Рейтинг@Mail.ru

Перейти к содержимому


Фотография
* * * * * 4 Голосов

Возможно ли самостоятельно разработать антивирус


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 1036

#1 Ссылка на это сообщение vpv

vpv
  • Member
  • avatar
  • Участник
  • Pip
  • 24 сообщений
4 - Нейтрал

Отправлено 21 February 2013 - 02:07 PM

Вчера наткнулся в газете заметку про местного писателя антивируса http://ap22.ru/paper/paper_9019.html
Загуглил сайт с этой поделкой. При попытке скачать КИС выдал аллерт на троян. Вирустотал тоже в шоке.
Как про таких могут вообще в новостях говоритьи в газетах писать.
Нашел автора в контактике - запостил ему результат вирустотала на стену - он очень смешно отмазывается.
Очень активно везде продвигает http://stud-forum.ru...I...&DocId=2970 и http://www.katun24.r...news_19884.html
Последователь Дениски Попова, но тот хотя бы не продавал...

Стыдно, что он учится в том же универе, где я учился...

Сообщение отредактировал vpv: 21 February 2013 - 02:08 PM

  • 4

#2 Ссылка на это сообщение mcomodo

mcomodo
  • Gold Member
  • avatar
  • Участник
  • PipPipPip
  • 135 сообщений
17 - Полезный

Отправлено 21 February 2013 - 05:39 PM

Фильтр SmartScreen не дал скачать.
Подробнее по теме http://elib.altstu.r...28babushkin.pdf
  • 0

#3 Ссылка на это сообщение Seregin

Seregin
  • Newbie
  • avatar
  • Новичок
  • 9 сообщений
0 - Нейтрал

Отправлено 22 February 2013 - 09:51 AM

Не так давно появился Казахстанский антивирус, и его производители умудряются выигрывать с ним тендера. Что думаете о нем?
http://altair.winzard.kz/?page_id=22
  • 0

#4 Ссылка на это сообщение Зайцев Олег

Зайцев Олег
  • Platinum Member
  • avatar
  • Эксперт
  • PipPipPipPip
  • 332 сообщений
401 - Мудрец

Отправлено 22 February 2013 - 02:35 PM

Зато у него движек написан на бат-файлах (не юмор - реально 2 батника, с задержкой между проверками при помощи ping), но главное, в базах есть файл
sysfiles.info с содержимым:
Код
C:\192.168.0.2-Администратор-GHRmkd743ff
C:\192.168.1.102-Настя-насастюсюхаса

а в другом (база детекта по именам судя по всему):
Код
C:\Users\Babushkin\Desktop\123123123\КРИПТОР\bin\crypt\bin\php\php.exe
C:\Users\Babushkin\Documents\SMSDV\SMSDV.exe

а у конкурентов такого нет smile.gif
  • 0

#5 Ссылка на это сообщение priv8v

priv8v
  • Guru
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 1639 сообщений
960 - Авторитет

Отправлено 22 February 2013 - 02:50 PM

Олег, а еще подробностей? smile.gif Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?
Сигнатуры есть хоть какие-то или по путям поиск?smile.gif

PS: времени вообще нет. даже на то чтобы скачать продукт sad.gif
  • 0

#6 Ссылка на это сообщение grixa

grixa
  • Newbie
  • avatar
  • Новичок
  • 9 сообщений
10 - Полезный

Отправлено 22 February 2013 - 02:50 PM

Список ключей лежит по адресу http://Mefistofell:*...le-a.ru/key.tab (кому нужно - тот отснифает).
А вот и база сигнатур: http://server.falcon...munity/base.dll

Сообщение отредактировал grixa: 22 February 2013 - 02:51 PM

  • 0

#7 Ссылка на это сообщение Зайцев Олег

Зайцев Олег
  • Platinum Member
  • avatar
  • Эксперт
  • PipPipPipPip
  • 332 сообщений
401 - Мудрец

Отправлено 22 February 2013 - 03:10 PM

Цитата(priv8v @ 22.02.2013, 15:50) *
Олег, а еще подробностей? smile.gif Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?
Сигнатуры есть хоть какие-то или по путям поиск?smile.gif

PS: времени вообще нет. даже на то чтобы скачать продукт sad.gif

Да у меня тоже времени нет такой ерундой заниматься ... в immunity/base.dll лежит "база" на 36 прямых имен файлов (!! включая букву диска и имя юзера в профиле), но в программе сказано, что их 1.7 миллиона smile.gif Хуков не заметно, вирусам не проивостоит, убивается из проводника. Содержит ряд странных DLL (в одной - картинка, в другой - данные, в стретьей - PEiD переименованный ... smile.gif ), в процессе работы постоянно бурбулирует процесами ping.exe ... они там заместо таймера
  • 0

#8 Ссылка на это сообщение grixa

grixa
  • Newbie
  • avatar
  • Новичок
  • 9 сообщений
10 - Полезный

Отправлено 22 February 2013 - 03:14 PM

Вот так выглядит антивирус в процессах (еще есть сервис, который ничего не делает):



Любые файлы в корне с расширением sys - 100% детект:


А дедект порождает вот этот "модуль":


Там действительно все на батниках. Есть несколько exe'шников, они написаны на VB и легко декомпилируются. В базах, скачиваемых из сети, находится аж 32 имени файлов и 3 CRC-суммы.
  • 5

#9 Ссылка на это сообщение priv8v

priv8v
  • Guru
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 1639 сообщений
960 - Авторитет

Отправлено 22 February 2013 - 03:20 PM

Цитата
вирусам не проивостоит

это в корне неверное утверждение. Чтобы заметить его работу нужно поставить популярного два года назад зловреда класса троян-онлайн-геймс, который еще амво.экзе писал. Вот в базе видно его имя:
Цитата
amvo*.*#fna


Олег, спасибо за информацию! )))

  • 0

#10 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5642 сообщений
997 - Авторитет

Отправлено 22 February 2013 - 03:25 PM

А чем провинился диск I? И почему дальше J нет логики?
  • 0

#11 Ссылка на это сообщение priv8v

priv8v
  • Guru
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 1639 сообщений
960 - Авторитет

Отправлено 22 February 2013 - 03:47 PM

Ого, Umnik с ходу нашел уязвимость! PoC в студию!!!

PS: grixa, спасибо за исследование, было смешно))) пс2: хороший набор инструментов smile.gif (CFF explorer, масм, питон, тулзы Руссиновича).
Вы откуда к нам? smile.gif
  • 0

#12 Ссылка на это сообщение grixa

grixa
  • Newbie
  • avatar
  • Новичок
  • 9 сообщений
10 - Полезный

Отправлено 22 February 2013 - 03:48 PM

Опять детект по имени файла (пустого) в корне диска, но уже сигнатурными базами (base.dll):


Часть кода сканирования базами:


Обратите внимание получение "сигнатурных сведений" с помощью random'а.
  • 5

#13 Ссылка на это сообщение grixa

grixa
  • Newbie
  • avatar
  • Новичок
  • 9 сообщений
10 - Полезный

Отправлено 22 February 2013 - 04:12 PM

Без комментариев:

  • 0

#14 Ссылка на это сообщение Umnik

Umnik
  • МОДЕРАТОР ОЛОЛО
  • avatar
  • Супермодератор
  • PipPipPipPipPipPip
  • 5642 сообщений
997 - Авторитет

Отправлено 22 February 2013 - 05:49 PM

http://juick.com/Umnik/2249039 Запись вышла в топ Жуйки за несколько минут smile.gif Пятничное настроение все-таки
  • 0

#15 Ссылка на это сообщение Milord

Milord
  • Platinum Member
  • avatar
  • Участник
  • PipPipPipPip
  • 278 сообщений
54 - Знаток

Отправлено 22 February 2013 - 07:04 PM

Ещё доведёт до ума проект "флешка-маркер", ну что бы писали, и поедет в Сколково))
  • 0

#16 Ссылка на это сообщение priv8v

priv8v
  • Guru
  • avatar
  • Участник
  • PipPipPipPipPipPip
  • 1639 сообщений
960 - Авторитет

Отправлено 22 February 2013 - 08:38 PM

Надо автора пригласить к нам в интервью с экспертами... )))))
  • 0

#17 Ссылка на это сообщение treme

treme
  • Gold Member
  • avatar
  • Участник
  • PipPipPip
  • 119 сообщений
41 - В теме

Отправлено 22 February 2013 - 11:50 PM

Вот вы, лузеры, тут ржёте, а парню 400 штук явно карман не давят.))
Цитата
Доработать программу Алексей Бабушкин планирует в ближайшее время. Он - один из победителей программы "УМНИК", направленной на поддержку молодых ученых. Изобретатель получит 400 тысяч рублей в течение ближайших двух лет. А в будущем сможет представить свой проект на конкурсе для маститых ученых.

http://www.katun24.r...news_19884.html

  • 0

#18 Ссылка на это сообщение Petuya

Petuya
  • Member
  • avatar
  • Участник
  • Pip
  • 20 сообщений
5 - Нейтрал

Отправлено 23 February 2013 - 12:44 AM

У этого АВ в конфигах выписаны URL. Зашел на один из этих адресов - а там лежт бесплатная версия Immunitet (тут). Мб скоро удалится, так что перевыложил: http://rghost.ru/44037653

Сообщение отредактировал Petuya: 23 February 2013 - 12:46 AM

  • 0

#19 Ссылка на это сообщение Petuya

Petuya
  • Member
  • avatar
  • Участник
  • Pip
  • 20 сообщений
5 - Нейтрал

Отправлено 23 February 2013 - 01:02 AM

Кстати еще одна есть. http://rghost.ru/44037890
  • 0

#20 Ссылка на это сообщение KIS_fan

KIS_fan
  • Gold Member
  • avatar
  • Участник
  • PipPipPip
  • 116 сообщений
17 - Полезный

Отправлено 23 February 2013 - 01:14 AM

grixa
Не подскажете чем распаковывали ?
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных