Перейти к содержанию
A.

Детектирование полиморфов

Recommended Posts

Dr.Golova

Работоспособность файлов trapeX.ex_ лично я бы проверил в первую очередь, ибо эти goat'ы есть сильно извращенные РЕ файлы, и не каждый вирус их может корректно заразать. Хотя если их почти все детектят, то видимо все в порядке. Зато видно сразу что битдефендер не только не знает джолу, но и до кучи у него почти никогда не хватает циклов эмуляции чтобы задетектить эвристикой заражение файлов в его B-HAVE =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я собственно на это и хотел указать, иначе бы было не понятно почему ЛК периодически не показывала 100% по тесту полиморфиков на VB.

опять "периодически". я ведь уже один раз попросил вас привести конкретные названия полиморфов, когда и на чем ЛК не взяла VB100.

мне известен единственный случай (года три назад что ли), когда пропустили Etap.

Спасибо за откровенность, которой вам иногда не хватает. Так же жаль что в ваш тест (надеюсь пока) не попал Zmist.

Будет Zmist.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
headache
headache писал(а):

Я собственно на это и хотел указать, иначе бы было не понятно почему ЛК периодически не показывала 100% по тесту полиморфиков на VB.

опять "периодически". я ведь уже один раз попросил вас привести конкретные названия полиморфов, когда и на чем ЛК не взяла VB100.

мне известен единственный случай (года три назад что ли), когда пропустили Etap.

Вы невнимательно читаете, речь не об VB100, а расширенных тестах на полиморфиках, которые на получение VB100 никак не влияют (хоть 0% показывай). И там у KAV не всегда были 100% (ссылка TiX-а тоже подтверждает, что недетект полиморфиков случается у KAV-а). К сожалению, доступа к журналам сейчас нет, поэтому привести screenshot-ы не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Моя ссылка - таблицы и описание - тесты с AV-Comparatives

On-Daemand тест последний ж) там внижу есть скрока - % of polymorphic viruses detection

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
headache
Моя ссылка - таблицы и описание - тесты с AV-Comparatives

Это что-то меняет? Разве я писал, что ваша ссылка на рез-таты VB? Замечание было о том, что KAV тоже бывает пропускает полиморфиков, хотя в тестах сделанных A. этого нет (почему тоже понятно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это что-то меняет? Разве я писал, что ваша ссылка на рез-таты VB? Замечание было о том, что KAV тоже бывает пропускает полиморфиков, хотя в тестах сделанных A. этого нет (почему тоже понятно).

Вы только не забывайте, что темой топика была попытка оспорить утверждение "по полиморфикам Доктор традиционно всегда был и остаётся сильнее", а не "детектит ли KAV 100% полиморфов" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
headache
Вы только не забывайте, что темой топика была попытка оспорить утверждение "по полиморфикам Доктор традиционно всегда был и остаётся сильнее", а не "детектит ли KAV 100% полиморфов" Smile

Безусловно началось всё вот с этого:

Доктор бывает часто лучше в детекте сложных полиморфных вирусов, но их количество мало (не количество заражаемых объектов, а количество видов вирусов), поэтому на этих графиках этого не видно и не может быть увидено.

но после того как вы начали приводить примеры, я просто заметил, что:

PS: Пока же рез-таты выглядят не совсем объективными - DrWeb что-то пропускает, а KAV нет - это странно, т.к. пропуски полиморфиков уKAV достаточно часто встречались в отчетах VB. Ваша коллекция выглядит "специально подобранной".

Возможно я преувеличил с "достаточно часто", но всё же случаи были. На мой взгляд, сейчас по детекту полиморфиков +- разница небольшая, как было раньше ничего сказать не могу - т.к. нормальных тестов полиморфиков (когда не один сэмпл полиморфика берется, а много размноженных) почти никто не проводит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zenka

Для любителей тестов. Вирусяка 2003 года.

