Win32.Malware.gen

Non-English Boards Русский
1

Скачал тут файлик один интересный :slight_smile: детектится аваст по сабжу.
решил в качестве теста его запустить на свой страх и риск 8)
добавил раздел диска откуда буду запускать - в исключения
ну и запустил… диск пошуршал, система подумала
аваст словил один файлик в C:\WINDOWS\Temp
далее сработал экран поведения, я запретил

после перезагрузки виндовс не стартует :slight_smile:
загрузился с загрузочного ESET SysRescue и прибил парочку зловредов в system32

отсюда вопросы
Win32.Malware.gen - это всетаки сигнатуры или эвристика
Если это всетаки сигнатуры почему аваст не увидел др. инсталлируемые в систему зловреды
p.s. malware прошлогодний, все нормальные антивирусы его также детектят по вирустоталу

2

а)Это сигнатуры.
б)Так вы же этот раздел в исключения добавили,или я чего-то не понял?

3

неправильно. система на С - она и мониторится.
запуск с др. раздела чтобы не блочил монитор

4

Видимо разработчики не учитывают ситуацию, что кто-то захочет запускать зловред у себя на компьютере. Да и не должны, думаю. Другое дело, что экран поведения не заблокировал опасные действия.

5

Решил потестить данным файликом Dr.Web (система виртуальная MS Virtual PC) в двух режимах:

  1. с включенной “проактивкой” (запрещение подозрительных действий)
  2. и выключенной

Файл определяется Dr.Web как BackDoor.Tdss.based.7 (По Касперскому - Rootkit.Win32.TDSS.hco).

Запуск зловреда осуществляется из папки, добавленной в исключени файлового монитора (в противном случае файл также сразу убивается).

1. При запуске файл зловреда исчез, из временной папки файловый монитор удалил появившися вирус.

Больше никаких явлений замечено не было. Контрольная проверка сканером Dr.Web и MBAM - чисто.
Перезагрузка. Вторая контрольная проверка -чисто.

2. При запуске файл зловреда исчез, из временной папки файловый монитор удалил вирус. Компьютер самовольно ушёл в перезагрузку.
Проверка после перезагрузки:


http://savepic.net/463854m.jpg

Видимо, это серьёзный зловред, ты уж ex_avira_user поосторожней. Может и заразил свой комп буткитом :frowning:

6

http://vms.drweb.com/virus/?i=441481
http://st.drweb.com/static/BackDoor.Tdss.565_(aka%20TDL3).pdf

Одна из модификаций TDSS.

7

да… теперь понятно почему комп не стартнанул тогда :o
но непонятно почему аваст молчал (поймал какойто файлик в временной директории а остальное пропустил)

8

Ну во первых, avast! не молчал, а сразу предупреждал, что это вирус (см. первый пост…)

Аналогично отработал и DrWeb с выключенной защитой системных файлов и запретом низкоуровневой записи (удалил временный файл-вирус, однако заражение пропустил - см. п.2 в моём сообщении).
А вот с включенными опциями защиты Dr.Web отработал на ура (см п. 1), в отличии от экрана поведения avast! :frowning: )

9

а утилитами проверил?
http://support.kaspersky.ru/faq?qid=208636926

10

хороший этот доктор веб последний
но памяти потребляет… !!! 150 мб только engine

  • каждый отдельный модуль (например сканер + 100 мб)

а касперский фтопго!