Перейти к содержанию
x-men

Тормоза в различных антивирусах

Recommended Posts

EYE
Нужно всего лишь подогнать три строчки в теле программы под известные контрольные суммы. Алгоритмы подгона известны и очень быстрые. Ну и замусорить само тело чтобы False Alarm рекорду нельзя было быстро сделать. Будет как миленький орать "Probable variant of ..."

Dr.Golova, может лучше "подогоните строчки" в Каспере,

чтобы он стал способен хоть как-нибудь ловить новые Pinch или

тот же Warezov, например,и уже после этого начнете придаваться

"пустозвонству" ? :lol:

Обоснованней это будет, что ли...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka

Ну зачем так злобствовать :)

Я пошел другим путем:

есть прога, которая в цикле кидает eicar.com в корень диска "С". Кидает его не сразу после запуска, потому как это не интересно.... Не, сначала она в автозапуске прописывается :)

КИС PDM'ом поймал ее с "пол-пинка", как и предпологалось. :)

НОД воюет с Eicar'ами, убивает их стадами... и понятия не имеет, откуда они берутся... Это шоу надо видеть! ;)

В общем как и обещал - отличная шутка... на Касперского только вот не действует. Это от плохой проактивки наверное. ;)

x-man, где НОДовский эвристик? Аууууу!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Maratka а можете в личку кинуть, закидывателся eicar'a?

Буду примного благодарен!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Maratka а можете в личку кинуть, закидывателся eicar'a?

Буду примного благодарен!

Вы не сильно обидетесь, если я откажу?

Если я дам его хоть одному человеку - через полчаса надо будет делать детект базами. А это не хочется - я на этом генераторе PDM постоянно тестирую. Т.е. мне нужно, чтобы ловился eicar, но не ловился генератор... А городить из-за этого доверенную зону не хочется.

Да, главное то и забыл написать... первая версия "генератора" отлично ловилась НОДом. Пришлось на 20 секунд задуматься, и 2 минуты по клавишам постучать, чтобы детект сбить... Ну сбил, что дальше? Всего ли получил подтверждение, что надурить кого угодно можно. Вот на НОДа как я и написал 2 минуты 20 секунд надо... На кого-то друго - больше или меньше. Но к сожалению возможно в приницпе. :(

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Maratka клянусь=)) :roll: дальше моего тестового полигона он точно не выйдет=))

Вы не сильно обидетесь, если я откажу?

я вообще не обижусь, просто хотелось поковыряться..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maratka
Maratka клянусь=)) :roll: дальше моего тестового полигона он точно не выйдет=))
Вы не сильно обидетесь, если я откажу?

я вообще не обижусь, просто хотелось поковыряться..

ok.

Я тогда приеделаю к ниму функцию "Откат изменений", и пошлю... Можно на ЛК форуме? ;)

Тут я просто редко бываю...

В текущем виде посылать не могу - типичнейшая программа-шутка однако, и место ей в базах АВ любой конторы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

можно и там, я там тоже чаще бываю=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Dr.Golova, может лучше "подогоните строчки" в Каспере

И тот и другой в большинстве случаев ловится проактивкой. Периодические срабатывания эвристики НОДа можно не брать в расчет - в общем потоке этих двух малвар КАВ явно далеко впереди, пусть даже и за счет реактивных методов. Чего и Вам желаю.

Это я к тому что если взять гипотетический случай когда нод берет/неберет эвристикой 50/50, а КАВ не берет эвристикой/проактивкой ниодного, за час, что нужен будет КЛ для выпуска сигнатур пострадает заметно меньше пользователей, чем от 50% что НОД будет детектить 4 часа. Особенно это касается mass-mailed малвары.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

NOD берёт эвристикой :lol:

Господа не сомневайтесь, берёт. :D

Complete scanning result of "run.exe", received in VirusTotal at 11.01.2006, 11:17:37 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.34 10.31.2006 no virus found

Authentium 4.93.8 10.31.2006 no virus found

Avast 4.7.892.0 10.31.2006 no virus found

AVG 386 11.01.2006 no virus found

BitDefender 7.2 11.01.2006 Trojan.Downloader.Zlob.ADV

CAT-QuickHeal 8.00 10.31.2006 no virus found

ClamAV devel-20060426 11.01.2006 no virus found

DrWeb 4.33 11.01.2006 no virus found

eTrust-InoculateIT 23.73.42 11.01.2006 no virus found

eTrust-Vet 30.3.3172 11.01.2006 no virus found

Ewido 4.0 10.31.2006 no virus found

Fortinet 2.82.0.0 11.01.2006 suspicious

F-Prot 3.16f 10.31.2006 no virus found

F-Prot4 4.2.1.29 10.31.2006 no virus found

Ikarus 0.2.65.0 10.31.2006 no virus found

Kaspersky 4.0.2.24 11.01.2006 Trojan-Downloader.Win32.Zlob.alj

McAfee 4885 10.31.2006 no virus found

Microsoft 1.1609 11.01.2006 no virus found

NOD32v2 1.1846 10.31.2006 no virus found

Norman 5.80.02 10.31.2006 no virus found

Panda 9.0.0.4 11.01.2006 no virus found

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.109 10.30.2006 no virus found

