда, когда речь заходит о Packed.Win32.CryptExe. Притом - в расширительном толковании, что может навести на мысли. Например, такой же набор - в связи с крекнутым приложением ArchiCAD и креком-dll для него же (чтобы не регистрироваться - "сохранено в кеше". Они одинаково "заражены", но за полгода выключить приложения по безопасности почему-то не пытались.

И вообще... А) Устранение спецсредств. Это-то к чему зловреду, собирающемуся действовать скрытно вроде троянского коня? Б) как совпадают аналоги, среди которых один - почтовый червяк, в общем-то, второй - троян-бекдор, другой - вообще неизвестно, что. В) Опять этот Packed.Win32.CryptExe тут. Очевидно, в ЛК решили крепко держаться мнения, что неизвестный им упаковщик аналогичен определённому набору зловредов. Это можно было бы понять, но как быть с пп. 1-3 и Б)

Знаете, я ознакомился бы, конечно, с инструкцией от Симантека, но потом запустил бы этот кейген.
Запустил - посмотрел - удалил.

[xoomer]

Описания хорошие нарыл.
Только чего-то я это недоперепонял:

Цитата:

как совпадают аналоги, среди которых один - почтовый червяк, в общем-то, второй - троян-бекдор, другой - вообще неизвестно, что

Лично я считаю, что лучше запустить самому программы типа Process Explorer + софт который отслеживает изменения в системе и т.д. и самому всё выяснить.

[Erekle]

Чтобы самому выяснить - когда речь о предупреждении общего порядка - конечно, надо (если есть желание или необходимость разобраться) понаблюдать самому.
Аналоги. ЛК говорит, что у этого вируса нет установленного вконец поведения, потому что много разных модификаций известных зараз, - и поэому посмотрите на аналоги этого общеопределяемого вируса. Но эти аналоги сами не совпадают друг с другом, один из них - из категории такого же общего подозрения. Как они могут помочь с Packed.Win32.CryptExe, - что только и говорит, что файл не был открыт и проверен? А фраза "возможно заражен вирусом Packed.Win32.CryptExe" вообще нонсенс. Это типа "возможно заражён возможным вирусом".

В принципе, со стороны антивирусной компании это нормальный шаг. И логичный: не проверял - там всё может быть. В любом неизвестном формате может быть сокрыто что-то нежелательное. Логика - а почему они скрывают? Но в оригинальных "спецфайлах" от известных "плохих парней" как правило, нет заразы (но могут быть! - сам же подчеркнул три допущения; тем более, если такой файл получен через недоверенные или неизвестные руки. Я что собираю иногда, только через форумы, где "нет прямых ссылок", а не с сайтов, где тысячи креков лежат.).
Но, если есть целая категория файлов, шифруемых именно для того, чтобы их не увидели антивирусы - и в первую очередь из-за того, что известные антивирусы заодно борятся и со взломом лицензионных программ - тогда получаем картину, что подобное ЛК предупреждение (а это и есть предупреждение, а не тревога) автоматически подводит большинство этого (антилицензионного) сегмент под подозрительное-нежелательное-запрещённое.
Просто это потенциальное подозрение иногда только констатирует факт, а иногда, возможно, является сознательно заложенным "алгоритмом", вследствие "смекалки" и исходных данных - что неизвестным упаковщиком всё равно в основном действуют взломщики ПО.
В итоге - и большое число ложных срабатываний, но и логичное уведомление, что ты предупреждён, а теперь делай что хочешь.

[tiap-liap]

Цитата:

-=Сдесь были К@nobus Mikl Viper Bl@ck Armyn N@rf XXX Junior Rez@k Chupa Vov@n Dron Enigm@n !!!!!=- -=I like you computer !!! I life this !!!=-

вот такая штука во всех файлах с расширением *.doc; *.rtf; *.htm; *.html и т.п. вместо документа такой текст.
причем касперски с последними базами ничего не обнаружил.
вот сижу и не знаю что делать.
это же вирус - однозначно.

[Borodunter]

tiap-liap
отошлите зараженный файл в лабораторию Касперского - к вечеру, глядишь, внесут в базы

[tiap-liap]

Borodunter
я не знаю который заражен
все доки и ртфы в норме
нормально работают
только вместо нужного текста там вот та фигня