K_Mikhail

Где все эти технологии?

В этой теме 23 сообщений

Детекты приводятся на момент публикации!

Исходный загрузчик. Качает две стандартные DLL для работы с SSL и горстку вредоносов семейства Banker.based:

http://www.virustotal.com/file/1afae2a0f92...ed669/analysis/

http://www.virustotal.com/file/b53c3a64f72...74cc0/analysis/

http://www.virustotal.com/file/89636444c20...e6d81/analysis/

http://www.virustotal.com/file/710d1de6429...e20d3/analysis/

http://www.virustotal.com/file/5bf6c7b6b2d...07048/analysis/

http://www.virustotal.com/file/c923a4594f3...85d00/analysis/

http://www.virustotal.com/file/78d5cac99b3...12ea7/analysis/

http://www.virustotal.com/file/637e82aa342...5bcf9/analysis/

http://www.virustotal.com/file/4bda3c718a2...1e4b7/analysis/

http://www.virustotal.com/file/fabd3816eb7...a95f5/analysis/

http://www.virustotal.com/file/290fde28416...d1845/analysis/

http://www.virustotal.com/file/3f3eebc4dc3...4b036/analysis/

Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя "богатства", хочется спросить - "кто все эти люди?". В смысле, где все эти технологии?...

Понятно, что приведённый пример -- всего лишь эпизод. Но, тем не менее, вопрос остался, и захотелось его задать... Многовато как-то пропускается. Причём сразу. Включая тех, кого относят к громким лидерам. Или кто себя к таковым относит.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сработают при запуске бяки?... А пока отдыхают, копят силы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если бы данный вопрос был задан на форуме какого-либо вендора, то сразу же кто-нибудь бы написал "Эвристические технологии не могут иметь 100% эффективности, а если бы было, то вирусов бы не стало" или избитое "100% защиты не существует". Т.ч. ответ то заранее известен, но вот небольшой экскурс в будущие методы борьбы с этим не помешал бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно. Считавшийся, вроде слабеньким и не эффективным ClamAV, переплюнул многих "именных" брендов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя

Т. е. я правильно понял, что вы уже попытались установить всё это добро на комп с установленным KIS с отключенным хипсом, раз так сделан упор именно на файловый антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя "богатства", хочется спросить - "кто все эти люди?". В смысле, где все эти технологии?...

Понятно, что приведённый пример -- всего лишь эпизод. Но, тем не менее, вопрос остался, и захотелось его задать... Многовато как-то пропускается. Причём сразу. Включая тех, кого относят к громким лидерам. Или кто себя к таковым относит.

Должно быть, вы уже видели обсуждение вопроса Whitelisting vs Blacklisting. Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали. Все пользователи просто обвешаны антивирусными программами, а вирусы процветают всё сильнее. Производители могут рапортовать о высоких результатах по поимке уже давно известных вирусов, но как только речь идёт о новых зловредных программах, о существенных процентах говорить не приходится. Я такие доказательства каждый день вижу, и что? Это говорит лишь о том, что инструмент защиты выбран НЕВЕРНО.

Вы огорчаетесь потому, что думаете, будто антивирусная программа является первичным средством защиты от вирусов. Но это не так. Она может быть хорошим помощником, но основным средством обеспечения безопасности такие программы де-факто не являются и никогда не являлись. Свою битву Blacklisting технологически проиграл уже давно. Основой безопасности может являться только Whitelisting. Вот технология, которая может и должна быть востребована, развиваема. Начните и вы сегодня изучать Whitelisting, и листать подобные отчёты вам больше не придётся.

* На мой взгляд, в настоящий момент разработка антивирусных программ вообще является just a business. Эффективность blacklisting доказанно низка, и все это знают. А производители антивирусных программ каждый год рапортуют об увеличении оборота, миллиардных доходах. Разработать "идеальный" антивирус было бы сильно невыгодным для производителя — что делать бизнесу, когда программа сумеет найти и пресечь деятельность 100% вирусов? Как работать дальше, как зарабатывать деньги, если вирусы исчезнут? Поэтому антивирусному бизнесу крайне выгодно, что их программы приходится постоянно дорабатывать, обновлять. Конечно, они не делают вирусов сами, это всё миф. Зачем напрягаться, когда в мире столько добровольцев охотно клепают всё новые и новые вирусы пачками. И заодно дают процветать бизнесу антивирусных программ.

** Слушая эти слова, антивирусные эксперты наверняка рвут майку на груди, до слёз переживая за своё дело. Конешно, вы делаете замечательное дело. Но лучше бы приложили руку к разработке и поддержке действительно надёжных методов защиты.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Т. е. я правильно понял, что вы уже попытались установить всё это добро на комп с установленным KIS

А что это? :)

с отключенным хипсом, раз так сделан упор именно на файловый антивирус?

