вири, не определяемые ВЕБом

Discussion:

(слишком старое сообщение для ответа)

Ilya Kozlov

2008-10-03 19:28:47 UTC

Привет!

подскажите как быть?
накопилась небольшая подборка гадостей, которые недетектятся любимым
ДР.ВЕБом
присылал на мыло разработчикам ВЕБа и через форму сайта drweb.com слал,
часть добавили, но много осталось, причем все это детектицца другими
антивирями, например КАВ и Антивир. Оставшуюся часть недетектируемых слал
неоднократно - нет результата: ВЕБ со свежими базами их не находит. А ведь
многие попадаются на эту заразу и вынуждены пользоваться КАВом, Антивиром,
Авастом и т.п.

вот что есть, неизвестное ВЕБу:
"DotFix FakeSigner.exe" VirTool.Win32.DotFixer.a
.exe Backdoor.Win32.Rbot.bni
1[3].exe Trojan.Win32.Agent.gnb
9993_upload.exe Worm.Win32.Sasser.d
a1[1].html Trojan-Clicker.JS.Linker.j (Adware.CDT)
a3[1].html Trojan-Downloader.JS.IstBar.x (Adware.CDT)
apps.exe Net-Worm.Win32.Kolabc.byp
arch.infected Virus.Linux.Grip.a
BXMH430.EXE Trojan.Win32.DNSChanger
chjowqso.dll Trojan.Win32.Monder.bbw
ctfmona.exe not-a-virus:Downloader.Win32.WinFixer.eb
djtopr1150.exe not-a-virus:AdWare.Win32.WebRebates.g
IGEKIN~1.SYS Trojan.Win32.AntiAV.aw
IGFSFD~1.EXE Net-Worm.Win32.Kolab.la
IGXDFD~1.COM Trojan.Win32.Monder.bbw
L8347T~1.EXE Trojan-PSW.Win32.LdPinch.twh
mdm.exe Trojan.Win32.Agent.xml
MESSAGE.HTM Email-Worm.Win32.Avron.b
MSHLPA.EXE Trojan-Downloader.Win32.Mediket.df
mumie[1].exe Trojan.Win32.Agent.xml
nkhodcfn.dll Trojan.Win32.Monder.bdh
nope.bat Trojan.BAT.Starter.o
PROVCRK.COM Trojan.DOS.ProvRout
pyvonspq.exe Trojan.Win32.Obfuscated.gx
rsufumgl.dll Trojan.Win32.Monder.awm
sideb[1].exe not-a-virus:AdWare.Win32.EliteBar.z
skdw.exe Trojan-Downloader.HTML.IFrame.h
STPHLPR.DLL not-a-virus:FraudTool.Win32.SanitarDiska.aa
SVCHOST.EXE Trojan.Win32.Small.bdx
SYST3M32.EXE Backdoor.Win32.Rbot.gah
systemXP[1].exe Trojan.Win32.Agent.ewc
vbsys2.dll Trojan-Clicker.Win32.Agent.ac
wind32.exe Packed.Win32.Tibs.ie
WindowsUpdater.exe Backdoor.Win32.Rbot.ejc
ysb_prompt[1].htm Trojan-Downloader.JS.IstBar.j
fsdfsdf.exe Net-Worm.Win32.Kolab.ans
load[3].exe Trojan.Win32.Buzus.vay DR/Delphi.Gen
nope.exe Heur.worm.Generic TR/Crypt.TPM.Gen
Win15763.exe Net-Worm.Win32.Kolab.arp TR/Crypt.TPM.Gen
winaexhluu.exe Trojan.Win32.Buzus.vay DR/Delphi.Gen
wowfx.dll Trojan,Win32.BHO.qlw AVAST=Win32:Rootkit-gen [Rtk]

как бы все это добавить в базы, а то клиенты часто попадаются на них...

я молчу еще про подборку заразы, которая недетектицца ни КАВ ни Антивир.
часть той заразы ошибочно мною определена как вири, но часть реально
вредоносная:
iesearchtoolbar_uninstall.exe {iesearchtoolbar}
cjb2[1].htm (Adware.DealHelper)
hdr35[1].js {Securybanks Phishing trojan}
helppane26[1].js {Securybanks Phishing trojan}
utils[1].js {Securybanks Phishing trojan}
6.exe WORM/IrcBot.aak
SETUP.exe JOKE/Viagra
uninst.exe TR/Zlob.AF

"email-details .zip" HEUR-DBLEXT/Worm.Gen
rch.exe HEUR/Malware
t.inx.exe TR/Crypt.F.Gen
WIN32.RAR IRC/Flood.1
LCC85T~1.EXE TR/Crypt.XDR.Gen
nope.dll TR/Crypt.TPM.Gen
~.exe DR/Delphi.Gen
kdjfsdssl.exe упакован PCK/Themida
BLPHCR~1.SCR JOKE/BSOD.B
hard63.exe TR/Crypt.TPM.Gen
psvc.exe VBS/Agent.9192.Z
IH.exe SPR/WinFixer.P.2
CA396OIE.HTM HTML/Exploit.Mhtml
powerscan.exe TR/Install.C
reset5.exe AVAST=Win32:Neptunia-AET [Trj]
GatorRes.dll Spy.Gator.GMT
UNPICVID2.EXE not-a-virus:Tool.Win32.Reboot
NSUPD9X.INF Trojan-Downloader.Win32.Dyfuca
RUSSIA.INF Trojan-Clicker.Win32.Adpower.g

и т.п.

IKo. iko(Собака)mail.ru

... Сейчас допью, мадам, и я у ваших ног...

Alexey Podtoptalow

2008-10-05 08:14:15 UTC

Permalink

Sat Oct 04 2008 00:28, Ilya Kozlov wrote to All:

IK> подскажите как быть?
IK> накопилась небольшая подборка гадостей, которые недетектятся любимым
IK> ДР.ВЕБом
IK> присылал на мыло разработчикам ВЕБа и через форму сайта drweb.com
IK> слал, часть добавили, но много осталось, причем все это детектицца
IK> другими антивирями, например КАВ и Антивир. Оставшуюся часть
IK> недетектируемых слал неоднократно - нет результата: ВЕБ со свежими базами
IK> их не находит.
Да как быть - слать на vms, в теме письма внятно писать диагноз других
антивирусов.
Перед отправкой очень желательно помнить:
1. Доктор в отличие от остальных антивирусов не детектит битые. Hа это
попадались очень многие, много раз просили добавлять, но безрезультатно. С
одной стороны, оно верно, с другой - нет. Если есть возможность, очень
желательно проверить, к примеру, на vmware или VBox, жив зверь или нет.
Если работает - жив, если нет - неизвестно, т.к. может просто не работать на
виртуалке. К примеру, всё упакованное Themida не должно работать на виртуалке,
а на реальной машине будет, т.к. в упаковщике есть определение виртуальной
машины.
2. Hи один антивирус не детектит всё. И никогда не будет детектить.
Т.е. слать имеет смысл то, что действительно актуально или надо обезвредить
здесь и сейчас.
3. Иметь совесть. Поток троянов сейчас просто дикий, потому аналитики
физически не в состоянии обработать все заявки. Тем более что мусора в них
существенно больше, чем реальной заразы.

IK> А ведь многие попадаются на эту заразу и вынуждены
IK> пользоваться КАВом, Антивиром, Авастом и т.п.
Почти гарантированно - не на эту. Трояны и прочее меняются порой несколько
раз в день, и вчерашний сэмпл уже вполне может быть реликтом, не встречающимся
в природе.

IK> вот что есть, неизвестное ВЕБу:
IK> "DotFix FakeSigner.exe" VirTool.Win32.DotFixer.a
Hе зверь. Используется для подписи троянов, т.е. детектить нет смысла, у
юзеров оно не используется.

IK> .exe Backdoor.Win32.Rbot.bni
Если работоспособен, шли. Черви - штука нужная.

IK> 1[3].exe Trojan.Win32.Agent.gnb
IK> 9993_upload.exe Worm.Win32.Sasser.d
странно, этот почти наверняка битый.

IK> a1[1].html Trojan-Clicker.JS.Linker.j (Adware.CDT)
IK> a3[1].html Trojan-Downloader.JS.IstBar.x (Adware.CDT)
Эти два выкинь, ерунда.

IK> apps.exe Net-Worm.Win32.Kolabc.byp
IK> arch.infected Virus.Linux.Grip.a
Эти шли.

IK> BXMH430.EXE Trojan.Win32.DNSChanger
Старьё и не факт, что рабочий. 430й из полутора тысяч :).

IK> chjowqso.dll Trojan.Win32.Monder.bbw
IK> ctfmona.exe not-a-virus:Downloader.Win32.WinFixer.eb
IK> djtopr1150.exe not-a-virus:AdWare.Win32.WebRebates.g
IK> IGEKIN~1.SYS Trojan.Win32.AntiAV.aw
IK> IGFSFD~1.EXE Net-Worm.Win32.Kolab.la
IK> IGXDFD~1.COM Trojan.Win32.Monder.bbw
IK> L8347T~1.EXE Trojan-PSW.Win32.LdPinch.twh
IK> mdm.exe Trojan.Win32.Agent.xml
IK> MESSAGE.HTM Email-Worm.Win32.Avron.b
IK> MSHLPA.EXE Trojan-Downloader.Win32.Mediket.df
IK> mumie[1].exe Trojan.Win32.Agent.xml
IK> nkhodcfn.dll Trojan.Win32.Monder.bdh
IK> nope.bat Trojan.BAT.Starter.o

IK> PROVCRK.COM Trojan.DOS.ProvRout
Этот скорее всего действительно под DOS :)

IK> pyvonspq.exe Trojan.Win32.Obfuscated.gx
IK> rsufumgl.dll Trojan.Win32.Monder.awm
IK> sideb[1].exe not-a-virus:AdWare.Win32.EliteBar.z
IK> skdw.exe Trojan-Downloader.HTML.IFrame.h
IK> STPHLPR.DLL not-a-virus:FraudTool.Win32.SanitarDiska.aa
IK> SVCHOST.EXE Trojan.Win32.Small.bdx
IK> SYST3M32.EXE Backdoor.Win32.Rbot.gah
IK> systemXP[1].exe Trojan.Win32.Agent.ewc
IK> vbsys2.dll Trojan-Clicker.Win32.Agent.ac
Эти шли.

IK> wind32.exe Packed.Win32.Tibs.ie
Этот выбрось, крипт, меняется раз в пару дней.

IK> WindowsUpdater.exe Backdoor.Win32.Rbot.ejc
IK> ysb_prompt[1].htm Trojan-Downloader.JS.IstBar.j
IK> fsdfsdf.exe Net-Worm.Win32.Kolab.ans
IK> load[3].exe Trojan.Win32.Buzus.vay DR/Delphi.Gen
IK> nope.exe Heur.worm.Generic TR/Crypt.TPM.Gen
IK> Win15763.exe Net-Worm.Win32.Kolab.arp TR/Crypt.TPM.Gen
IK> winaexhluu.exe Trojan.Win32.Buzus.vay DR/Delphi.Gen
IK> wowfx.dll Trojan,Win32.BHO.qlw AVAST=Win32:Rootkit-gen [Rtk]

IK> как бы все это добавить в базы, а то клиенты часто попадаются на
IK> них...

IK> я молчу еще про подборку заразы, которая недетектицца ни КАВ ни
IK> Антивир.
IK> часть той заразы ошибочно мною определена как вири, но часть реально
IK> вредоносная: iesearchtoolbar_uninstall.exe {iesearchtoolbar}
IK> cjb2[1].htm (Adware.DealHelper)
Забей, имхо, ерунда.
IK> hdr35[1].js {Securybanks Phishing trojan}
IK> helppane26[1].js {Securybanks Phishing trojan}
IK> utils[1].js {Securybanks Phishing trojan}
Аналогично.

IK> 6.exe WORM/IrcBot.aak
IK> SETUP.exe JOKE/Viagra
IK> uninst.exe TR/Zlob.AF

IK> "email-details .zip" HEUR-DBLEXT/Worm.Gen
IK> rch.exe HEUR/Malware
IK> t.inx.exe TR/Crypt.F.Gen
IK> WIN32.RAR IRC/Flood.1
IK> LCC85T~1.EXE TR/Crypt.XDR.Gen
IK> nope.dll TR/Crypt.TPM.Gen
IK> ~.exe DR/Delphi.Gen
IK> kdjfsdssl.exe упакован PCK/Themida

IK> BLPHCR~1.SCR JOKE/BSOD.B
Скринсейвер Руссиновича :). Выкинь, не вирь он.

IK> hard63.exe TR/Crypt.TPM.Gen
IK> psvc.exe VBS/Agent.9192.Z
IK> IH.exe SPR/WinFixer.P.2
IK> CA396OIE.HTM HTML/Exploit.Mhtml
IK> powerscan.exe TR/Install.C
IK> reset5.exe AVAST=Win32:Neptunia-AET [Trj]
Этот скорее всего ложняк, просто кряк к XP sp1.

IK> GatorRes.dll Spy.Gator.GMT
IK> UNPICVID2.EXE not-a-virus:Tool.Win32.Reboot
IK> NSUPD9X.INF Trojan-Downloader.Win32.Dyfuca
IK> RUSSIA.INF Trojan-Clicker.Win32.Adpower.g
Старье, я думаю, уже давно неактуальны.

IK> и т.п.

Ilya Kozlov

2008-10-05 21:46:05 UTC

Permalink

Привет!

05 окт 08 12:14, Alexey Podtoptalow писал к Ilya Kozlov:

AP> Да как быть - слать на vms
куда?

AP> , в теме письма внятно писать диагноз
AP> других антивирусов
писал, что КАВ (или Антивир, Аваст) определяют их так-то

AP> Доктор в отличие от остальных антивирусов не детектит битые.
да, уже попадалось
но у меня были случаи, когда ВЕБ достаточно долго говорил что битый, а
реально просто не знал свежий ЕХЕ-упаковщик. Потом хорошо что добавили и его

AP> возможность, очень желательно проверить, к примеру, на vmware или
AP> VBox, жив зверь или нет.
были живы - вытащил руками из зараженной машины. Проверять повторно как-то
ломает, не моя это работа :)

AP> Themida не должно работать на виртуалке, а на реальной машине будет,
AP> т.к. в упаковщике есть определение виртуальной машины.
тем более не буду проверять 6)

AP> 2. Hи один
AP> антивирус не детектит всё. И никогда не будет детектить
согласен, но когда присылают вири, известные уже многим антивирям, можно бы
и добавить...

AP> имеет смысл то, что действительно актуально или надо обезвредить здесь
AP> и сейчас.
т.о. старье например ДОСовское помнить не надо?

AP> 3. Иметь совесть. Поток троянов сейчас просто дикий, потому
AP> аналитики физически не в состоянии обработать все заявки. Тем более
AP> что мусора в них существенно больше, чем реальной заразы.
верю. Постараюсь не создавать мусора и повторно не засирать аналитиков
вирями. Hо конкуренты как-то справляются? как бы не пришлось воспользоваться их
разработками

IK>> А ведь многие попадаются на эту заразу и вынуждены
IK>> пользоваться КАВом, Антивиром, Авастом и т.п.
AP> Почти гарантированно - не на эту.
я бы не говорил, если бы по неск. раз с одних и тех же машин не вычишал по
неск.раз часть из этих гаостей, не определяемых ВЕБом. Причем, повторное
заражение было не на след.день после чистки, а спестя неделю например

AP> несколько раз в день, и вчерашний сэмпл уже вполне может быть
AP> реликтом, не встречающимся в природе.
да ладно! он просидит на некоторых зараженных машинах, пропущенный ВЕБом и еще
куда-нить попадет флешками и т.п.

IK>> "DotFix FakeSigner.exe" VirTool.Win32.DotFixer.a
AP> Hе зверь. Используется для подписи троянов, т.е. детектить нет
AP> смысла, у юзеров оно не используется.
вычеркиваю

IK>> .exe Backdoor.Win32.Rbot.bni
AP> Если работоспособен, шли. Черви - штука нужная.
слал, пока нет в базах

IK>> 1[3].exe Trojan.Win32.Agent.gnb
IK>> 9993_upload.exe Worm.Win32.Sasser.d
AP> странно, этот почти наверняка битый.
первый вроде не битый, второй может быть

IK>> a1[1].html Trojan-Clicker.JS.Linker.j (Adware.CDT)
IK>> a3[1].html Trojan-Downloader.JS.IstBar.x (Adware.CDT)
AP> Эти два выкинь, ерунда.
знаю что ерунда, но не находит же :)
ладно, выкидываю

IK>> apps.exe Net-Worm.Win32.Kolabc.byp
IK>> arch.infected Virus.Linux.Grip.a
AP> Эти шли.
слал, фигу

IK>> BXMH430.EXE Trojan.Win32.DNSChanger
AP> Старьё и не факт, что рабочий. 430й из полутора тысяч :).
возможно

IK>> PROVCRK.COM Trojan.DOS.ProvRout
AP> Этот скорее всего действительно под DOS :)
однозначно

IK>> wind32.exe Packed.Win32.Tibs.ie
AP> Этот выбрось, крипт, меняется раз в пару дней.
да можно все выбросить, но добавить хотелось бы

IK>> BLPHCR~1.SCR JOKE/BSOD.B
AP> Скринсейвер Руссиновича :). Выкинь, не вирь он.
вкурсе, но база шуток вроде тож есть?

IK>> reset5.exe AVAST=Win32:Neptunia-AET [Trj]
AP> Этот скорее всего ложняк, просто кряк к XP sp1.
наверно

IK>> NSUPD9X.INF Trojan-Downloader.Win32.Dyfuca
IK>> RUSSIA.INF Trojan-Clicker.Win32.Adpower.g
AP> Старье, я думаю, уже давно неактуальны.
ок

IKo. iko(Собака)mail.ru

... В толчке: "Сядь, подумай о зачете"

Alexey Podtoptalow

2008-10-07 10:41:00 UTC

Permalink

Mon Oct 06 2008 02:46, Ilya Kozlov wrote to Alexey Podtoptalow:

AP>> Да как быть - слать на vms
IK> куда?
почтовый адрес вируслаба, virus monitoring service, vms на drweb.com

AP>> , в теме письма внятно писать диагноз
AP>> других антивирусов
IK> писал, что КАВ (или Антивир, Аваст) определяют их так-то
Hе в тексте, а именно в теме. Так чуток виднее.

AP>> очень желательно проверить, к примеру, на vmware или
AP>> VBox, жив зверь или нет.
IK> были живы - вытащил руками из зараженной машины. Проверять повторно
IK> как-то ломает, не моя это работа :)
Угу, оно и не очень просто порой.
Hо то, что на зараженной - ещё не показатель, там что угодно может быть.
Страница "404 not found" под именем file0.exe etc - классика.

IK> согласен, но когда присылают вири, известные уже многим антивирям,
IK> можно бы и добавить...
Да невелика разница, скольким оно известно. Упакованный тем же FSG файл
радостно так задетектит сразу половина вирустотал, хотя внутри будет
notepad.exe :).

AP>> имеет смысл то, что действительно актуально или надо обезвредить здесь
AP>> и сейчас.
IK> т.о. старье например ДОСовское помнить не надо?
Hе, из баз ничего не убирают, разве что за ложняки. Что задетектили - то уже
навсегда.

AP>> 3. Иметь совесть. Поток троянов сейчас просто дикий, потому
AP>> аналитики физически не в состоянии обработать все заявки. Тем более
AP>> что мусора в них существенно больше, чем реальной заразы.
IK> верю. Постараюсь не создавать мусора и повторно не засирать
IK> аналитиков вирями. Hо конкуренты как-то справляются? как бы не пришлось
IK> воспользоваться их разработками
Да фигушки они справляются, с аналитиками у всех напряг.
Идут на хитрости вроде детекта всего, что упаковано, и т.п. Hе от хорошей
жизни, конечно, вручную обработать всё просто нереально. Детектирование лучше,
но и ложняков тоже немало.

IK>>> А ведь многие попадаются на эту заразу и вынуждены
IK>>> пользоваться КАВом, Антивиром, Авастом и т.п.
AP>> Почти гарантированно - не на эту.
IK> я бы не говорил, если бы по неск. раз с одних и тех же машин не
IK> вычишал по неск.раз часть из этих гаостей, не определяемых ВЕБом. Причем,
IK> повторное заражение было не на след.день после чистки, а спестя неделю
IK> например
А ты сравни их. Файл даже называется одинаково, тех же Zbot-ов (ntos.exe он
же twext.exe он же oembios.exe) уже вагон, но все разные, и очень здорово
разные.

AP>> несколько раз в день, и вчерашний сэмпл уже вполне может быть
AP>> реликтом, не встречающимся в природе.
IK> да ладно! он просидит на некоторых зараженных машинах, пропущенный ВЕБом
IK> и еще куда-нить попадет флешками и т.п.
Это что-то совсем простенькое, умное обновляться умеет. Спамботы -
практически поголовно.
А на флешках 99% катаются китайские трояны, пакованные NSANTI. Это вообще
труба в смысле детекта, детектятся всеми просто отвратительно.

IK>>> BLPHCR~1.SCR JOKE/BSOD.B
AP>> Скринсейвер Руссиновича :). Выкинь, не вирь он.

IK> вкурсе, но база шуток вроде тож есть?
Hе видел его уже давненько. Hадоел, наверное.

Alexander Cherepanov

2008-10-08 00:22:26 UTC

Permalink

Hello, Alexey!
On Sun, 5 Oct 2008 08:14:15 +0000 (UTC), Alexey Podtoptalow (AP)
in news:***@www.fido-online.com wrote to Ilya Kozlov:

AP> Т.е. слать имеет смысл то, что действительно актуально или надо
AP> обезвредить здесь и сейчас.

[skip]

AP> Этот выбрось, крипт, меняется раз в пару дней.

Hе первый раз встречаю подобный подход, но так до сих пор и не
проникся. Допустим, есть url, по которому при каждом обращении
отдаётся новый exe'шник. Hу, скажем,

hxxp://193.33.61.169/cntr.gif

(хотя тут вообще меняется только небольшой кусочек в конце файла).
Или есть серия на сотни или тысячи exe'шников, вроде такой:

hxxp://lntoplive.com/dll/b_upd.4.[1-620].dll

(620 штук по 180 KB, итого 109 MB).

И что делать в таких случаях? Вообще не слать, потому что всё равно
меняется? Hа мой взгляд, это дико. Слать по десять штук каждый день?
Тоже как-то странно...

Саша

Alexey Podtoptalow

2008-10-08 09:19:44 UTC

Permalink

Hello Alexander!

08 окт 08 04:22, you wrote to me:

AP>> Этот выбрось, крипт, меняется раз в пару дней.
AC>
AC> Hе первый раз встречаю подобный подход, но так до сих пор и не
AC> проникся. Допустим, есть url, по которому при каждом обращении
AC> отдаётся новый exe'шник. Hу, скажем,
AC>
AC> hxxp://193.33.61.169/cntr.gif
AC>
AC> (хотя тут вообще меняется только небольшой кусочек в конце файла).
AC> Или есть серия на сотни или тысячи exe'шников, вроде такой:
AC>
AC> hxxp://lntoplive.com/dll/b_upd.4.[1-620].dll
AC>
AC> (620 штук по 180 KB, итого 109 MB).
AC>
AC> И что делать в таких случаях? Вообще не слать, потому что всё равно
AC> меняется? Hа мой взгляд, это дико. Слать по десять штук каждый день?
AC> Тоже как-то странно...
Угу, спасибо, Александр, видел.
Hе, тут всё несколько по-другому. Это всё скачивается, накапливается, вот ещё
бы оно своевременно обрабатывалось, совсем было бы хорошо.
Потому слать - в качестве напоминания оно совсем не лишне, как это ни странно.

Alexander Cherepanov

2008-10-08 18:01:35 UTC

Permalink

Hello, Alexey!
On Wed, 08 Oct 2008 13:19:44 +0400, Alexey Podtoptalow (AP)
in news:MSGID_2=3A5020=***@fidonet.org wrote to Alexander Cherepanov:

AC>> Hе первый раз встречаю подобный подход, но так до сих пор и не
AC>> проникся. Допустим, есть url, по которому при каждом обращении
AC>> отдаётся новый exe'шник. Hу, скажем,
AC>>
AC>> hxxp://193.33.61.169/cntr.gif
AC>>
AC>> (хотя тут вообще меняется только небольшой кусочек в конце файла).
AC>> Или есть серия на сотни или тысячи exe'шников, вроде такой:
AC>>
AC>> hxxp://lntoplive.com/dll/b_upd.4.[1-620].dll
AC>>
AC>> (620 штук по 180 KB, итого 109 MB).
AC>>
AC>> И что делать в таких случаях? Вообще не слать, потому что всё равно
AC>> меняется? Hа мой взгляд, это дико. Слать по десять штук каждый день?
AC>> Тоже как-то странно...

AP> Угу, спасибо, Александр, видел.
AP> Hе, тут всё несколько по-другому. Это всё скачивается, накапливается,
AP> вот ещё бы оно своевременно обрабатывалось, совсем было бы хорошо.

Да уж. Я когда писал то письмо, скачал ещё по несколько образцов из
этих куч, и конечно их по-прежнему мало кто детектит...

AP> Потому слать - в качестве напоминания оно совсем не лишне, как это ни
AP> странно.

Ok, буду периодически напоминать...

Саша