Детектирование полиморфов

[Dr.Golova 55]

Работоспособность файлов trapeX.ex_ лично я бы проверил в первую очередь, ибо эти goat'ы есть сильно извращенные РЕ файлы, и не каждый вирус их может корректно заразать. Хотя если их почти все детектят, то видимо все в порядке. Зато видно сразу что битдефендер не только не знает джолу, но и до кучи у него почти никогда не хватает циклов эмуляции чтобы задетектить эвристикой заражение файлов в его B-HAVE =)

[A. 876]

Я собственно на это и хотел указать, иначе бы было не понятно почему ЛК периодически не показывала 100% по тесту полиморфиков на VB.

опять "периодически". я ведь уже один раз попросил вас привести конкретные названия полиморфов, когда и на чем ЛК не взяла VB100.

мне известен единственный случай (года три назад что ли), когда пропустили Etap.

Спасибо за откровенность, которой вам иногда не хватает. Так же жаль что в ваш тест (надеюсь пока) не попал Zmist.

Будет Zmist.

[headache 0]

headache писал(а):

Я собственно на это и хотел указать, иначе бы было не понятно почему ЛК периодически не показывала 100% по тесту полиморфиков на VB.

опять "периодически". я ведь уже один раз попросил вас привести конкретные названия полиморфов, когда и на чем ЛК не взяла VB100.

мне известен единственный случай (года три назад что ли), когда пропустили Etap.

Вы невнимательно читаете, речь не об VB100, а расширенных тестах на полиморфиках, которые на получение VB100 никак не влияют (хоть 0% показывай). И там у KAV не всегда были 100% (ссылка TiX-а тоже подтверждает, что недетект полиморфиков случается у KAV-а). К сожалению, доступа к журналам сейчас нет, поэтому привести screenshot-ы не могу.

[TiX 0]

Моя ссылка - таблицы и описание - тесты с AV-Comparatives

On-Daemand тест последний ж) там внижу есть скрока - % of polymorphic viruses detection

[headache 0]

Моя ссылка - таблицы и описание - тесты с AV-Comparatives

Это что-то меняет? Разве я писал, что ваша ссылка на рез-таты VB? Замечание было о том, что KAV тоже бывает пропускает полиморфиков, хотя в тестах сделанных A. этого нет (почему тоже понятно).

[A. 876]

Это что-то меняет? Разве я писал, что ваша ссылка на рез-таты VB? Замечание было о том, что KAV тоже бывает пропускает полиморфиков, хотя в тестах сделанных A. этого нет (почему тоже понятно).

Вы только не забывайте, что темой топика была попытка оспорить утверждение "по полиморфикам Доктор традиционно всегда был и остаётся сильнее", а не "детектит ли KAV 100% полиморфов"

[headache 0]

Вы только не забывайте, что темой топика была попытка оспорить утверждение "по полиморфикам Доктор традиционно всегда был и остаётся сильнее", а не "детектит ли KAV 100% полиморфов" Smile

Безусловно началось всё вот с этого:

Доктор бывает часто лучше в детекте сложных полиморфных вирусов, но их количество мало (не количество заражаемых объектов, а количество видов вирусов), поэтому на этих графиках этого не видно и не может быть увидено.

но после того как вы начали приводить примеры, я просто заметил, что:

PS: Пока же рез-таты выглядят не совсем объективными - DrWeb что-то пропускает, а KAV нет - это странно, т.к. пропуски полиморфиков уKAV достаточно часто встречались в отчетах VB. Ваша коллекция выглядит "специально подобранной".

Возможно я преувеличил с "достаточно часто", но всё же случаи были. На мой взгляд, сейчас по детекту полиморфиков +- разница небольшая, как было раньше ничего сказать не могу - т.к. нормальных тестов полиморфиков (когда не один сэмпл полиморфика берется, а много размноженных) почти никто не проводит.

[zenka 0]

Для любителей тестов. Вирусяка 2003 года.

File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found Generic8.GYJ

BitDefender Found BehavesLike:Trojan.ShellReg (probable variant)

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found Win32.KME.based

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found probably unknown NewHeur_PE (probable variant)

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

Пароль virus. Сами понимаете что внутри так что на свой страх и риск. Если честно был немного в шоке

[LINKS ARE BLOCKED]

[A. 876]

это вы на джотти проверяли ?

Дело в том, что _какое-то_время_назад_ на ВирусТотале они были _несколько_ иные:

BehavesLike:Trojan.ShellReg (BitDefender)

(Suspicious) - DNAScan (CAT-QuickHeal)

Win32.KME.based (DrWeb)

Suspicious Trojan/Worm (eSafe)

W32/Malware (F-Secure)

W32/Bagif (McAfee)

probably unknown NewHeur_PE virus (NOD32v2)

W32/Malware (Norman)

==

к вопросу о разных онлайн-сервисах проверки ...

что можно сказать, не глядя детально на сампл - это либо дроппер Багифа (не сам полиморфный вирус), либо фолсы у всех на нечто общее.

Размер файла с размером оригинальных дропперов от Багифа совпадает.

ща посмотрим

Добавлено спустя 23 минуты 18 секунд:

так. дроппер породил файлик system.jpg, дропнул и запустил.

на который VT говорит вот что:

AhnLab-V3 2007.10.16.0 2007.10.15 -

AntiVir 7.6.0.23 2007.10.15 -

Authentium 4.93.8 2007.10.14 -

Avast 4.7.1051.0 2007.10.14 -

AVG 7.5.0.488 2007.10.15 -

BitDefender 7.2 2007.10.15 BehavesLike:Trojan.ShellReg

CAT-QuickHeal 9.00 2007.10.13 (Suspicious) - DNAScan

ClamAV 0.91.2 2007.10.14 -

DrWeb 4.44.0.09170 2007.10.15 Win32.KME.based

eSafe 7.0.15.0 2007.10.10 -

eTrust-Vet 31.2.5207 2007.10.13 -

Ewido 4.0 2007.10.15 -

FileAdvisor 1 2007.10.15 -

Fortinet 3.11.0.0 2007.10.15 -

F-Prot 4.3.2.48 2007.10.15 -

F-Secure 6.70.13030.0 2007.10.15 -

Ikarus T3.1.1.12 2007.10.15 -

Kaspersky 7.0.0.125 2007.10.15 -

McAfee 5140 2007.10.12 W32/Bagif

Microsoft 1.2908 2007.10.15 Trojan:Win32/ExeHooker.gen

NOD32v2 2591 2007.10.14 probably unknown NewHeur_PE virus

Norman 5.80.02 2007.10.15 -

Panda 9.0.0.4 2007.10.14 -

Prevx1 V2 2007.10.15 -

Rising 19.45.02.00 2007.10.15 -

Sophos 4.22.0 2007.10.15 -

Sunbelt 2.2.907.0 2007.10.13 -

Symantec 10 2007.10.15 -

TheHacker 6.2.8.091 2007.10.15 -

VBA32 3.12.2.4 2007.10.15 -

VirusBuster 4.3.26:9 2007.10.14 -

Webwasher-Gateway 6.6.1 2007.10.15 -

--

Этот файлик каждый раз создается разный (полиморф). Файлы оно не заражает.

P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

[Dmitry Perets 30]

P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

Ой. А я такого вердикта ещё не видел в "реале" =)

[Mopger 0]

File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

Вчера честно отправил в Авиру. С сегодняшнего дня:

Contains detection pattern of the worm WORM/Bagif.D

Avira Antivir PersonalEdition Classic

Engine 7.06.00.23

VDF 7.00.00.94

[A. 876]

File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

Вчера честно отправил в Авиру. С сегодняшнего дня:

Contains detection pattern of the worm WORM/Bagif.D

Avira Antivir PersonalEdition Classic

Engine 7.06.00.23

VDF 7.00.00.94

как всегда - уперли детект...

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Добавлено спустя 6 минут 11 секунд:

P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

Ой. А я такого вердикта ещё не видел в "реале" =)

Скрины от Шестерки. На семерке не проверял даже.

[NickXists 5]

сорри за офтоп,

что касается вердиктов PDM, то неизменно радует наименование "Подозрительное действие: Стрейнж Бихэвье" : ) :

[Alex_Goodwin 81]

Тоже офф, долго думал в какую тему писать

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

[A. 876]

Тоже офф, долго думал в какую тему писать

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

а другие антивирусы эти файлы лечат 100% ?

я Тенгу помню очень хорошо ...

[DWState 30]

Alex_Goodwin > подобная же ситуация была (не знаю как сейчас) с Virus.Win32.Hidrag.a Ужасно быстро распространялся и заражел все exe & msi файлы. Касперский лечил удяляя вредоновсный код из объекта а свободное место так сказать занулял в связи с чем контрольная сумма объекта менялась и фаил в 90% был неработоспособен, В тоже время НОД лечил коректно.

[dan 10]

Тоже офф, долго думал в какую тему писать

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

А до лечения работали 100% ?

[vaber 350]

подобная же ситуация была (не знаю как сейчас) с Virus.Win32.Hidrag.a

Странно. Уж кого-кого, но это, насколько мне известно, лечится корректно. Насчет контрольной суммы не знаю, но файлы должны быть работоспособны.

[DWState 30]

Ситуация 2.5 лет давности и спорить тут не буду по скольку под эту гидру тогда попало среди моих знаком только более 10 человек, да и по городу волна прокатилась...экзе файлы, но особенно инстал пакеты были убиты наповал, пришлось тогда по новой собирать коллекцию программ. Причем убивались только после лечения КАВом.

[Alex_Goodwin 81]

Доктор тоже не очень лечит.

И вообще, зачем такое лечение? Претензия именно в этом, а не в том, что лечит или нет. Просто нажимаешь лечить - получаешь коцаные файлы. ИМХО, надо честно признаться, что не лечим, и предложить только удалить. Юзер бы стал лечилку искать. А так, когда я к юзеру пришел, пришлось из резервного хранилища 7 все поднимать - вручную, по одному, т.к. кнопки восстанивить все у Касперского нет.

Ctrl+A и восстановить конечно помогает, но жать ол долго - долго совсем не прикольно..

[A. 876]

хорошо, спросим еще раз

"А до лечения работали 100% ?"

[Alex_Goodwin 81]

Уточнил. По словам пользователя: Зараженные файлы 100% рабочие. Ничем перед Касперским не лечились.

После лечения и удаления битых exe + полного сканирования, через некоторое время вирус появляется снова. Патч, закрывающий уъязвимость, эксплуатируемую вирусом, стоит.

После отключения восстановления системы и проверки в безопасном режиме наверное удалось избавится от вируса.

[A. 876]

я знаю как работает Тенга.

он убивает оверлей файла и записывается в него. Тут уже лечи - не лечи ....

не верите мне, ну может хоть Софосу поверите ?

http://www.sophos.com/security/analyses/w32tengaa.html

(см.закладку Advanced)

[Alex_Goodwin 81]

Верю.

[Wordmonger 35]

А чего тут гадать, "верю" — "не верю"? Продемонстрируейте пару файлов, которые после лечения KAV'ом не работают, а после лечения другим антивирусом ("симантек, например") нормально запускаются; или другой вариант: которые до лечения KAV'ом нормально работали, хоть и с заразой внутри, а после — сломались. Заодно и людям польза — мы лечение подправим, если что. :-)