File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found Generic8.GYJ

BitDefender Found BehavesLike:Trojan.ShellReg (probable variant)

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found Win32.KME.based

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found probably unknown NewHeur_PE (probable variant)

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

Пароль virus. Сами понимаете что внутри так что на свой страх и риск. Если честно был немного в шоке :(

[LINKS ARE BLOCKED]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

это вы на джотти проверяли ?

Дело в том, что _какое-то_время_назад_ на ВирусТотале они были _несколько_ иные:

BehavesLike:Trojan.ShellReg (BitDefender)

(Suspicious) - DNAScan (CAT-QuickHeal)

Win32.KME.based (DrWeb)

Suspicious Trojan/Worm (eSafe)

W32/Malware (F-Secure)

W32/Bagif (McAfee)

probably unknown NewHeur_PE virus (NOD32v2)

W32/Malware (Norman)

==

к вопросу о разных онлайн-сервисах проверки ...

что можно сказать, не глядя детально на сампл - это либо дроппер Багифа (не сам полиморфный вирус), либо фолсы у всех на нечто общее.

Размер файла с размером оригинальных дропперов от Багифа совпадает.

ща посмотрим

Добавлено спустя 23 минуты 18 секунд:

так. дроппер породил файлик system.jpg, дропнул и запустил.

на который VT говорит вот что:

AhnLab-V3 2007.10.16.0 2007.10.15 -

AntiVir 7.6.0.23 2007.10.15 -

Authentium 4.93.8 2007.10.14 -

Avast 4.7.1051.0 2007.10.14 -

AVG 7.5.0.488 2007.10.15 -

BitDefender 7.2 2007.10.15 BehavesLike:Trojan.ShellReg

CAT-QuickHeal 9.00 2007.10.13 (Suspicious) - DNAScan

ClamAV 0.91.2 2007.10.14 -

DrWeb 4.44.0.09170 2007.10.15 Win32.KME.based

eSafe 7.0.15.0 2007.10.10 -

eTrust-Vet 31.2.5207 2007.10.13 -

Ewido 4.0 2007.10.15 -

FileAdvisor 1 2007.10.15 -

Fortinet 3.11.0.0 2007.10.15 -

F-Prot 4.3.2.48 2007.10.15 -

F-Secure 6.70.13030.0 2007.10.15 -

Ikarus T3.1.1.12 2007.10.15 -

Kaspersky 7.0.0.125 2007.10.15 -

McAfee 5140 2007.10.12 W32/Bagif

Microsoft 1.2908 2007.10.15 Trojan:Win32/ExeHooker.gen

NOD32v2 2591 2007.10.14 probably unknown NewHeur_PE virus

Norman 5.80.02 2007.10.15 -

Panda 9.0.0.4 2007.10.14 -

Prevx1 V2 2007.10.15 -

Rising 19.45.02.00 2007.10.15 -

Sophos 4.22.0 2007.10.15 -

Sunbelt 2.2.907.0 2007.10.13 -

Symantec 10 2007.10.15 -

TheHacker 6.2.8.091 2007.10.15 -

VBA32 3.12.2.4 2007.10.15 -

VirusBuster 4.3.26:9 2007.10.14 -

Webwasher-Gateway 6.6.1 2007.10.15 -

--

Этот файлик каждый раз создается разный (полиморф). Файлы оно не заражает.

P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

Ой. А я такого вердикта ещё не видел в "реале" =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mopger

File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

Вчера честно отправил в Авиру. С сегодняшнего дня:

Contains detection pattern of the worm WORM/Bagif.D

Avira Antivir PersonalEdition Classic

Engine 7.06.00.23

VDF 7.00.00.94

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
File: DROPPER.EXE

MD5: e8484937d06de7ae214f46f42e48dfba

Вчера честно отправил в Авиру. С сегодняшнего дня:

Contains detection pattern of the worm WORM/Bagif.D

Avira Antivir PersonalEdition Classic

Engine 7.06.00.23

VDF 7.00.00.94

как всегда - уперли детект...