Про факту - да, хотя ничего устанавливать не нужно. Потому и изначально написал:

Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Грубо говоря, все те самые технологии, использование которых предполагает, что до запуска дело не дойдёт.

Должно быть, вы уже видели обсуждение вопроса Whitelisting vs Blacklisting.

Конечно.

Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали.

В этот раз как слишком уж много объектов выпало из поля зрения "технологий". Потому и опубликовал. Просто как практический пример.

Вы огорчаетесь потому, что думаете, будто антивирусная программа является первичным средством защиты от вирусов. Но это не так. Она может быть хорошим помощником, но основным средством обеспечения безопасности такие программы де-факто не являются и никогда не являлись. Свою битву Blacklisting технологически проиграл уже давно. Основой безопасности может являться только Whitelisting. Вот технология, которая может и должна быть востребована, развиваема. Начните и вы сегодня изучать Whitelisting, и листать подобные отчёты вам больше не придётся.

Проникся этим абзацем. :) Правда! Особенно как когда-то сотрудник одной из антивирусных контор. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

За всех ручаться не могу, но могу сказать, что FLY-CODE (DrWeb) не разобрал все файлы потому что это инструмент для распаковки файла, запакованного неизвестным пакером/криптором, но никак ни для отслеживания деятельности файла в сети. Этот сэмпл же Downloader.

Но кстати задумка интересная, роботы вендоров могли бы сразу отслеживать все ссылки, по которым переходит присланный сэмпл и анализировать их. Хотя, наверное, такое уже есть...

А ориджин записи создаются для вирусов определенной линейки, типа Mayachok, Banker и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
За всех ручаться не могу, но могу сказать, что FLY-CODE (DrWeb) не разобрал все файлы потому что это инструмент для распаковки файла, запакованного неизвестным пакером/криптором,

Вы видите где-нибудь срабатывания технологии FLY-CODE, например, Probably, Trojan.Packed.xxx, где ххх - числовой суффикс? Иными словами - той или иной FLY-CODE записи, находящихся в базах?

но никак ни для отслеживания деятельности файла в сети. Этот сэмпл же Downloader.

Да? Если уже касаться Dr.Web -- Вам такие формулировки как Probably, DLOADER.Trojan, Trojan.DownLoader.origin говорят о чём-то?

Но кстати задумка интересная, роботы вендоров могли бы сразу отслеживать все ссылки, по которым переходит присланный сэмпл и анализировать их. Хотя, наверное, такое уже есть...

Причём давно есть.

А ориджин записи создаются для вирусов определенной линейки, типа Mayachok, Banker и т.д.

Вы видите где-то здесь срабатывания Trojan.DownLoader.origin, Trojan.PWS.Banker.origin и.т.п.?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вы видите где-нибудь срабатывания технологии FLY-CODE, например, Probably, Trojan.Packed.xxx, где ххх - числовой суффикс? Иными словами - той или иной FLY-CODE записи, находящихся в базах?

Нет, поэтому я и сказал, что FLY-CODE тут употреблять не уместно. Вы же написали в 1-м посте про флайкод и ориджины.

Да? Если уже касаться Dr.Web -- Вам такие формулировки как Probably, DLOADER.Trojan, Trojan.DownLoader.origin говорят о чём-то?

Ну это от примитивных реализаций вируса. ИМХО, очень маленький детект по этим записям.

Вы видите где-то здесь срабатывания Trojan.DownLoader.origin, Trojan.PWS.Banker.origin и.т.п.?

Ответил выше :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нет, поэтому я и сказал, что FLY-CODE тут употреблять не уместно.

Хоть бы уже сами проверили бы, если причисляете себя к когорте вирусхантеров...

>F:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - packed by UPX>F:\Virtualbox_share\xx\9\zz\BROWN.ex# - packed by UPXF:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infected with Trojan.DownLoader5.50297F:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infectedF:\Virtualbox_share\xx\9\zz\BROWN.ex# - infected with Trojan.MulDrop3.31396F:\Virtualbox_share\xx\9\zz\BROWN.ex# - infectedF:\Virtualbox_share\xx\9\zz\Msn.ex# - infected with Trojan.KillProc.14946F:\Virtualbox_share\xx\9\zz\Msn.ex# - infectedF:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - Ok>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmita.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\facee.ex# - OkF:\Virtualbox_share\xx\9\zz\faces.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmsan.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\hots.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wmi.dl# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wsan.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wne.ex# - OkF:\Virtualbox_share\xx\9\zz\wmi.dl# - OkF:\Virtualbox_share\xx\9\zz\wb.ex# - Ok
Вы же написали в 1-м посте про флайкод и ориджины.

Лишь в качестве примера технологий, позволяющих задетектить вредоносы без необходимости их запуска. А Вы почему-то взбрыкнулись и побежали мне что-то доказывать, причём не владея предметом.

Ну это от примитивных реализаций вируса.

Подробнее, пожалуйста на счёт реализаций и степени их примитивности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хоть бы уже сами проверили бы, если причисляете себя к когорте вирусхантеров...
>F:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - packed by UPX>F:\Virtualbox_share\xx\9\zz\BROWN.ex# - packed by UPXF:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infected with Trojan.DownLoader5.50297F:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infectedF:\Virtualbox_share\xx\9\zz\BROWN.ex# - infected with Trojan.MulDrop3.31396F:\Virtualbox_share\xx\9\zz\BROWN.ex# - infectedF:\Virtualbox_share\xx\9\zz\Msn.ex# - infected with Trojan.KillProc.14946F:\Virtualbox_share\xx\9\zz\Msn.ex# - infectedF:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - Ok>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmita.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\facee.ex# - OkF:\Virtualbox_share\xx\9\zz\faces.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmsan.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\hots.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wmi.dl# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wsan.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wne.ex# - OkF:\Virtualbox_share\xx\9\zz\wmi.dl# - OkF:\Virtualbox_share\xx\9\zz\wb.ex# - Ok

Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

А по каждому загруженному файлу надо уже смотреть отдельно, может он его разобрать или нет...

Подробнее, пожалуйста на счёт реализаций и степени их примитивности.

http://habrahabr.ru/blogs/virus/136232/

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

:facepalm:

А по каждому загруженному файлу надо уже смотреть отдельно, может он его разобрать или нет...

Лог сканера это и демонстрирует.

Я думал, вы своими словами..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:facepalm:

Поясните.

C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe:Zone.Identifier - OkC:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected with Trojan.DownLoader5.50297C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Поясните.
C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe:Zone.Identifier - OkC:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected with Trojan.DownLoader5.50297C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected

Даю наводящий вопрос - семпл Nova_KamaSutra_Carnaval_pps.exe упакован или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даю наводящий вопрос - семпл Nova_KamaSutra_Carnaval_pps.exe упакован или нет?

Упакован, но сдесь FLY-CODE не сработал (он ведь не всемогущ :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Т.е. сначала он был записан в бесполезные:

Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

а затем, "реабилитирован" до "не всемогущего":

Упакован, но сдесь FLY-CODE не сработал (он ведь не всемогущ :) )

Идите уже, ибо уже совсем бесполезно... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail, где вы видите разбор данного сэмпла FLY-CODE-ом как пакет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Cтатья не о чем.

Чувак использовал вирустотал для проверки эвристики :facepalm:

На тотале движки аверов устаревшие, примерно, на два года. Это примерно как тестить вин7 на Pentium 3, с 512 мб оперативы и говорить что винда грузится часа два, тормозит и в BSOD постоянно падает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cтатья не о чем.

Чувак использовал вирустотал для проверки эвристики :facepalm:

На тотале движки аверов устаревшие, примерно, на два года. Это примерно как тестить вин7 на Pentium 3, с 512 мб оперативы и говорить что винда грузится часа два, тормозит и в BSOD постоянно падает.

Это да, движки они не торопятся обновлять...

Раньше на VT можно было посмотреть версию АВ, а с новым дизайном пропала колонка "Version" :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тема вообще ни о чём, потому как на Тотале можно проверить только по одному признаку - попал образец в антивирусные базы того или иного вендора или не попал. Не на одном файловом антивирусе строится защита в антивирусах в настоящее время.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали.

Да уж, этот пример ОЧЕНЬ наглядно это показывает :) Но с одной оговоркой - именно blacklisting, потому как правильно заметил AlexxSun, проверка на Вирустотале не показывает работу наиболее парспективных технологий. Того же whitelisting, того же HIPS, то же облачной репутации.

K_Mikhail, а каковы были бы шансы заразиться на Windows 7 cо всеми патчами на дату создания топика? :) Даже без доп. защиты для частоты эксперимента. Пусть даже права админа будут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да уж, этот пример ОЧЕНЬ наглядно это показывает :) Но с одной оговоркой - именно blacklisting, потому как правильно заметил AlexxSun, проверка на Вирустотале не показывает работу наиболее парспективных технологий. Того же whitelisting, того же HIPS, то же облачной репутации.

Облачные детекты UDS:DangerousObject.Multi.Generic (KL), Suspicious.Cloud.5 (Symantec) - не в счёт? Они на Тотале как раз есть.

K_Mikhail, а каковы были бы шансы заразиться на Windows 7 cо всеми патчами на дату создания топика? :) Даже без доп. защиты для частоты эксперимента. Пусть даже права админа будут :)

На 7-ке не проверял. Но, вообще, надо было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS