Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

В этой теме 224 сообщений

Inkogn

запаривался бы отлавливать false positives.

А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

Попробуйте внести в Avire в исключения все HEUR/Crypted, HEUR/Malware, PCK/PESpin, PCK/MEW, PCK/Packman...

Не исключено, ваша точка зрения изменится.

Если же такие файлы на данную машину в принципе не попадают, то и говорить не о чем.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

Попробуйте внести в Avire в исключения все HEUR/Crypted, HEUR/Malware, PCK/PESpin, PCK/MEW, PCK/Packman...

Не исключено, ваша точка зрения изменится.

Если же такие файлы на данную машину в принципе не попадают, то и говорить не о чем.

Я имел ввиду,что не всё подозревать и спрашивать,а именно:зачем за упаковщиками и их сканом так гнаться?ЕСЛИ было бы возможно,и была бы кнопка считать запакованные неизвестными (антивирусу) упаковщиками файлы за вирусы,то я бы эту кнопку включил.Просто по факту:некто воспользовался екзотикой,значит,наверняка чтобы спятаться и от клиента что-то увести.Особенно,если вдруг появляется запакованный экзотикой файл.А кому прятать нечего,то подумает и о клиенте,что бы тот мог удостовериться.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я имел ввиду,что не всё подозревать и спрашивать,а именно:зачем за упаковщиками и их сканом так гнаться?ЕСЛИ было бы возможно,и была бы кнопка считать запакованные неизвестными (антивирусу) упаковщиками файлы за вирусы,то я бы эту кнопку включил.Просто по факту:некто воспользовался екзотикой,значит,наверняка чтобы спятаться и от клиента что-то увести.Особенно,если вдруг появляется запакованный экзотикой файл.А кому прятать нечего,то подумает и о клиенте,что бы тот мог удостовериться.

Соглашусь с вами по поводу "кнопки".

Но она была бы хороша в сочетании с неплохим знанием пакеров (по крайней мере, на уровне лучших в этом плане продуктов).

Вот такая, на мой взгляд, круговая зависимость.

Когда же эту кнопку делают без выполнения данного условия, как в той же Avira, то ситуация превращается в довольно назойливую и глупую.

Зато отлично смотрится в тестах :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как я думаю,очень много ресурсов уходит,что бы за упаковщиками угнаться.И это к тому,что и без того все ресурсы заняты.На сегодняшнем уровне детекта упаковщиков я рассматриваю за повышение защиты добавление кнопки,которая неизвестные упаковщики рассматривает за вирус.Как в Avira я не знаю.Но смысла не вижу считать новый файл за чистый,если он неизвестным пакером упакован.В лучшем случае его в карантин (или стереть).Было бы идеальным дополнением.

А что там с Авирой?Или можно навредить,если новые файлы в неизвестном пакере стирать?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.
Не раскроет. :)
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.

Вирус "раскроется" в память, а не на диск. Напрямую память в реальном времени никто не проверяет. И даже не в реальном времени _почти_ никто не проверяет. Там свои нюансы есть... Поэтому распакованный в память вирус найден не будет...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как я думаю,очень много ресурсов уходит,что бы за упаковщиками угнаться.И это к тому,что и без того все ресурсы заняты.На сегодняшнем уровне детекта упаковщиков я рассматриваю за повышение защиты добавление кнопки,которая неизвестные упаковщики рассматривает за вирус.

Уровень достаточно сильно отличается.

Т.е. для "крутого" в этом смысле продукта она вроде как (?) и не обязательна, а для "слабого" будет хороша во всех смыслах, если, грубо говоря, выходить в интернет раз в год.

Как в Avira я не знаю.Но смысла не вижу считать новый файл за чистый,если он неизвестным пакером упакован.В лучшем случае его в карантин (или стереть).Было бы идеальным дополнением.

Опять-таки, весь вопрос в том, что считать неизвестным пакером.

Из последних примеров - ссылка на "тест" на форуме KL:

http://forum.kaspersky.com/index.php?showtopic=28261

На более-менее беспристастное отношение к Avir-е, думаю, в этом случае можно рассчитывать.

И расчеты вас не подведут :wink:

Насчет "Было бы идеальным дополнением" - полностью с вами согласен. При условии, что "неизвестные пакеры" действительно редкие.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Опять-таки, весь вопрос в том, что считать неизвестным пакером.

В том-то и дело,как я это понял.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если бы в антивирусе была бы настройка,позволяющая файл,запакованный неизвестным упаковщиком,рассматривать по умолчанию за вирус,обязательно включил бы на домашнем компе.Очень подозрительно,когда малоизвестный упаковщик используется или неизвестный,если просто детект неизвестного упаковщика возможен.

Похоже многие вендоры так и делают Ж)

Вот например как реагируют антивирусы на Trojan-PSW.Win32.Avisa, криптованного WOC 1.0 (кста криптор мало распространенный):

Complete scanning result of "123.exe", received in VirusTotal at 01.21.2007, 23:31:42 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.21.2007 no virus found

Authentium 4.93.8 01.21.2007 could be a corrupted executable file

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.21.2007 Generic2.JIJ

BitDefender 7.2 01.21.2007 MemScan:Trojan.PWS.Avisa.B

CAT-QuickHeal 9.00 01.20.2007 no virus found

ClamAV devel-20060426 01.21.2007 no virus found

DrWeb 4.33 01.21.2007 Trojan.MulDrop.4611

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.118 01.20.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.21.2007 Trojan.Agent.abr

Fortinet 2.82.0.0 01.21.2007 no virus found

F-Prot 3.16f 01.21.2007 no virus found

F-Prot4 4.2.1.29 01.21.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Trojan.Win32.Agent.abr

Kaspersky 4.0.2.24 01.21.2007 Trojan.Win32.Agent.abr

McAfee 4943 01.19.2007 no virus found

Microsoft 1.1904 01.21.2007 no virus found

NOD32v2 1995 01.21.2007 no virus found

Norman 5.80.02 01.21.2007 W32/Agent.ASUV

Panda 9.0.0.4 01.21.2007 no virus found

Prevx1 V2 01.21.2007 no virus found

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.153 01.21.2007 Trojan/Agent.abr

UNA 1.83 01.19.2007 Trojan.Win32.Agent.999DTrojan.Win32.Agent.abr

VBA32 3.11.2 01.20.2007 Trojan.Win32.Agent.abr

VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information

File size: 93696 bytes

MD5: 40aff0417d9f74f59be6923ad1cf3080

SHA1: caf7a46f74d53886edec2572964273f4de983f19

Интересно, что из всех AV распаковавает ток BitDefender. А так любой файл пакуй - Trojan.Win32.Agent.abr (так Каспер реагирует да и все остальные drweb - Trojan.MulDrop.4611).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Private EXE Protector стал брать Касперский (вроде ток последнюю версию - 2.0).

Complete scanning result of "whInstaller.exe", received in VirusTotal at 01.22.2007, 23:32:40 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.22.2007 ADSPY/WebHancer.I

Authentium 4.93.8 01.22.2007 no virus found

Avast 4.7.936.0 01.22.2007 no virus found

AVG 386 01.22.2007 Adware Generic.SNQ

BitDefender 7.2 01.22.2007 no virus found

CAT-QuickHeal 9.00 01.22.2007 no virus found

ClamAV devel-20060426 01.22.2007 Adware.Webhancer-16

DrWeb 4.33 01.22.2007 no virus found

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.119 01.22.2007 no virus found

eTrust-Vet 30.3.3343 01.22.2007 no virus found

Ewido 4.0 01.22.2007 Adware.WebHancer

Fortinet 2.82.0.0 01.22.2007 Spy/WebHancer

F-Prot 3.16f 01.22.2007 no virus found

F-Prot4 4.2.1.29 01.22.2007 no virus found

Ikarus T3.1.0.27 01.22.2007 no virus found

Kaspersky 4.0.2.24 01.22.2007 not-a-virus:AdWare.Win32.WebHancer.390

McAfee 4946 01.22.2007 potentially unwanted program Spyware-WebHancer

Microsoft 1.1904 01.22.2007 no virus found

NOD32v2 1998 01.22.2007 no virus found

Norman 5.80.02 01.22.2007 W32/WebHancer.CA

Panda 9.0.0.4 01.22.2007 Adware/WebHancer

Prevx1 V2 01.22.2007 Adware.Webhancer

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.22.2007 webHancer

TheHacker 6.0.3.154 01.22.2007 no virus found

UNA 1.83 01.22.2007 Adware.WebHancer.5CF8

VBA32 3.11.2 01.22.2007 AdWare.Win32.WebHancer.390

VirusBuster 4.3.19:9 01.22.2007 no virus found

Aditional Information

File size: 249856 bytes

MD5: b2ed053c1c155386b2d7bb2f8fab3574

SHA1: e93847d6ea4218014ab95a59521a014b963f3a7a

и криптованый:

Complete scanning result of "whInstaller_PEP.exe", received in VirusTotal at 01.22.2007, 23:35:46 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.22.2007 no virus found

Authentium 4.93.8 01.22.2007 no virus found

Avast 4.7.936.0 01.22.2007 no virus found

AVG 386 01.22.2007 no virus found

BitDefender 7.2 01.22.2007 no virus found

CAT-QuickHeal 9.00 01.22.2007 (Suspicious) - DNAScan

ClamAV devel-20060426 01.22.2007 no virus found

DrWeb 4.33 01.22.2007 no virus found

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.119 01.22.2007 no virus found

eTrust-Vet 30.3.3343 01.22.2007 no virus found

Ewido 4.0 01.22.2007 no virus found

Fortinet 2.82.0.0 01.22.2007 suspicious

F-Prot 3.16f 01.22.2007 no virus found

F-Prot4 4.2.1.29 01.22.2007 no virus found

Ikarus T3.1.0.27 01.22.2007 Backdoor.Win32.Rbot.aeu

Kaspersky 4.0.2.24 01.22.2007 not-a-virus:AdWare.Win32.WebHancer.390

McAfee 4946 01.22.2007 no virus found

Microsoft 1.1904 01.22.2007 no virus found

NOD32v2 1998 01.22.2007 no virus found

Norman 5.80.02 01.22.2007 no virus found

Panda 9.0.0.4 01.22.2007 no virus found

Prevx1 V2 01.22.2007 no virus found

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.22.2007 VIPRE.Suspicious

TheHacker 6.0.3.154 01.22.2007 no virus found

UNA 1.83 01.22.2007 no virus found

VBA32 3.11.2 01.22.2007 MalwareScope.Backdoor.Hupigon.14

VirusBuster 4.3.19:9 01.22.2007 no virus found

Aditional Information

File size: 313930 bytes

MD5: 2bcb1f959d84de9f9d31b5062a5c9d3b

SHA1: c44c41131a806f32fa926491f3fc1601a3ab1546

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что-то давно нет результатов последних тестов, или они больше не проводятся? Написано Ноябрь-Декабрь 2006 (ожидается). :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что-то давно нет результатов последних тестов, или они больше не проводятся? Написано Ноябрь-Декабрь 2006 (ожидается). :(

Можете пока глянуть сведения на из "пристрастных" :D источников:

http://forum.kaspersky.com/index.php?showtopic=28261

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если будет еще одно тестирование: можно проверить антивирусами сами файлы упаковщиков и посмотреть результат.

Примерчик - пакер NPACK

STATUS: FINISHEDComplete scanning result of "nPack.exe", received in VirusTotal at 02.16.2007, 15:27:10 (CET).

Antivirus Version Update Result

AntiVir 7.3.1.37 02.16.2007 no virus found

Authentium 4.93.8 02.15.2007 no virus found

Avast 4.7.936.0 02.16.2007 no virus found

AVG 386 02.15.2007 no virus found

BitDefender 7.2 02.16.2007 Trojan.Peed.Gen

CAT-QuickHeal 9.00 02.15.2007 (Suspicious) - DNAScan

ClamAV devel-20060426 02.16.2007 no virus found

DrWeb 4.33 02.16.2007 no virus found

eSafe 7.0.14.0 02.16.2007 Suspicious Trojan/Worm

eTrust-Vet 30.4.3405 02.16.2007 no virus found

Ewido 4.0 02.16.2007 no virus found

Fortinet 2.85.0.0 02.16.2007 suspicious

F-Prot 4.2.1.29 02.15.2007 no virus found

F-Secure 6.70.13030.0 02.16.2007 no virus found

Ikarus T3.1.0.31 02.16.2007 Generic.Trojan.Entit

Kaspersky 4.0.2.24 02.16.2007 no virus found

McAfee 4964 02.15.2007 no virus found

Microsoft 1.2204 02.16.2007 no virus found

NOD32v2 2065 02.16.2007 no virus found

Norman 5.80.02 02.16.2007 no virus found

Panda 9.0.0.4 02.15.2007 Suspicious file

Sophos 4.14.0 02.16.2007 no virus found

Sunbelt 2.2.907.0 02.15.2007 VIPRE.Suspicious

Symantec 10 02.16.2007 no virus found

TheHacker 6.1.6.059 02.16.2007 no virus found

UNA 1.83 02.14.2007 no virus found

VBA32 3.11.2 02.16.2007 no virus found

VirusBuster 4.3.19:9 02.15.2007 no virus found

Aditional Information

File size: 45056 bytes

MD5: e81d8bc3df72de817e3e62a1d83bf23f

SHA1: ce9400146196333cb4114f381fd16cd6de25489d

packers: NPACK, BINARYRES, NPACK

зы. Особенно радуют дженерик записи.[/i]

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Kuzz, спасибо, это действительно интересно будет посмотреть. Рузультаты могут быть очень забавные :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне интересно, когда на ВирусТотал обновят движек Касперского? НУ сколько уже 4 версией пользоваться? ЛК могла бы и бесплатно предоставить им шестой движек....

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как второй вариант забавных результатов: упакованый легитимный (напр.: kernel32.dll) файл.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне интересно, когда на ВирусТотал обновят движек Касперского? НУ сколько уже 4 версией пользоваться? ЛК могла бы и бесплатно предоставить им шестой движек....

Этот миф упрямо повторяется =) Народ, движок у Касперского не зависит от версии продукта! Он одинаковый и у 4-й версии, и у 5-й, и у 6-й. Он качается с обновлениями баз. Движок ответственнен за сканирование файла (сигнатуры + кодовый эфристик). Так как это единственное, что проверяет вирустотал, то ему нет никакого резона обновлять версию до 6-й.

Домашние пользователи версии 6 защищены больше, благодаря проактивной защите. Но проактивная защита на вирустотале не тестируется, так как присланные файлы не запускаются, а только сканируются. И остальные новшества продуктов ЛК так же не актуальны в случае с вирустоталом (например, лечение в архивах, проверка почты или проверка хттп-траффика - чего тоже в 4-й версии вроде бы не было...)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вопрос задаёт Александр Друздь

Чем обьяснить тогда различия в детектах? 4.5 не детектит, а 6 детектит..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Этот миф упрямо повторяется =) Народ, движок у Касперского не зависит от версии продукта! Он одинаковый и у 4-й версии, и у 5-й, и у 6-й. Он качается с обновлениями баз. Движок ответственнен за сканирование файла (сигнатуры + кодовый эфристик). Так как это единственное, что проверяет вирустотал, то ему нет никакого резона обновлять версию до 6-й.

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

А с обновлениями не движек качается, а способ распаковки...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вопрос задаёт Александр Друздь

Чем обьяснить тогда различия в детектах? 4.5 не детектит, а 6 детектит..

Что именно детектит?

Добавлено спустя 1 минуту 13 секунд:

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

А с обновлениями не движек качается, а способ распаковки...

Изменился и выкачался всем в базах. У ЛК движок = базы. Распаковка, процедуры сканирования - всё в базах.

Добавлено спустя 1 минуту 10 секунд:

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

Можно линк? Может я что-то пропустил действительно... Но не припомню таких ответов.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey писал(а):

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

Можно линк? Может я что-то пропустил действительно... Но не припомню таких ответов.

Извините, по сути похоже что громко брошенная фраза...

...но с чего то я же это взял... значит где то прочитал... и это было оченью 2005, когда приступил к бета-тестированию шестерки...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее