EliBagla.exe e Nod32

[Riverside]

Volevo, per curiosità, provare EliBaglA: a parte il fatto che, sono certo non rimuova tutte le varianti o, comunque, sicuramente quelle più recenti e ..... ecco che, Nod32 lo riconosce come virus (ovviamente, non me lo ha fatto scaricare); inutile precisare che, la configurazione di Nod è quella proposta sul forum di Wilders:



La domanda è: qualche possessore di un antivirus diverso da Nod, riscontra il medesimo risultato?.

[lancetta]

Quote:

Originariamente inviato da Riverside

Volevo, per curiosità, provare EliBaglA: a parte il fatto che, sono certo non rimuova tutte le varianti o, comunque, sicuramente quelle più recenti e ..... ecco che, Nod32 lo riconosce come virus (ovviamente, non me lo ha fatto scaricare); inutile precisare che, la configurazione di Nod è quella proposta sul forum di Wilders:



La domanda è: qualche possessore di un antivirus diverso da Nod, riscontra il medesimo risultato?.

Si il Nod in particolare lo indica però con l'euristica (Heur) poichè il tool opera in aree del pc,diciamo sensibili,ripristinando anche alcune chiavi nel registro (tipo il safe boot).Purtroppo non viene aggiornato da qualche mese.Speriamo rimedino presto viste le ultime varianti del bagle,perchè questo è davvero un ottimo tool,che conosco bene e da tempo e mi ha risolto vari casini su pc che mi hanno portato.Comunque per i motivi sopra riportati è normale che qualche antivirus possa andare in allarme.Non sò dirti quali altri antivirus,si mettano in allarme con elibagla(ho il Nod)sò che al momento è solo lui.

[Riverside]

Quote:

Originariamente inviato da lancetta

Comunque per i motivi sopra riportati è normale che qualche antivirus possa andare in allarme.Non sò dirti quali altri antivirus,si mettano in allarme con elibagla(ho il Nod)sò che al momento è solo lui.

Di per sé, la mia segnalazione non riveste chissà quale importanza; diciamo che il fatto ha acceso la mia curiosità rispetto a come si comporterebbero, nel caso specifico, altri antivirus.
Aggiungo una ulteriore considerazione: in tempi più recenti, mi è capitato di leggere, in giro per il web, commenti non esattamente lusinghieri su Nod32; c’è chi, attualmente, vorrebbe farlo passare come uno dei peggiori antivirus in circolazione e, francamente, mi appare una esagerazione.
Ora, che attraverso l’HEUR, Nod, riconosca quel tool ( ma anche altri), come un possibile virus perché i tool delle specie intervengono in quelle che tu hai definito “aree sensibili” del P.C., potrebbe essere considerato un vantaggio, oppure, l’esatto contrario (è sempre una questione di punti di vista).
Personalmente, tutto sommato, propendo per la prima (ed ho ragione di pensare che anche per te sia così): vediamo cosa ne pensano gli altri.

[lancetta]

la pensiamo allo stesso modo ....io sarei curioso di sapere da qualcuno che ha il kasper come reagirebbe,e qualche altro soft con l'eucaristica spinta,se segnalerebbe il tool.
Aspettiamo segnalazioni a chi si vuole cimentare il link e questo:http://www.zonavirus.com/datos/desca...5/elibagla.asp scorrete la pagina in basso e cliccate su "descargar elibagla".
Piccolo appunto:ho notato che con IE il download è sicuro al 100%,mentre con Opera a volta mi ha dato problemi (file not found).

[wizard1993]

secondo me il pdm si incazzerebbe di brutto quando tenta di far qualche cosa

[c.m.g]

non viene riconosciuto come virus nemmeno con euristica al massimo, è un tool di sicurezza, mi sembra più che ovvio. invece il pdm si accende e chiede il da farsi.