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Добавлено спустя 6 минут 11 секунд:

P.S. Кстати, оба файла берутся PDM на "Data Execution", если это кому-нибудь интересно ...

Ой. А я такого вердикта ещё не видел в "реале" =)

Скрины от Шестерки. На семерке не проверял даже.

Untitled_4.jpg

Untitled_2.jpg

post-413-1192535537.jpg

post-1-1192535537.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists

сорри за офтоп,

что касается вердиктов PDM, то неизменно радует наименование "Подозрительное действие: Стрейнж Бихэвье" : ) :

a0cabd05a629057c56b59fc933afa305.jpg

2fb5eb14490102b573c82b50aaeba4b8.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Тоже офф, долго думал в какую тему писать :)

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Тоже офф, долго думал в какую тему писать :)

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

а другие антивирусы эти файлы лечат 100% ?

я Тенгу помню очень хорошо ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Alex_Goodwin > подобная же ситуация была (не знаю как сейчас) с Virus.Win32.Hidrag.a Ужасно быстро распространялся и заражел все exe & msi файлы. Касперский лечил удяляя вредоновсный код из объекта а свободное место так сказать занулял в связи с чем контрольная сумма объекта менялась и фаил в 90% был неработоспособен, В тоже время НОД лечил коректно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Тоже офф, долго думал в какую тему писать :)

Дано: антивирус Касперского и вирус Virus.Win32.Tenga.a

После лечения работают только 30% экзешников.

Я все понимаю, но надо или нормально лечить или чесно говорить, что не можем.. Тогда поставли бы симантек, например. А так..

Отправил письмо в лабу 10 часов назад, пока ни ответа ни коректного лечения.

А до лечения работали 100% ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
подобная же ситуация была (не знаю как сейчас) с Virus.Win32.Hidrag.a

Странно. Уж кого-кого, но это, насколько мне известно, лечится корректно. Насчет контрольной суммы не знаю, но файлы должны быть работоспособны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Ситуация 2.5 лет давности и спорить тут не буду по скольку под эту гидру тогда попало среди моих знаком только более 10 человек, да и по городу волна прокатилась...экзе файлы, но особенно инстал пакеты были убиты наповал, пришлось тогда по новой собирать коллекцию программ. Причем убивались только после лечения КАВом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Доктор тоже не очень лечит.

И вообще, зачем такое лечение? Претензия именно в этом, а не в том, что лечит или нет. Просто нажимаешь лечить - получаешь коцаные файлы. ИМХО, надо честно признаться, что не лечим, и предложить только удалить. Юзер бы стал лечилку искать. А так, когда я к юзеру пришел, пришлось из резервного хранилища 7 все поднимать - вручную, по одному, т.к. кнопки восстанивить все у Касперского нет.

Ctrl+A и восстановить конечно помогает, но жать ол долго - долго совсем не прикольно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

хорошо, спросим еще раз

"А до лечения работали 100% ?"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Уточнил. По словам пользователя: Зараженные файлы 100% рабочие. Ничем перед Касперским не лечились.

После лечения и удаления битых exe + полного сканирования, через некоторое время вирус появляется снова. Патч, закрывающий уъязвимость, эксплуатируемую вирусом, стоит.

После отключения восстановления системы и проверки в безопасном режиме наверное удалось избавится от вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

я знаю как работает Тенга.

он убивает оверлей файла и записывается в него. Тут уже лечи - не лечи ....

не верите мне, ну может хоть Софосу поверите ?

http://www.sophos.com/security/analyses/w32tengaa.html

(см.закладку Advanced)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Верю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Wordmonger

А чего тут гадать, "верю" — "не верю"? Продемонстрируейте пару файлов, которые после лечения KAV'ом не работают, а после лечения другим антивирусом ("симантек, например") нормально запускаются; или другой вариант: которые до лечения KAV'ом нормально работали, хоть и с заразой внутри, а после — сломались. Заодно и людям польза — мы лечение подправим, если что. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×