Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

Сергей Ильин

По поводу списка официально поддерживаемых пакеров каждым АВ. Еще раз говорю, эта информация для теста малоинтересна. Мы не ставим задачу уличить в чем-то вендоров, интересен результат, выбранные пакеры поддерживаются или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
По поводу списка официально поддерживаемых пакеров каждым АВ. Еще раз говорю, эта информация для теста малоинтересна. Мы не ставим задачу уличить в чем-то вендоров, интересен результат, выбранные пакеры поддерживаются или нет?

не хочется переливать из пустого в порожнее - всегда можно подобрать так, что бы тест устроил заказчика, любого :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
не хочется переливать из пустого в порожнее - всегда можно подобрать так, что бы тест устроил заказчика, любого :)

Я конечно понимаю, что всегда хочется оставить возможность выхода из ситуации, когда антивирус вдруг себя покажется как-то не так (даже вследствие чистой случайности выбора), но не до такой же степени... :roll:

Да что говорить кучу раз одно и то же, выбор производится случайным образом, основное правило - детект в неупакованном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z
не хочется переливать из пустого в порожнее - всегда можно подобрать так, что бы тест устроил заказчика, любого :)

Я конечно понимаю, что всегда хочется оставить возможность выхода из ситуации, когда антивирус вдруг себя покажется как-то не так (даже вследствие чистой случайности выбора), но не до такой же степени... :roll:

Да что говорить кучу раз одно и то же, выбор производится случайным образом, основное правило - детект в неупакованном виде.

Вы не согласны со столь одназначной формулировкой основного парадокса любого тестирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко

Для generic unpacker'а тоже можно составить список гарантированно поддерживаемых распаковщиков (в принципе, он даже у нас есть).

Где можно озанкомиться с его содержанием? Если это конечно не "военная тайна".

Другое дело, что публиковать его мало смысла - реальное число подерживаемых пакеров на самом деле больше (за счет тех, которые поддерживаются, но еще не попали в руки разработчиков или вообще еще пока не написаны :)).

Согласен, но все-таки было бы интересно узнать какие упаковщики на данный момент поддерживаются VBA 32 (из существующих).

В форуме на wilderssecurity где-то год назад всплывал такой список (процитирован из приватной переписки).

P.S. Как известно, VBA 32 показал себя не с самой лучшей стороны в ходе проведения теста на обнаружение упакованных вредоносных объектов. Я имею в виду тест на anti-malware.ru. Можно сколько угодно рассуждать о корректности теста и методов подведения итогов, но факт остается фактом - VBA 32 пропустил немалое число упакованнных вирусов.

С другой стороны, немалое количество упакованных вирусов было поймано. Из 132 живых сэмплов было пропущено 62 и поймано 70, т.е. всего было поймано 53% упакованных вирусов из тестовой коллекции. Если исключить "неудачный" файл, о котором уже говорилось выше, процент детектирования будет еще выше.

Но речь не об этом. Каждый день к нам попадают сотни (а иногда и тысячи) сэмплов новой малвари. Большинство из них упакованы. Для какой-то части из этих файлов не удается нормально снять упаковщик, мы эту ситуацию отслеживаем и постоянно обновляем движок. Естественно, приоритет отдается тем пакерам, которые наиболее часто встречаются среди потока этих файлов и нас "достают". Во многих случаях даже не удается идентифицировать, чем именно были упакованы эти файлы (мы особо и не пытаемся это делать), поэтому составление списка имен поддерживаемых пакеров несколько затруднительно. Несколько проще идти с другой стороны - брать конкретный пакер, паковать сэмплы, и добавлять его поддержку таким образом.

В общем и целом, на наш вгляд, c поддержкой упаковщиков у нас все относительно неплохо. Это подтверждает эффективность работы эвристика и ретроспективные тестирования. Ведь не распаковав файл, эвристику там делать просто нечего (разве что ругаться на любой упакованный файл, но это не метод).

В данной связи у меня возник вопрос. Будет ли внесены какие-либо коррективы в процедуру детектирования подобных объектов? И что конкретно собираются сделать специалисты VBA?

Коррективы вносятся постоянно и поддержка пакеров все время улучшается. Естественно, у нас ресурсов поменьше, чем у более крупных контор, но работы в этом направлении ведутся. Таже будем постепенно пытаться оптимизировать движок под тесты, т.е. под тот набор пакеров, которые наиболее часто всплывают в тестированиях :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
не хочется переливать из пустого в порожнее - всегда можно подобрать так, что бы тест устроил заказчика, любого :)

Вы не согласны со столь одназначной формулировкой основного парадокса любого тестирования?

Женя, а что делать, если заказчика нет. Не вы, ни мы, никакой другой вендор не заказывал этот тест и люди делают его для себя. Потому что им интересно. Сами придумывают методику, сами проводят тесты. Что делать в этом случае? Кого устроит такой тест?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
В форуме на wilderssecurity где-то год назад всплывал такой список (процитирован из приватной переписки).

К сожалению никак не могу найти. :( В любом случае эта информация скорее всего устарела.

С другой стороны, немалое количество упакованных вирусов было поймано.

Согласен. Прошу рассматривать мои замечания как конструктивную критику.

Но речь не об этом. Каждый день к нам попадают сотни (а иногда и тысячи) сэмплов новой малвари. Большинство из них упакованы. Для какой-то части из этих файлов не удается нормально снять упаковщик, мы эту ситуацию отслеживаем и постоянно обновляем движок. Естественно, приоритет отдается тем пакерам, которые наиболее часто встречаются среди потока этих файлов и нас "достают". Во многих случаях даже не удается идентифицировать, чем именно были упакованы эти файлы (мы особо и не пытаемся это делать), поэтому составление списка имен поддерживаемых пакеров несколько затруднительно. Несколько проще идти с другой стороны - брать конкретный пакер, паковать сэмплы, и добавлять его поддержку таким образом.

И все-таки я не совсем вас понял. Как поступают в VBA в случае обнаружения malware, обработанного новым упаковщиком? По возможности корректируют движок или добавляют соответствующую сигнатуру? Я не очень хорошо разбираюсь в особенностях движка вашего антивиурса и работе вирусной лаборатории VBA. Простите, если задаю не совсем корректные вопросы.

В общем и целом, на наш вгляд, c поддержкой упаковщиков у нас все относительно неплохо. Это подтверждает эффективность работы эвристика и ретроспективные тестирования.

Согласен. Но это не означает, что нужно останавливаться на достигнутом. Не так ли? :)

Ведь не распаковав файл, эвристику там делать просто нечего (разве что ругаться на любой упакованный файл, но это не метод).

А как насчет эмуляции кода?

Коррективы вносятся постоянно и поддержка пакеров все время улучшается. Естественно, у нас ресурсов поменьше, чем у более крупных контор, но работы в этом направлении ведутся. Таже будем постепенно пытаться оптимизировать движок под тесты, т.е. под тот набор пакеров, которые наиболее часто всплывают в тестированиях :)

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
PeP не встречался мне вообще на гуляющей малваре, поэтому он не стоял в начала списка. Этот примитивный пакер довольно глюкавый, поэтому новые версии выходять чуть ли не каждую неделю. Распаковщик будет добавлен в течении 10 дней (автор может дальше лапшу вешать про невзламываемость, тем не менее, в первых версиях он не гнушался воровать мой собственный код, хоть и покаялся потом, когда я ткнул его личиком в нужное место). Ничего сложного тут нет, просто не успели добавить :)

Что-то так этот пакер никто и не распаковывает. :(

Так может он нетакой уж и примитивный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Что-то так этот пакер никто и не распаковывает.

Есть скромные надежды, что на будующей неделе кто-нибудь начнет распаковывать хотябы последнюю офицальную версию :)

> Так может он нетакой уж и примитивный?

В плане идей - да, в плане реализации - нет. Но глюкавый очень сильно, много самплов делает неработоспособными. Правда с дефолтовыми настройками все вроде работает хотябы под ХР.

Кстати на этой неделе появились первые черви им запакованные =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Che

Давненько я сюда не захаживал ... смотрю вы собственный тест антивирусов сделали, респект! Хотя для меня, как старого фаната Касперского его результаты не оказались неожиданность, КАВ рулит однозначно :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вопрос для Dr.Golova.

Когда Касперский сможет распаковывать файлы пакованные PESpin??

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Когда Касперский сможет распаковывать файлы пакованные PESpin??

Последний (v1.304) распаковывает c ноября прошлого года

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Последний (v1.304) распаковывает c ноября прошлого года

Что-то плохо он распаковывает!! Добрую часть не может. Вы помоему где-то сами говорили, что существует проблема с распаковкой данного пакера. Вот я и спросил: когда Каспер будет распаковывать все файлы пакованные PESpin (версии 1.304 и младшии)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
И все-таки я не совсем вас понял. Как поступают в VBA в случае обнаружения malware, обработанного новым упаковщиком? По возможности корректируют движок или добавляют соответствующую сигнатуру? Я не очень хорошо разбираюсь в особенностях движка вашего антивиурса и работе вирусной лаборатории VBA. Простите, если задаю не совсем корректные вопросы.

Чем бы malware не была упакована, ее детектировать все равно надо. Поэтому в случае нового неподдерживаемого упаковщика, сигнатура добавляется по упакованным данным. После доработки движка, сигнатуры перестраиваются и добавляется нормальное детектирование. Думаю, в общих чертах примерно так же работают и другие компании.

А как насчет эмуляции кода?

Эмуляция кода - это всего лишь один из инструментов в арсенале антивируса. Она применяется и для распаковки файлов, и для эвристики, и для других вещей, например может также в какой-то степени использоваться при лечении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

И все-таки я не совсем вас понял. Как поступают в VBA в случае обнаружения malware, обработанного новым упаковщиком? По возможности корректируют движок или добавляют соответствующую сигнатуру? Я не очень хорошо разбираюсь в особенностях движка вашего антивиурса и работе вирусной лаборатории VBA. Простите, если задаю не совсем корректные вопросы.

Чем бы malware не была упакована, ее детектировать все равно надо. Поэтому в случае нового неподдерживаемого упаковщика, сигнатура добавляется по упакованным данным. После доработки движка, сигнатуры перестраиваются и добавляется нормальное детектирование. Думаю, в общих чертах примерно так же работают и другие компании.

Да, думаю Вы правы.

Эмуляция кода - это всего лишь один из инструментов в арсенале антивируса. Она применяется и для распаковки файлов, и для эвристики, и для других вещей, например может также в какой-то степени использоваться при лечении.

Благодарю за ответы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
baribal

Приветствую всех. В тесте использовались антивирусы:

McAfee VirusScan 2006

Symantec Norton AntiVirus 2006.

Как я понимаю - это версии для персонального пользования, т.е. хоум едишн. Есть версии корпоративные:

McAfee VirusScan Enterprise v8.0i

Symantec Corporate Edition v8, 9, 10.

Я это веду к тому, что по тестам и обзорам корпоративные версии лечат вирусы лучше. В данном случае - это правда? Может быть имеет смысл потестировать и их? Или движок в корпоративной версии и домашней один и тот же?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я это веду к тому, что по тестам и обзорам корпоративные версии лечат вирусы лучше. В данном случае - это правда? Может быть имеет смысл потестировать и их? Или движок в корпоративной версии и домашней один и тот же?

Поддержка упаковщиков - функция антивирусного движка. Поэтому все равно по сути какой из продуктов тестировать, персональный или конпоративный, ведь движек везде один и тот же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Что-то плохо он распаковывает!!

Ооох, лучше поздно, чем никогда... :)

Рспаковывается все нормально, и файлы даже запускаются после распаковки. Проблема в том что пакер пермутирует куски оригнальной программы, и если маски попадают на такое место, то после распаковки детекта не будет. В случае эпидемии самоперепаковывающихся троянов маски можно будет переложить на места, которые нельзя мутировать. Так что лучше такой распаковщик, чем вобще никакой, когда придется делать маски на каждый сампл (а пакер использыет полиморфную крипту), так что все самплы будут разными :)

Обратить пермутацию можно (и почему я не сделал это сразу?). Но тогда придется ручками песчитать маски у пары сотен файлов, что собрались и былыи задетекчены за несколько лет. Пока у меня нет столько лишнего времени.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Ясно.

Просто DrWeb к примеру показал в нашем тесте лучше результат на этот пакер, да и сам я при паковке вижу что он берет все пакованные.

З.Ы. private_exe_protector 2.0 уже вышел. Хотя его так ещё никто и не берет Ж(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Поддержка упаковщиков - функция антивирусного движка. Поэтому все равно по сути какой из продуктов тестировать, персональный или конпоративный, ведь движек везде один и тот же.

В InterScan Messaging Security Suite (защита SMTP и POP3-почту) есть такая штука --- IntelliTrap, которая обеспечивает автоматическую распакову и проверку программ, присоединенных к письмам. В определенном смысле, именно на почтовом шлюзе наиболее актуальна подобная функциональность.

Получается, что если ограничется тестированием сканеров на рабочих станциях результат будет один, а если протестировать на корпоративной линейке, все будет существенно лучше, но только насколько "существенно" сложно узнать, ведь тестируются движки на рабочих станциях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> З.Ы. private_exe_protector 2.0 уже вышел. Хотя его так ещё никто

> и не берет Ж(

КАВ должен брать, хотя опять же пеп пермутирует точку входа- сигнатуры могут слетать :( Мы работаем над потоковым детекшеном, но пока он есть только у больших клиентов :(

Добавлено спустя 4 минуты 21 секунду:

> автоматическую распакову и проверку программ, присоединенных

> к письмам. В определенном смысле, именно на почтовом шлюзе

> наиболее актуальна подобная функциональность.

Ну например messagelabs отправляют в dev/null все письма с аттачами, упакаванными FSG, MEW, SVKP и многими другими. Никто вроде не жалуется :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
cracklover

Как замечательно, что в сети есть такой форум и обсуждается такая тема.

Хотел бы и я кое-что сообщить по существу темы.

Без ложной скромности, могу заметить что я уже, что называется, не одну собаку съел на поприще спортивного объегоривания антивирусов запакованными и закриптованными монстриками.

Ещё раз отмечу, СПОРТИВНОГО интереса! Не более.

Вот мои выводы, основанные на скупой статистике онлайн-проверок и проверок стационарно.

Из примерно 30 наиболее значимых антивирусов, используемых в данное время в мире, только всего несколько антивирусов способны оказать ощутимое противодействие запакованным (закрпитованным) вирусам.

Остальные, пока можо выкинуть на помойку.

Что и говорить, если даже традиционная пятёрка лидеров практически никак буквально до последних месяцев не противостояла даже самым заюзанным и заношенным пакерам и крипторам, спокойно пропуская заражённые обработанные файлы.

Очень обидно, что, например Антивирус Касперского до сих пор пропускает файлы закриптованные несколькими распространёнными крипторами, а Доктор Веб вообще поддаётся даже на примитивное ручное добавление мусора в файл, начисто теряя возможности поиска по сигнатуре и с помощью эвристики, не говоря об обработке настоящими крипторами.

Только Eset Nod32 к моему ужасному удивлению поднаторел за послдение несколько месяцев на поприще работы с закриптованными вирусами, на ура декриптуя настоящий гвоздь в ж... для всех остальных антивирусов - EXECryptor. Да и почти все остальные крипторы ему по зубам. Однако, к сожалению, и Нод32 пока не так сложно обходится двойной паковкой-криптовкой.

Об остальных антивирусах я даже и говорить не стану. Защита от них микроскопическая.

Так что, очень обидно, что пока ни один производитель не догадался в обязательном порядке встроить в совй антвирусный продукт хотя бы отключаемую-включаемую функция предупреждения о невозможности распаковать-декриптовать файл, чтобы пользователь хотя бы знал, что среди кучи првоеряемых файлов есть такие очень подозрительные и провёл их дальнейший анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
Только Eset Nod32 к моему ужасному удивлению поднаторел за послдение несколько месяцев на поприще работы с закриптованными вирусами, на ура декриптуя настоящий гвоздь в ж... для всех остальных антивирусов - EXECryptor.

ну почему же - Касперский тоже его детектил по сигнатурам раньше, пока автор вежливо не попросил убрать сигнатуры из базы :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Остальные, пока можо выкинуть на помойку.

Не забывайте, что некоторые антивирусы неплохо детектируют упакованные вирусы поверх упаковщика используя стандартный сигнатурный метод.

Очень обидно, что, например Антивирус Касперского до сих пор пропускает файлы закриптованные несколькими распространёнными крипторами, а Доктор Веб вообще поддаётся даже на примитивное ручное добавление мусора в файл, начисто теряя возможности поиска по сигнатуре и с помощью эвристики, не говоря об обработке настоящими крипторами.

Приведите пожалуйста примеры.

Только Eset Nod32 к моему ужасному удивлению поднаторел за послдение несколько месяцев на поприще работы с закриптованными вирусами, на ура декриптуя настоящий гвоздь в ж... для всех остальных антивирусов - EXECryptor. Да и почти все остальные крипторы ему по зубам. Однако, к сожалению, и Нод32 пока не так сложно обходится двойной паковкой-криптовкой.

Почему же тогда в этом тесте http://anti-malware.ru/index.phtml?part=tests он "взял" всего лишь чуть больше половины упакованных вредоносных объектов? Или что-то существенно изменилось за последнее время?

Так что, очень обидно, что пока ни один производитель не догадался в обязательном порядке встроить в совй антвирусный продукт хотя бы отключаемую-включаемую функция предупреждения о невозможности распаковать-декриптовать файл, чтобы пользователь хотя бы знал, что среди кучи првоеряемых файлов есть такие очень подозрительные и провёл их дальнейший анализ.

Интересное предложение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так что, очень обидно, что пока ни один производитель не догадался в обязательном порядке встроить в совй антвирусный продукт хотя бы отключаемую-включаемую функция предупреждения о невозможности распаковать-декриптовать файл, чтобы пользователь хотя бы знал, что среди кучи првоеряемых файлов есть такие очень подозрительные и провёл их дальнейший анализ.

Например КАВ при проверке пишет, если файл упакован и проверка его не проведена. Это всегда можно посмотреть в отчете о стканирвоании.

См. скриншот ниже (результат скана небольшой файловой помойки с сортировкой по статусу). Обратите внимание на пустоту в графе "Причина" - проверка этих файлов не проведена.

kis_scan.png

post-4-1162034878.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×