Neregistrovaný Přihlásit Registrovat

Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem uspesnost detekce starych viru

Tak jsem likvidoval stary "svincik" a docela me prekvapila jedna vec.

Avast 4.8 pri bezne kontrole nedokazal detekovat stareho polymorfa - OneHalf. Je chyba jen u me, nebo je jeste nekdo, komu AV tyto relikty neregistruje?

Pokud by mel nejaky zdatny uzivatel AV programu to srdce to vyzkouset, na teto adrese muze... !!!ZAVIROVANY soubor OneHalfem!!! Ovsem pozor, soubor je skutecne zavirovan, tak jej neotvirejte ani nespoustejete, pro jistotu ani nestahujte, pokud "si nejste jisti v kramflecich...".

Nod32 ho odchytl jiz pri rezidentni kontrole...

Kráťovi to Avira našla. Ale on zbrkle hlasoval. :-) (LaKr) (Kráťa)

Předmět Autor Datum
[http://img397.imageshack.us/img397/2073/onehalfbj6. png] Potvrzuji, NOD32 funguje. nový
karel 02.07.2008 00:45
 karel
Avira to nenašla buuuuuuuuuuuuuu. [http://img386.imageshack.us/img386/6323/aviraej8.th .gif] nový
Kráťa 02.07.2008 00:56
 Kráťa
Kráťo, koukej hlasovat.:-) nový
shark.jd 02.07.2008 01:02
 shark.jd
Nojo, já zapomněl. Pžemýšlím tu nad Avastem. :-) nový
Kráťa 02.07.2008 01:09
 Kráťa
U mne Avast zareagoval [http://img131.imageshack.us/img131/5823/avasthd2.jp g] [http://img131.images… nový
miroslav 02.07.2008 00:56
 miroslav
U mě také. nový
shark.jd 02.07.2008 01:02
 shark.jd
Taky. [alertuq5.jpg] nový
strejdabrabenec 02.07.2008 01:04
 strejdabrabenec
...taky, okamžitě... nový
tony.45 02.07.2008 08:28
 tony.45
Přesně tak, okamžitá reakce Avastu, stačilo kliknout na odkaz :-) nový
janík 02.07.2008 10:19
 janík
A co si s tym suborom robil? Ak si ho len mazal tak jasne ze ho rezidentna kontrola nezaregistruje (… nový
MM.. 02.07.2008 01:04
 MM..
Já na to jen kliknul PM a zvolil deštník. Zkusím spustit aviru - jdu na to. nový
Kráťa 02.07.2008 01:16
 Kráťa
To mě tedy Avira velmi zklamala. Zítra jde... [http://img164.imageshack.us/img164/3055/avirays6.gi… nový
Kráťa 02.07.2008 01:44
 Kráťa
to máte asi neaktuálnu verziu aviry,mne to hneď zdetegovala ako napadnutý rar súbor nový
ogl 02.07.2008 04:31
 ogl
Dyk se to aktualizuje denně... nový
Kráťa 02.07.2008 07:52
 Kráťa
Pokiaľ súbor premenujem na *.exe, com, bat, doc, Avira reaguje. Inak (img, txt) ani pri manuálnom sp… nový
deadhead 02.07.2008 21:03
 deadhead
a nastavil si scanovanie všetkých súborov To jsem právě také neudělal, protože jsem seděl v té pato… poslední
Kráťa 02.07.2008 21:32
 Kráťa
ten vir je starší než avira byl vytvořený v roce 1994 tak pochybuji že například zrovna před měsícem… nový
MM_tank 02.07.2008 13:19
 MM_tank
Z kontextoveho menu jsem dal zkontrolovat archiv, ve kterem mel byt umisten... Jak nad tim premyslim… nový
gd 02.07.2008 09:04
 gd
No, ono to bylo docela průser, já jsem se s touhle potvorou potkal někdy kolem roku 1993. Šířil se h… nový
jirka44 02.07.2008 15:37
 jirka44
[virzk6.png] nový
ALP 02.07.2008 01:06
 ALP
[aviradv8.png] Avira AntiVir Personal Report file date: středa, 02. července 2008 06:31 Starting t… nový
kmochna 02.07.2008 06:39
 kmochna
Proč ti to našla a mě ne? Archivy *.rar jsem měl zaškrtlé... nový
Kráťa 02.07.2008 07:48
 Kráťa
Ha dík. Ono to cice skenovalo archivy, ale ne všechny soubory v těch archivech. [http://img125.imag… nový
Kráťa 02.07.2008 08:41
 Kráťa
Bych jim písnul a omluvil se, že jsem měl černé a nepozitivní myšlenky Není třeba, stačí když převi… nový
Vladimir 02.07.2008 09:43
 Vladimir
Aha tak už je to jasné. Já včera seděl v patogení zóně (dokonce snad 3 metry od lednice). Před chvíl… nový
Kráťa 02.07.2008 09:53
 Kráťa
Přesně tak - scanuje to jen to co má. Což je funkce kterou chci. nový
kmochna 02.07.2008 20:42
 kmochna
U mě Avast registroval OneHalfa hned po kliknutí na odkaz a ani mi to nešoupne na disk. Jsem spokoje… nový
marekdrtic 02.07.2008 06:44
 marekdrtic
AVG 7.5 detekovalo nový
TarasBulba 02.07.2008 07:14
 TarasBulba
trend micro jo: stáhnout jsem .rar mohl, procházet archív taky, ani zobrazení obsahu (f3) uloženého… nový
lední brtník 02.07.2008 09:21
 lední brtník
Tak jsem zkusil ten vzorek z webu, take byl detekovan tim samym Avastem, co nedetekoval "soukromy ko… nový
gd 02.07.2008 09:22
 gd
Avast ho detekoval hned při kliknutí na odkaz, jsem spokojen.:-);-)8-):puff: nový
Mike17 02.07.2008 10:05
 Mike17
ano taky-okamžitě-AVAST.:-) nový
ajavar 02.07.2008 10:38
 ajavar
AVG8 našlo/odchytilo při rezidentní kontrole. nový
L-Core 02.07.2008 12:13
 L-Core
AVG 7.5 detekoval pri kontrole archivu Eset SmartSecurity detekoval jiz pri samotnem stazeni... :-) nový
fan.thomas 02.07.2008 12:25
 fan.thomas
Hm mě to ani nejde stáhnout když kliknu na odkaz tak je bílá obrazovka a tam aplikace internet explo… nový
drdys 02.07.2008 17:12
 drdys
[http://img50.imageshack.us/img50/9151/99137471ks5.g if] nový
Dale Cooper 02.07.2008 17:53
 Dale Cooper
antivir nepoužívám - přečetl jsem si, že je tam vir, tak jsem to nestahnul - takže jsem uspěšně dete… nový
AZOR 02.07.2008 21:06
 AZOR

A co si s tym suborom robil? Ak si ho len mazal tak jasne ze ho rezidentna kontrola nezaregistruje (naco, necital sa jeho obsah). Ak si ho kopiroval tak zavisi ako mas nastavenu rezidentnu kontrolu. Keby si dal oscanovat cely disk tak myslim ze by ti ho nasiel, ak ho ma v databaze tak by ho nasiel urcite.
Inac spoliehat sa na Avast, no ja neviem. To radsej volim ziaden nech mi take softy zbytocne nespomaluju komp.

P.S> u exe virov ktore nakazovali ine exe sa spolieham na samo-kontrolu totalcommandera (kontroluje si vlastne exe). Ak by mi ieco nakazilo TC (a kedze ho vzdy spustam tak by ho to nakazilo) tak by som okamzite videl ze mam vir :-). Riesenie zavisi od viru, pri komplikovanych by nastalo restore zo zalohy systemovej particie. Exe-modifikujuce viry ale dnes uz nie su v mode takze to uz asi nehrozi.

Pokiaľ súbor premenujem na *.exe, com, bat, doc, Avira reaguje. Inak (img, txt) ani pri manuálnom spustení scanu vírus nenájde. Začínam mať pochybnosti o antivíráku ktorý rozhoduje o prítomnosti vírusu na základe koncovky.

Edit: Samozrejme, keby som nebol blbý a nastavil si scanovanie všetkých súborov tak ho nájde.
Ale aj tak je to zaujímavé s tými koncovkami.

Z kontextoveho menu jsem dal zkontrolovat archiv, ve kterem mel byt umisten...
Jak nad tim premyslim, mozna je chyba v nezname variante toho polymorfa (nevim, jak Avast rozpoznava signatury). Muj puvodni zdroj nebyl INET, ale disketa s dalsima dvema kouskama viru. Infekci tenkrat (pri umistovani vzorku k uschove ]:)) detekoval McAffe. Tu disketu vsak jiz vsak nemam k dispozici z me blbosti :.(

RE PS:
cituji z wiki:

Jednalo se o úspěšně se šířící virus, který byl polymorfní (každý jeho „potomek“ se odlišoval od svého „rodiče“), hybridní (napadal boot-sektory i spustitelné soubory COM a EXE) a který používal tzv. techniky stealth (maskování se před antivirovými programy).

Při každé své aktivaci virus zašifroval část pevného disku, šifrovaný obsah se však po dobu, kdy byl virus aktivní, jevil být normálně přistupný. Pokud však byl virus neaktivní (např. odstraněn antivirovým programem), potom byla zašifrovaná data nečitelná a obvykle ztracena. V okamžiku, kdy virus zašifroval polovinu dat, zobrazil následující hlášku a ukončil se (tím obvykle došlo ke ztrátě dat).

Ten druhy odstavec je zajimavy. :-D

[aviradv8.png]

Avira AntiVir Personal
Report file date: středa, 02. července 2008 06:31

Starting the file scan:

Begin scan in 'C:\' <run>
C:\films temp\OneHalf.rar
[0] Archive type: RAR
--> OneHalf\OneHalf.img
[DETECTION] Contains detection pattern of the OneHalf (Boot) virus
[NOTE] A backup was created as '48d00524.qua' ( QUARANTINE )
[NOTE] The file was deleted!
C:\films temp\OneHalf\OneHalf.img
[DETECTION] Contains detection pattern of the OneHalf (Boot) virus
[NOTE] A backup was created as '4958c6e5.qua' ( QUARANTINE )
[NOTE] The file was deleted!

Pro Kráťu:

Logging..........................: low
Primary action...................: delete
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: -HIDDENEXT,

Ha dík. Ono to cice skenovalo archivy, ale ne všechny soubory v těch archivech.

[http://img125.imageshack.us/img125/3086/aviradm6.gi f]

Opravte někdo tu anketu. Donutili mě výhrůžkami, abych tady pomlouval Aviru, přitom jsem trubka já. Škoda, že není Avira mongolsky. Bych jim písnul a omluvil se, že jsem měl černé a nepozitivní myšlenky.

trend micro jo:
stáhnout jsem .rar mohl, procházet archív taky, ani zobrazení obsahu (f3) uloženého .img bootsektoru nebránil.
na .img jsem neklikal (i když nevím co by one_half chtěl pod "nt" systémem provádět), tak jsem aspoň nechal .rar ručně zkontrolovat - vypsal vir a zneškodnil archív že už se do něj nejde dostat.
čili buď při pokusu o použití .img, nebo při pravidelné kontrole disku s válícím se .rarem ho detekuje.

Hm mě to ani nejde stáhnout když kliknu na odkaz tak je bílá obrazovka a tam aplikace internet explorer nemůže zobrazit tuto webovou stránku, když dám uložit cíl jako tak mi to napíše aplikace internet explorer nemůže stáhnout onehalf.....Připojení k serveru bylo resetováno. Koukám, že mě chrání i prohlížeč:-D:-D
Mám také avast! takže by mi to asi také detekoval.:-)

antivir nepoužívám - přečetl jsem si, že je tam vir, tak jsem to nestahnul - takže jsem uspěšně detekoval, jdu kliknout na "ano" 8-)

Zpět do poradny Odpovědět na původní otázku Nahoru