|
[ dava @ 04.01.2010. 16:29 ] @
[ Aleksandar Maletic @ 05.01.2010. 01:41 ] @
Da...adresa je tacna: [email protected]
Posaljite samo fajl na analizu...mada,to je retkost,Kaspersky raspolaze jako sirokim spektrom definicija... Proverite da li su vam definicije sveze tj da li je redovno radjen update... [ dava @ 05.01.2010. 09:33 ] @
Korisnk sam Kaspersky AV-a vec godinama upravo zbog toga sto imaju jako velik broj definicija u svojoj bazi.
Uhvatio sam jedan fajl, siguran sam da se radi o malware-u jer je svim folderima sa root-a usb diska promenio atribute na hiden i systemske, sebe kopirao u isti broj kopija kao i foldera i dao je imena tih foldera. Kao ikonicu fajla postavio je ikonicu foldera, tako da kada se gleda sadrzaj usb diska (preko windows explorera) sve djeluje normalno. Tada korisnik zeleci da otvori folder u stvari klikne na fajl-virus (koji izgleda kao folder), virus se izvrsi i otvori taj folder koji je korisniok i htio otvoriti, sto opet izgleda kao normalno, a u stvari se pored otvaranja foldera izvrsio virus. Pored gore navedenih radnji kreira i skriveni/systemski folder pod imenom 'win' na root-u systemske particije, tu se smjesti pod imenom Lsass.exe (isti fol, uzme ikonicu foldera) i mijenja ovu reg vrijednost: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings Sve ovo pitam jer sam jos prije desetak dana poslao taj fajl na analizu, ali jos nisam dobio odgovor. [ Aleksandar Maletic @ 05.01.2010. 11:26 ] @
Proces lsass.exe je Trojanac u 90% slucajeva,on je takoreci lepak za Trojance...
[ Sc0rp10 @ 05.01.2010. 14:48 ] @
Citat: dava: Korisnk sam Kaspersky AV-a vec godinama upravo zbog toga sto imaju jako velik broj definicija u svojoj bazi. Uhvatio sam jedan fajl, siguran sam da se radi o malware-u jer je svim folderima sa root-a usb diska promenio atribute na hiden i systemske, sebe kopirao u isti broj kopija kao i foldera i dao je imena tih foldera. Kao ikonicu fajla postavio je ikonicu foldera, tako da kada se gleda sadrzaj usb diska (preko windows explorera) sve djeluje normalno. Tada korisnik zeleci da otvori folder u stvari klikne na fajl-virus (koji izgleda kao folder), virus se izvrsi i otvori taj folder koji je korisniok i htio otvoriti, sto opet izgleda kao normalno, a u stvari se pored otvaranja foldera izvrsio virus. Pored gore navedenih radnji kreira i skriveni/systemski folder pod imenom 'win' na root-u systemske particije, tu se smjesti pod imenom Lsass.exe (isti fol, uzme ikonicu foldera) i mijenja ovu reg vrijednost: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings Sve ovo pitam jer sam jos prije desetak dana poslao taj fajl na analizu, ali jos nisam dobio odgovor. A jesi probao da pogledas ovu top temu? Takodje taj fajl mozes da posaljes i da proveris na sajtu virustotal.com [ dava @ 06.01.2010. 10:04 ] @
Pazi, meni je bitno da ga uvrste u KAV bazu jer sam korisnik tog AV-a, a nemam sta provjeravati kad sam siguran da se radi o malware. Startao sam ga na virtuelnoj masini i pratio sta radi.
Citat: Aleksandar Maletic: Proces lsass.exe je Trojanac u 90% slucajeva,on je takoreci lepak za Trojance... U stvari lsass.exe je windows-ov regularni proces, pa upravo zbog toga autori virusa cesto nazovu svoj proizvod tim imenom da bi bio teze uocljiv. [ kristi1 @ 06.01.2010. 10:27 ] @
lsass.exe je worm i obicno se nalazi u C:\Win folderu.
Cisto sumnjam da ga kaspersky nema u svojoj bazi definicija. Bilo je diskusije na tu temu odavno, mozes malo procesljati forum i pronaci tu diskusiju. [ Aleksandar Maletic @ 06.01.2010. 10:44 ] @
@dava,to sto si ti rekao za lsass.exe proces sam takodje i ja rekao,mozda se nismo sporazumeli ali smo uglavnom mislili na isto... :))) @kristi1 stvarno mi nije jasno kako Kaspersky nema medju definicijama ovog worm-a,nemoguce...imao sam KAV i za upravo ovaj proces mi se vezao worm kojeg sam ocistio bez problema,ne razumem zasto ga KAV kod @dave ne otkriva...da nije problem u AV-u???
[ Igor Gajic @ 06.01.2010. 10:48 ] @
Nije nemoguce naleteti na novi virus. Pre jedno godinu dana naleteo sam na jedan, i poslao sam KAV na analizu i posle 24h dobio sam istrukcije kako ga obrisati, mada nije bio dodat na listu definicija virusa.
A pre nekih mesec dana moj brat je dobio neki zesci virus kog nije uspeo da detektuje ni jedan jedini AV program. Neko polimorfno cudo od virusa koje pravilo hiljade konekcija svake minute ka internetu... Nacin brisanja - slucajno smo provalili gde je exe, system restore nije mogao da obrise fajl koji je sadrzao virus pa smo taj fajl obrisali rucno iz Win 7 recovery konzole, ni safe mode nije pomogao.... [ kristi1 @ 06.01.2010. 10:55 ] @
Citat: Uhvatio sam jedan fajl, siguran sam da se radi o malware-u jer je svim folderima sa root-a usb diska promenio atribute na hiden i systemske, sebe kopirao u isti broj kopija kao i foldera i dao je imena tih foldera. Kao ikonicu fajla postavio je ikonicu foldera, tako da kada se gleda sadrzaj usb diska (preko windows explorera) sve djeluje normalno. Tada korisnik zeleci da otvori folder u stvari klikne na fajl-virus (koji izgleda kao folder), virus se izvrsi i otvori taj folder koji je korisniok i htio otvoriti, sto opet izgleda kao normalno, a u stvari se pored otvaranja foldera izvrsio virus. On prica o ovome, a upravo to radi navedeni crv. Kako ga je propustio mozemo samo da nagadjamo, ili je to pak neka modifikovana varijanta, ne znam. [ dava @ 06.01.2010. 11:08 ] @
Probao sam Kaspersky sa tri razlicita racunara (ne u mrezi nego fizicki odvojena) i ni jedan ga nije detektovao, tako da sam poprilicno siguran da nije do mog KAV programa nesto.
Ako neko zeli ko koristi KAV mogu ga poslati u rar arhivi pa da se uvjeri. [Ovu poruku je menjao dava dana 06.01.2010. u 12:21 GMT+1] [ kristi1 @ 06.01.2010. 11:30 ] @
Posalji ga na rapid pa mi daj link na pp.
[ dava @ 06.01.2010. 11:42 ] @
Evo link:
http://rapidshare.com/files/****/Darka_masine.rar.html U rar arhivi je i password je: a Naravno, ovo svako preuzima na sopstvenu odgovornost. Citat: 5. Strogo je zabranjeno prilaganje virusa u izvršnom obliku, ili u arhivama! Zabranjeno je prilaganje virusa u .exe, .com, .bat obliku kao i u fajlovima arhiva kao na primer: ".zip", ".rar", ".arj" i slično. Takođe je zabranjeno prilaganje datoteka za koje se sumnja da su zaražene virusom. Svi takvi prilozi biće brisani po viđenju a korisnik koji ih je postavio opomenut. [Ovu poruku je menjao Goran Mijailovic dana 06.01.2010. u 14:20 GMT+1] [ Igor Gajic @ 06.01.2010. 11:50 ] @
Najbolje ti je da se prijavis na Kaspersky forum, kreiras novu temu i postujes fajl tamo, tako ces najbrze dobiti feedback.
http://forum.kaspersky.com/ind...129f927fed529&showforum=19 [ kristi1 @ 06.01.2010. 13:24 ] @
Avast beta ga je detektovao pri pokusaju raspakivanja arhive
 Malo kasnije cu da se poigram sa njim. [ Goran Mijailovic @ 06.01.2010. 13:25 ] @
NOD 32 ga detektuje kao Win32/Autoit.FL worm. Mozes da ga posaljes i na virus total da bi video kako ga prepoznaju i ostali AV programi.
http://www.virustotal.com/ [ kristi1 @ 06.01.2010. 13:36 ] @
http://www.virustotal.com/anal...9a0070b22b68f352911-1262784695
Analiza sa VT, stvarno ga kaspersky nema u bazi definicija  Upravo se radi o ovom crvu c:\win\lsass.exe deo CF loga ((((((((((((((((((((( Other Deletions )))))))))))))) . C:\LOG.TXT c:\win\lsass.exe [Ovu poruku je menjao kristi1 dana 06.01.2010. u 15:11 GMT+1] [ dava @ 06.01.2010. 14:17 ] @
Izvinjavam se zbog krsenja pravila, nije bila namjera da se neko inficira. Prije par godina kada sam aktivno ucestvovao na zastiti bilo je dozvoljeno razmjenjivati ovakve sadrzaje.
@kristi1 avast je bio na racunaru koji je inficirao taj usb disk i takodje se nalazio na C:\win folderu (do duse nisam bio siguran u njegovu azurnost). Nema potrebe za likovanjem tipa ovaj ga nalazi, a kaspersky ne, jer ko je svjestan problematike virusi-zastita, on zna da ni jedan AV ne proalazi 100% virusa, zna i da prvo izadje virus pa tek onda zastita, tako da ova jedna lasta ne cini prolece i na osnovu jednog virusa se nista ne moze zakljuciti. Primjecujete li jos jednu stvar, njegovu velicinu - 599 KB. Povelik je. [Ovu poruku je menjao dava dana 06.01.2010. u 15:36 GMT+1] [ kristi1 @ 06.01.2010. 16:46 ] @
Nemoj pogresno da me shvatis, nije mi namera da omalovazim neki AV, vec mi je prosto neverovatno da kasper nema ovaj malware u definicijama, jer je dosta star.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|