UNA 1.83 10.31.2006 no virus found

VBA32 3.11.1 10.31.2006 no virus found

VirusBuster 4.3.15:9 10.31.2006 no virus found

Кому прислать? NODавцам не просить, надоели.

Добавлено спустя 39 минут 9 секунд:

Ой у NODа эвристик сломался. :lol:

Complete scanning result of "A571AC70.JS", received in VirusTotal at 11.01.2006, 12:13:20 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.34 10.31.2006 JS/Small.AF

Authentium 4.93.8 10.31.2006 JS/Windu.A@dl

Avast 4.7.892.0 10.31.2006 VBS:Malware

AVG 386 11.01.2006 no virus found

BitDefender 7.2 11.01.2006 Trojan.Downloader.Js.Small.AF

CAT-QuickHeal 8.00 10.31.2006 no virus found

ClamAV devel-20060426 11.01.2006 Worm.JS.Redlof.A

DrWeb 4.33 11.01.2006 Trojan.DownLoader.1949

eTrust-InoculateIT 23.73.42 11.01.2006 JScript/SillyDlScript.8ua!Trojan

eTrust-Vet 30.3.3172 11.01.2006 no virus found

Ewido 4.0 10.31.2006 Downloader.Small.af

Fortinet 2.82.0.0 11.01.2006 JS/Small.AF

F-Prot 3.16f 10.31.2006 JS/Windu.A@dl

F-Prot4 4.2.1.29 10.31.2006 JS/Windu.A@dl

Ikarus 0.2.65.0 10.31.2006 Trojan-Downloader.JS.Small.AF

Kaspersky 4.0.2.24 11.01.2006 Trojan-Downloader.JS.Small.af

McAfee 4885 10.31.2006 potentially unwanted program Downloader-UI

Microsoft 1.1609 11.01.2006 no virus found

NOD32v2 1.1846 10.31.2006 no virus found

Norman 5.80.02 11.01.2006 JS/Small.AL

Panda 9.0.0.4 11.01.2006 Trj/Downloader.BEY

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.109 10.30.2006 no virus found

UNA 1.83 10.31.2006 no virus found

VBA32 3.11.1 10.31.2006 Trojan-Downloader.JS.Small.af#4

VirusBuster 4.3.15:9 10.31.2006 no virus found

О посмотрите починили! :lol: Нет?

Complete scanning result of "m_mail.rar", received in VirusTotal at 11.01.2006, 13:04:55 (CET).

AntiVir 7.2.0.34 10.31.2006 TR/Drop.Microjoin.J.262

Authentium 4.93.8 10.31.2006 no virus found

Avast 4.7.892.0 10.31.2006 no virus found

AVG 386 11.01.2006 Dropper.Agent.BXX

BitDefender 7.2 11.01.2006 Trojan.Dropper.Microjoin.J

CAT-QuickHeal 8.00 10.31.2006 no virus found

ClamAV devel-20060426 11.01.2006 no virus found

DrWeb 4.33 11.01.2006 Trojan.MulDrop.4153

eTrust-InoculateIT 23.73.42 11.01.2006 no virus found

eTrust-Vet 30.3.3172 11.01.2006 no virus found

Ewido 4.0 11.01.2006 Dropper.Agent.aws

Fortinet 2.82.0.0 11.01.2006 W32/Agent.AWS!tr

F-Prot 3.16f 10.31.2006 no virus found

F-Prot4 4.2.1.29 10.31.2006 no virus found

Ikarus 0.2.65.0 10.31.2006 no virus found

Kaspersky 4.0.2.24 11.01.2006 Trojan-Dropper.Win32.Agent.aws

McAfee 4885 10.31.2006 New Win32

Microsoft 1.1609 11.01.2006 no virus found

NOD32v2 1.1846 10.31.2006 no virus found

Norman 5.80.02 11.01.2006 no virus found

Panda 9.0.0.4 11.01.2006 Suspicious file

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.109 10.30.2006 Trojan/Dropper.Agent.aws

UNA 1.83 10.31.2006 TrojanDropper.Win32.Agent.92C7

VBA32 3.11.1 10.31.2006 Trojan-Dropper.Win32.Agent.aws

VirusBuster 4.3.15:9 10.31.2006 no virus found

Всё, проверять больше не буду надоело. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Кому прислать? NODавцам не просить, надоели.

Мне скидывай :) info@denislebedev.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пит, скинь мне плиз этих вредоносов для пополнения нашей общей коллекции на info@anti-malware.ru (в запароленном архиве).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Отправил всем кто просил. :)

Может, кто прокомментирует, почему сломался у нода эвристик. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Дела давно минувших дней.

Статическая эвристика - тупиковая ветвь развития. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Пит, спасибо за архив. Тренд Микро со свежими базами задетектил только лишь 1 файл из этого архива к сожалению :-( Остальные 2 он у упор не увидел. Зато Доктор Вэб отличился!

Trend Micro - файл A571AC70.JC - обнаружен вирус JS_SMALL.O

Dr.Web - файл m-mail.exe - обнаружен вирус Trojan.MulDrop.4153

Dr.Web - файл run.exe - обнаружен вирус Trojan.Popuper

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Зато Доктор Вэб отличился!

Dr.Web - файл m-mail.exe - обнаружен вирус Trojan.MulDrop.4153

Dr.Web - файл run.exe - обнаружен вирус Trojan.Popuper

Хм. А было:

Сomplete scanning result of "A571AC70.JS", received in VirusTotal at 11.01.2006, 12:13:20 (CET).

DrWeb 4.33 11.01.2006 Trojan.DownLoader.1949

Complete scanning result of "m_mail.rar", received in VirusTotal at 11.01.2006, 13:04:55 (CET).

DrWeb 4.33 11.01.2006 Trojan.MulDrop.4153

Complete scanning result of "run.exe", received in VirusTotal at 11.01.2006, 11:17:37 (CET).

DrWeb 4.33 11.01.2006 no virus found

--

Хотите сказать что дрвеб перестал детектировать "A571AC70.JS" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Complete scanning result of "run.exe", received in VirusTotal at 11.01.2006, 11:17:37 (CET).

DrWeb 4.33 11.01.2006 no virus found

Сегодня днем ситуация с детектированием run.exe была неоднозначной. См. рис.

untitled1oc8.th.png

AVZ брал его эвристикой, SAV 10.1 пока не детектирует. В этом есть небольшая вина Пита. ;) Поймал вирус - отправь его на vendors[at]spywarefix.org :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит

Может ещё и NODу надо было послать. Так я подумал, у него Эвристик есть. :)

Complete scanning result of "popup_2_.htm", received in VirusTotal at 11.02.2006, 16:21:40 (CET).

AntiVir 7.2.0.37 11.02.2006 EXP/Agent.B

Authentium 4.93.8 11.02.2006 no virus found

Avast 4.7.892.0 11.02.2006 no virus found

AVG 386 11.02.2006 no virus found

BitDefender 7.2 11.01.2006 Application.JS.ForcePopup.D

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 Trojan.Clicker.HTML.Agent

DrWeb 4.33 11.02.2006 Trojan.Click.1394

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 no virus found

Ewido 4.0 11.02.2006 Hijacker.Agent.a

Fortinet 2.82.0.0 11.02.2006 HTML/Clicker.B!tr

F-Prot 3.16f 11.01.2006 no virus found

F-Prot4 4.2.1.29 11.02.2006 no virus found

Ikarus 0.2.65.0 11.02.2006 no virus found

Kaspersky 4.0.2.24 11.02.2006 Trojan-Clicker.HTML.Agent.a

McAfee 4886 11.01.2006 no virus found

Microsoft 1.1609 11.02.2006 no virus found

NOD32v2 1.1849 11.02.2006 no virus found

Norman 5.80.02 11.02.2006 no virus found

Panda 9.0.0.4 11.02.2006 Adware/Gmter

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.111 11.02.2006 no virus found

UNA 1.83 11.01.2006 no virus found

VBA32 3.11.1 11.01.2006 Trojan-Clicker.HTML.Agent.a#10

VirusBuster 4.3.15:9 11.02.2006 no virus found

Всё завязываю, а то Нодовцы обидятся. И EYE что-то молчит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Хотите сказать что дрвеб перестал детектировать "A571AC70.JS" ? Smile

Конечно же нет. Ловит. Просто не проверял его вэбом уже, потому что тренд его поймал. :!:

А run.exe я отправил в Тренд Микро. Ответ прислали:

run.exe (56,337 bytes) as TROJ_ZLOB.BTB

и.. в ближайшее время будут добавлены сигнатуры в официальный релиз антивирусных баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Зато Доктор Вэб отличился!

Да доктор тоже не идеал. :(

Complete scanning result of "crack.exe", received in VirusTotal at 11.02.2006, 16:19:20 (CET).

AntiVir 7.2.0.37 11.02.2006 no virus found

Authentium 4.93.8 11.02.2006 W32/Sdbot.LXR

Avast 4.7.892.0 11.02.2006 Win32:Agent-TB

AVG 386 11.02.2006 no virus found

BitDefender 7.2 11.01.2006 Trojan.Dropper.Agent.TZ

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 no virus found

DrWeb 4.33 11.02.2006 no virus found

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 Win32/MicroJoiner!generic

Ewido 4.0 11.02.2006 Dropper.Agent.tz

Fortinet 2.82.0.0 11.02.2006 W32/SDBot.LXR!tr

F-Prot 3.16f 11.01.2006 security risk named W32/Sdbot.LXR

F-Prot4 4.2.1.29 11.02.2006 W32/Sdbot.LXR

Ikarus 0.2.65.0 11.02.2006 no virus found

Kaspersky 4.0.2.24 11.02.2006 Trojan-Dropper.Win32.Agent.tz

McAfee 4886 11.01.2006 no virus found

Microsoft 1.1609 11.02.2006 no virus found

NOD32v2 1.1849 11.02.2006 Win32/TrojanDropper.Joiner.AJ

Norman 5.80.02 11.02.2006 W32/Agent.HJZ

Panda 9.0.0.4 11.02.2006 no virus found

Sophos 4.10.0 10.26.2006 Troj/Clicker-BC

TheHacker 6.0.1.111 11.02.2006 no virus found

UNA 1.83 11.01.2006 no virus found

VBA32 3.11.1 11.01.2006 Trojan.Win32.TrojanDropper.Joiner.AJ

VirusBuster 4.3.15:9 11.02.2006 Trojan.VBBot.L

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Да доктор тоже не идеал

Хе. Идеалом я думаю ни один считать нельзя. А вот кто к этому наиболее близок - у каждого своё мнение на этот счет.

Пит, вам надо в антивирусные инженеры :) Столько актуальных малвариков скидываете)) Где хоть столько берёте? 8)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Столько актуальных малвариков скидываете)) Где хоть столько берёте? 8)

Да лажу..... по злачным местам :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Может ещё и NODу надо было послать. Так я подумал, у него Эвристик есть.
Пит, вам надо в антивирусные инженеры Столько актуальных малвариков скидываете)) Где хоть столько берёте?

А смысл ему в антивирусные инженеры идти? Он же только посмеяться хочет над неугодным антивирусом. :wink:

P.S. Эта "троица" зловредов отправлена большинству вендоров на vendors[at]spywarefix.org. Если вы заразились этими зловредами, а ваш антивирус их еще не определяет, то скачайте свежий AVZ или cureit.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desdichado

Стоял у меня Касперский 6.0.Такие были тормоза и глюки,что надоел он.Я даже Windows не мог с ним обновить-приходилось отключать KAV.С Outpostoм тоже плохо стыкуется.Вернулся к Nod32.Единственно в чем он уступит Касперу,так это невозможность лечения,но я считаю,что зараженные файлы надо удалять,а не лечить.

Вопрос:зачем такой антивирус ,который тормозит машину хуже всякого вируса?

Ах,да ,ещё и синие экраны стали появляться после закрытия некоторых приложений-снёс Каспера и всё в порядке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Стоял у меня Касперский 6.0.Такие были тормоза и глюки,что надоел он.Я даже Windows не мог с ним обновить-приходилось отключать KAV.

У большинства пользователей антивирус работает нормально.

С Outpostoм тоже плохо стыкуется.

С этим брандмауэром KAV работает неплохо.

Вернулся к Nod32.Единственно в чем он уступит Касперу,так это невозможность лечения,но я считаю,что зараженные файлы надо удалять,а не лечить.

Зараженные файлы надо лечить, а не удалять. Удаляют троянцев и червей.

Вопрос:зачем такой антивирус ,который тормозит машину хуже всякого вируса?

Ах,да ,ещё и синие экраны стали появляться после закрытия некоторых приложений-снёс Каспера и всё в порядке.

Если Вы легальный пользователь у Вас есть прекрасная возможность обратиться в техподдержку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desdichado

Проще удалить зараженные файлы,чем распространять инфекцию-лечение далеко не всегда эффективно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×