[lucas84]

Questo i risultati dei vari scanner
Arcavir Heur.RoundKick
Ewido Heuristic.Win32.AVKiller
Fortinet NafBot.A
Panda Suspicious file
Sophos Mal/NafBot-A
Webwasher Win32.ModifiedUPX.gen!90 (suspicious)

Non so perchè l'autore usa una versione modificata di upx, da quello che ho visto, nasconde la versione di upx per rendere "più" difficile la decompressione normale ma, bisogna contare che sta cosa potrebbe dar fastidio agli antivirus senza contare che il tool contiene molte stringhe "sospette"

[tequila mali]

Quote:

Originariamente inviato da Riverside

Volevo, per curiosità, provare EliBaglA: a parte il fatto che, sono certo non rimuova tutte le varianti o, comunque, sicuramente quelle più recenti e ..... ecco che, Nod32 lo riconosce come virus (ovviamente, non me lo ha fatto scaricare); inutile precisare che, la configurazione di Nod è quella proposta sul forum di Wilders:



La domanda è: qualche possessore di un antivirus diverso da Nod, riscontra il medesimo risultato?.

Su wilders si è già occupato Marcos...
http://www.wilderssecurity.com/showthread.php?t=167908

[Riverside]

Quote:

Originariamente inviato da tequila mali

Su wilders si è già occupato Marcos...
http://www.wilderssecurity.com/showthread.php?t=167908

Grazie per il link, Tequila, ma quel post su Wilders lo avevo già letto.
Come avevo già anticipato in apertura di thread, in definitiva, lo scopo della mia segnalazione era quello di capire come si comportano gli altri antivirus in merito.
Il tuo reply, mi offre l'occasione per fare due considerazioni:
la prima, in relazione a Nod32 Smart Security Suite - che tra l'altro, dovrebbe ancora essere in fase Beta - (ma varrebbe per qualsiasi Suite): sarà, il mio, un approccio monolitico, ma sono portato a ritenere che ogni software debba svolgere il compito per il quale è stato costruito (l'antivirus deve fare l'antivirus, il firewall il firewall e cosi discorrendo), facendolo al meglio.
Quindi, l'idea di affidare, parte della sicurezza dei miei P.C., ad una Suite (anche se fosse Nod), non mi sfiora neppure.
La seconda, al constatare come, soprattutto nell'ultimo periodo, quasi tutte le risorse della Sofware House che produce Nod, siano, evidentemente ed essenziamente rivolte allo sviluppo della nuova Suite (i recenti report comparativi, non fanno altro che indicare una sorta di stato di abbandono nel miglioramento di Nod32); e questo è preoccupante.
Per ora, non ho preso in considerazione l'idea di passare ad un altro antivirus (continuo a reputare Nod uno tra i tre migliori antivirus in circolazione) ma, se l'attuale situazione dovesse cristallizzarsi, dovrò,credo come altri, valutare la cosa.

[BEY0ND]

piccolo contributo...
f-secure e prevx non battono ciglio

[gian21391]

io purtroppo ho gia rivalutato e sono passato a kaspersky per ora in versione di prova...
speriamo che questo abbandono di nod32 in favore della suite sia utile per avere poi un antivirus leggero potente e preciso come è sempre stato

[Riverside]

Quote:

Originariamente inviato da BEY0ND

piccolo contributo... f-secure e prevx non battono ciglio

Contributo interessante …. stai dicendo che non lo riconoscono come possibile virus??
Ripartiamo da quanto segnalato da Lucas:

Quote:

Originariamente inviato da lucas84

Questo i risultati dei vari scanner
Arcavir Heur.RoundKick
Ewido Heuristic.Win32.AVKiller
Fortinet NafBot.A
Panda Suspicious file
Sophos Mal/NafBot-A
Webwasher Win32.ModifiedUPX.gen!90 (suspicious)
Non so perchè l'autore usa una versione modificata di upx, da quello che ho visto, nasconde la versione di upx per rendere "più" difficile la decompressione normale ma, bisogna contare che sta cosa potrebbe dar fastidio agli antivirus senza contare che il tool contiene molte stringhe "sospette"

Ora mi chiedo: o Nod, Arcavir, Fortinet & C. si sono, nel caso di specie, totalmente rinc****ti, oppure Kaspersky e F-Secure, malgrado la loro euristica spinta, anche loro, qualche colpo lo perdono (tutto sommato, nulla di grave) .
Visto che hai citato PrevX, a questo punto, sarebbe interessante sentire un parere da parte di Marco.

