Кто-нить в курсе, когда у Касперского в горячем обновлении появился Netsky.D (если не с точностью до минуты, то хоть до полу-часа)? Может у кого логи подробные есть или кто сам лично с каспером дружит...

В логах, похоже, это не отражается.
В базе 01 Mar 2004  19:03:27 он уже имеется. Про ранние сказать не могу, т.к. вируса только сегодня вечером получил.
А обновления каждые два-три часа выходят.

Мне нужно хотя бы узнать до 13.30 он уже появился? Или уже после двух? Может кто постоянно смотрит или случайно обратил внимание... А может тут есть кто "особо приближенный к императору"...

Greyman
NetSky.d и e добавлены в базы около 16 по москве, так что к 13.30 его еще не было.
а что за интерес такой поделишься?

Blast
У DrWeb он появился в 13.37, а письма им зараженные мне пришли уже в 14.25, вот я и смотрю - "что, где, когда".

Добавлено:

Только тогда он у веба назывался "Win32.HLLM.Foo.29184", а к 17.хх они его уже в "Win32.HLLM.Netsky.based" переименовали. Может у каспера тоже так же было, кто-нить в курсе?

уточненные данные:
детектирование NetSky.D было добавлено вчера в районе 14-00-14-30 по Москве.
На момент обнаружения данного червя Касперским, он детектировался только McAfee, причем как NetSky.c

Blast
Ок. Большое спасибо. Примем к сведению...

* * П.С.
На момент обнаружения данного червя Касперским
А когда примерно был этот момент не в курсе? Или ты здешь имеешь в виду "когда он стал детектироваться Касперским...", всесто "когда образец данного вируса поступил в лабораторию Касперского"? Просто двоякое значение...

Greyman
Я имел ввиду именно время детектирования каспером этого вируса, то есть время добавления описания и методов обнаружения этого вируса в антивирусные базы, время с которого (обновившись конечно) пользователь AVP мог 100% обнаруживать вирус.
Когда именно образец черьвя попал к касперским не могу сказать.

Blast
А как тогда расценивать эту фразу:
На момент обнаружения данного червя Касперским, он детектировался только McAfee, причем как NetSky.c?
Ведь у веба горячее вышло в 13.37, а ты говоришь о
в районе 14-00-14-30 по Москве
Неувязочка, ИМХО, со словом только получаеться...

Greyman
Да, наверное, я просто не обратил внимание на то что, как ты постил выше, веберы его обозвали для начала Win32.HLLM.Foo.29184, а переименовали после, поэтому и я и считал что первым был McAfee. Могу свое "только" забрать назад :)

Help!
DrWeb обнаружил вирус Win32.HLLM.Netsky.based.
пишет, что инфицирован файл winlogon.exe.
Чем это может грозить и как с этим бороться?

Help!
DrWeb обнаружил вирус Win32.HLLM.Netsky.based.
пишет, что инфицирован файл winlogon.exe.
Чем это может грозить и как с этим бороться?

serag

системный winlogon.exe лежит в ..\system32
a эта зараза в чистом виде  -  каталогом выше.

Да. Может кто подскажет. У метя система (w2k) затыкается -
в смысле "Access Denied" после приема мейл-сервером UUENCODE-енного файла с заразой NetSky и передачи его на обработку "антивирусному плагиному", т. е. файл лег на диск и плагин не может получить к нему доступ для обработки.

Почтарь - PaulSmith VPOP3, плагин - AVP.

serzh.

Спасибо за подсказку!
В принципе допетрал сам.

serag
Если не ошибаюсь он себя копирует в каталог Windows, а настоящий winlogon.exe живет в system32? так что можно удалять
так же он регистрирует себя в реестре в ветке
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ICQ Net" = "%windir%\winlogon.exe -stealth"

Господа, хочу вас "парадовать" у меня для вас две интересные новости.

Первая
Заразу стали запаковывать в запароленные архивы и пароль сообщать доверчивому получателю почты в самом письме
со всеми вытекающими (антивирусный фильтр на мейл-сервере это не фильтрует, ....).
У же наблюдаю несколько дней.

Вторая
Мысль - вслух.
Даже затрудняюсь сформулировать. Нечто примерно такое.
Может ли некая прога "из комплекта windows" читая цепочку символов c винта просто взять и "остановится при своем выполнении"? (из подозрений на новую технологию вирусной атаки).

serzh.