[BEY0ND]

@ riverside
Confermo e aggiungo anche bitdefender(free 8 aggiornata)
Piccola precisazione,il mio prevx non si aggiorna alla nuova versione da tre giorni per via di un suo problema al setup,non credo cmq sia influente in questo caso,non trovi?

[lucas84]

Quote:

Originariamente inviato da Riverside

Ora mi chiedo: o Nod, Arcavir, Fortinet & C. si sono, nel caso di specie, totalmente rinc****ti, oppure Kaspersky e F-Secure, malgrado la loro euristica spinta, anche loro, qualche colpo lo perdono (tutto sommato, nulla di grave) .
Visto che hai citato PrevX, a questo punto, sarebbe interessante sentire un parere da parte di Marco.

questi 2
Fortinet NafBot.A
Sophos Mal/NafBot-A
sono falsi positivi le altre rilevazioni sono euristiche lo ripeto, il tool contiene stringhe sospette che sommati ad altri parametri potrebbero far insospettare l'euristica

PS:Probabile che quel file sia in una sorta di white list ed ecco perchè gli altri av non lo rilevano dato che, da come ricordo, tempo addietro anche altri av avevano un fp su questo tool

[lancetta]

Quote:

Originariamente inviato da lucas84

questi 2
Fortinet NafBot.A
Sophos Mal/NafBot-A
sono falsi positivi le altre rilevazioni sono euristiche lo ripeto, il tool contiene stringhe sospette che sommati ad altri parametri potrebbero far insospettare l'euristica

PS:Probabile che quel file sia in una sorta di white list ed ecco perchè gli altri av non lo rilevano dato che, da come ricordo, tempo addietro anche altri av avevano un fp su questo tool

Vero...ma tempo addietro ho inviato il tool alla eset e a quanto pare non se ne sono importati più di tanto

[Riverside]

Quote:

Originariamente inviato da lucas84

questi 2 Fortinet NafBot.A Sophos Mal/NafBot-A sono falsi positivi le altre rilevazioni sono euristiche

lascia stare che sia un falso positivo (lo è anche per Nod) il problema è diverso e lo hai evidenziato tu:

Quote:

Originariamente inviato da lucas84

Non so perchè l'autore usa una versione modificata di upx, da quello che ho visto, nasconde la versione di upx per rendere "più" difficile la decompressione normale ma, bisogna contare che sta cosa potrebbe dar fastidio agli antivirus senza contare che il tool contiene molte stringhe "sospette"

La domanda, a questo punto è: ha ragione chi lo rileva come probabile virus oppure, al contrario, ha ragione chi non lo rileva affatto?.
Insomma, in definitiva, come si dovrebbe comportare, un antivirus in un caso come quello prospettato?.

[lucas84]

per nod è una rilevazione euristica e non propio un fp, li altri 2 lo rilevano con la firma quindi è propio un fp
nessuno ha ragione e nessuno ha torto, in questo caso si tratta di un removal tool quindi è pulito ma se non lo fosse stato?

Ciao

[tequila mali]

Marcos si sarà scocciato
Comunque Nod32 non rileva più EliBaglA.exe come una probabile minaccia

NOD32v2 2488 2007.08.28 -

Ciao

[lancetta]

Quote:

Originariamente inviato da tequila mali

Marcos si sarà scocciato
Comunque Nod32 non rileva più EliBaglA.exe come una probabile minaccia

NOD32v2 2488 2007.08.28 -

Ciao

Magari ha letto anche il ns 3d e avrà pensato:cacchio! anche quelli di hwupgrade!

[tequila mali]

Quote:

Magari ha letto anche il ns 3d e avrà pensato:cacchio! anche quelli di hwupgrade!

Quote:

speriamo che questo abbandono di nod32 in favore della suite sia utile per avere poi un antivirus leggero potente e preciso come è sempre stato

Speriamo sarà questo...