Перейти к содержанию
K_Mikhail

Где все эти технологии?

Recommended Posts

K_Mikhail

Детекты приводятся на момент публикации!

Исходный загрузчик. Качает две стандартные DLL для работы с SSL и горстку вредоносов семейства Banker.based:

http://www.virustotal.com/file/1afae2a0f92...ed669/analysis/

http://www.virustotal.com/file/b53c3a64f72...74cc0/analysis/

http://www.virustotal.com/file/89636444c20...e6d81/analysis/

http://www.virustotal.com/file/710d1de6429...e20d3/analysis/

http://www.virustotal.com/file/5bf6c7b6b2d...07048/analysis/

http://www.virustotal.com/file/c923a4594f3...85d00/analysis/

http://www.virustotal.com/file/78d5cac99b3...12ea7/analysis/

http://www.virustotal.com/file/637e82aa342...5bcf9/analysis/

http://www.virustotal.com/file/4bda3c718a2...1e4b7/analysis/

http://www.virustotal.com/file/fabd3816eb7...a95f5/analysis/

http://www.virustotal.com/file/290fde28416...d1845/analysis/

http://www.virustotal.com/file/3f3eebc4dc3...4b036/analysis/

Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя "богатства", хочется спросить - "кто все эти люди?". В смысле, где все эти технологии?...

Понятно, что приведённый пример -- всего лишь эпизод. Но, тем не менее, вопрос остался, и захотелось его задать... Многовато как-то пропускается. Причём сразу. Включая тех, кого относят к громким лидерам. Или кто себя к таковым относит.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Сработают при запуске бяки?... А пока отдыхают, копят силы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

Если бы данный вопрос был задан на форуме какого-либо вендора, то сразу же кто-нибудь бы написал "Эвристические технологии не могут иметь 100% эффективности, а если бы было, то вирусов бы не стало" или избитое "100% защиты не существует". Т.ч. ответ то заранее известен, но вот небольшой экскурс в будущие методы борьбы с этим не помешал бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Интересно. Считавшийся, вроде слабеньким и не эффективным ClamAV, переплюнул многих "именных" брендов :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun
Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя

Т. е. я правильно понял, что вы уже попытались установить всё это добро на комп с установленным KIS с отключенным хипсом, раз так сделан упор именно на файловый антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Глядя на данное обилие практически беспрепятственно (с т.зр. именно антивирусной составляющей) устанавливаемого на компьютер пользователя "богатства", хочется спросить - "кто все эти люди?". В смысле, где все эти технологии?...

Понятно, что приведённый пример -- всего лишь эпизод. Но, тем не менее, вопрос остался, и захотелось его задать... Многовато как-то пропускается. Причём сразу. Включая тех, кого относят к громким лидерам. Или кто себя к таковым относит.

Должно быть, вы уже видели обсуждение вопроса Whitelisting vs Blacklisting. Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали. Все пользователи просто обвешаны антивирусными программами, а вирусы процветают всё сильнее. Производители могут рапортовать о высоких результатах по поимке уже давно известных вирусов, но как только речь идёт о новых зловредных программах, о существенных процентах говорить не приходится. Я такие доказательства каждый день вижу, и что? Это говорит лишь о том, что инструмент защиты выбран НЕВЕРНО.

Вы огорчаетесь потому, что думаете, будто антивирусная программа является первичным средством защиты от вирусов. Но это не так. Она может быть хорошим помощником, но основным средством обеспечения безопасности такие программы де-факто не являются и никогда не являлись. Свою битву Blacklisting технологически проиграл уже давно. Основой безопасности может являться только Whitelisting. Вот технология, которая может и должна быть востребована, развиваема. Начните и вы сегодня изучать Whitelisting, и листать подобные отчёты вам больше не придётся.

* На мой взгляд, в настоящий момент разработка антивирусных программ вообще является just a business. Эффективность blacklisting доказанно низка, и все это знают. А производители антивирусных программ каждый год рапортуют об увеличении оборота, миллиардных доходах. Разработать "идеальный" антивирус было бы сильно невыгодным для производителя — что делать бизнесу, когда программа сумеет найти и пресечь деятельность 100% вирусов? Как работать дальше, как зарабатывать деньги, если вирусы исчезнут? Поэтому антивирусному бизнесу крайне выгодно, что их программы приходится постоянно дорабатывать, обновлять. Конечно, они не делают вирусов сами, это всё миф. Зачем напрягаться, когда в мире столько добровольцев охотно клепают всё новые и новые вирусы пачками. И заодно дают процветать бизнесу антивирусных программ.

** Слушая эти слова, антивирусные эксперты наверняка рвут майку на груди, до слёз переживая за своё дело. Конешно, вы делаете замечательное дело. Но лучше бы приложили руку к разработке и поддержке действительно надёжных методов защиты.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Т. е. я правильно понял, что вы уже попытались установить всё это добро на комп с установленным KIS

А что это? :)

с отключенным хипсом, раз так сделан упор именно на файловый антивирус?

Про факту - да, хотя ничего устанавливать не нужно. Потому и изначально написал:

Обычно в описаниях продуктов производители любят рассказать о своих эвристиках, облаках, (сейчас есть даже более модное словосочетание - "гибридная защита"), флай-кодах, ориджинах, разных Scopes etc.

Грубо говоря, все те самые технологии, использование которых предполагает, что до запуска дело не дойдёт.

Должно быть, вы уже видели обсуждение вопроса Whitelisting vs Blacklisting.

Конечно.

Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали.

В этот раз как слишком уж много объектов выпало из поля зрения "технологий". Потому и опубликовал. Просто как практический пример.

Вы огорчаетесь потому, что думаете, будто антивирусная программа является первичным средством защиты от вирусов. Но это не так. Она может быть хорошим помощником, но основным средством обеспечения безопасности такие программы де-факто не являются и никогда не являлись. Свою битву Blacklisting технологически проиграл уже давно. Основой безопасности может являться только Whitelisting. Вот технология, которая может и должна быть востребована, развиваема. Начните и вы сегодня изучать Whitelisting, и листать подобные отчёты вам больше не придётся.

Проникся этим абзацем. :) Правда! Особенно как когда-то сотрудник одной из антивирусных контор. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

За всех ручаться не могу, но могу сказать, что FLY-CODE (DrWeb) не разобрал все файлы потому что это инструмент для распаковки файла, запакованного неизвестным пакером/криптором, но никак ни для отслеживания деятельности файла в сети. Этот сэмпл же Downloader.

Но кстати задумка интересная, роботы вендоров могли бы сразу отслеживать все ссылки, по которым переходит присланный сэмпл и анализировать их. Хотя, наверное, такое уже есть...

А ориджин записи создаются для вирусов определенной линейки, типа Mayachok, Banker и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
За всех ручаться не могу, но могу сказать, что FLY-CODE (DrWeb) не разобрал все файлы потому что это инструмент для распаковки файла, запакованного неизвестным пакером/криптором,

Вы видите где-нибудь срабатывания технологии FLY-CODE, например, Probably, Trojan.Packed.xxx, где ххх - числовой суффикс? Иными словами - той или иной FLY-CODE записи, находящихся в базах?

но никак ни для отслеживания деятельности файла в сети. Этот сэмпл же Downloader.

Да? Если уже касаться Dr.Web -- Вам такие формулировки как Probably, DLOADER.Trojan, Trojan.DownLoader.origin говорят о чём-то?

Но кстати задумка интересная, роботы вендоров могли бы сразу отслеживать все ссылки, по которым переходит присланный сэмпл и анализировать их. Хотя, наверное, такое уже есть...

Причём давно есть.

А ориджин записи создаются для вирусов определенной линейки, типа Mayachok, Banker и т.д.

Вы видите где-то здесь срабатывания Trojan.DownLoader.origin, Trojan.PWS.Banker.origin и.т.п.?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Вы видите где-нибудь срабатывания технологии FLY-CODE, например, Probably, Trojan.Packed.xxx, где ххх - числовой суффикс? Иными словами - той или иной FLY-CODE записи, находящихся в базах?

Нет, поэтому я и сказал, что FLY-CODE тут употреблять не уместно. Вы же написали в 1-м посте про флайкод и ориджины.

Да? Если уже касаться Dr.Web -- Вам такие формулировки как Probably, DLOADER.Trojan, Trojan.DownLoader.origin говорят о чём-то?

Ну это от примитивных реализаций вируса. ИМХО, очень маленький детект по этим записям.

Вы видите где-то здесь срабатывания Trojan.DownLoader.origin, Trojan.PWS.Banker.origin и.т.п.?

Ответил выше :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Нет, поэтому я и сказал, что FLY-CODE тут употреблять не уместно.

Хоть бы уже сами проверили бы, если причисляете себя к когорте вирусхантеров...

>F:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - packed by UPX>F:\Virtualbox_share\xx\9\zz\BROWN.ex# - packed by UPXF:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infected with Trojan.DownLoader5.50297F:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infectedF:\Virtualbox_share\xx\9\zz\BROWN.ex# - infected with Trojan.MulDrop3.31396F:\Virtualbox_share\xx\9\zz\BROWN.ex# - infectedF:\Virtualbox_share\xx\9\zz\Msn.ex# - infected with Trojan.KillProc.14946F:\Virtualbox_share\xx\9\zz\Msn.ex# - infectedF:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - Ok>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmita.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\facee.ex# - OkF:\Virtualbox_share\xx\9\zz\faces.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmsan.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\hots.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wmi.dl# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wsan.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wne.ex# - OkF:\Virtualbox_share\xx\9\zz\wmi.dl# - OkF:\Virtualbox_share\xx\9\zz\wb.ex# - Ok
Вы же написали в 1-м посте про флайкод и ориджины.

Лишь в качестве примера технологий, позволяющих задетектить вредоносы без необходимости их запуска. А Вы почему-то взбрыкнулись и побежали мне что-то доказывать, причём не владея предметом.

Ну это от примитивных реализаций вируса.

Подробнее, пожалуйста на счёт реализаций и степени их примитивности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Хоть бы уже сами проверили бы, если причисляете себя к когорте вирусхантеров...
>F:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - packed by UPX>F:\Virtualbox_share\xx\9\zz\BROWN.ex# - packed by UPXF:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infected with Trojan.DownLoader5.50297F:\Virtualbox_share\xx\9\zz\Nova_KamaSutra_Carnaval_pps.ex# - infectedF:\Virtualbox_share\xx\9\zz\BROWN.ex# - infected with Trojan.MulDrop3.31396F:\Virtualbox_share\xx\9\zz\BROWN.ex# - infectedF:\Virtualbox_share\xx\9\zz\Msn.ex# - infected with Trojan.KillProc.14946F:\Virtualbox_share\xx\9\zz\Msn.ex# - infectedF:\Virtualbox_share\xx\9\zz\DiagnoseConnection.dl# - Ok>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmita.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\facee.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\faces.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wmsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmita.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\hots.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\facee.ex# - OkF:\Virtualbox_share\xx\9\zz\faces.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wmsan.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\hots.ex# - Ok>F:\Virtualbox_share\xx\9\zz\wmi.dl# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wne.ex# - packed by FLY-CODE>>F:\Virtualbox_share\xx\9\zz\wsan.ex# - packed by FLY-CODE>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wsan.ex# - Ok>>F:\Virtualbox_share\xx\9\zz\wb.ex# - packed by FLY-CODEF:\Virtualbox_share\xx\9\zz\wne.ex# - OkF:\Virtualbox_share\xx\9\zz\wmi.dl# - OkF:\Virtualbox_share\xx\9\zz\wb.ex# - Ok

Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

А по каждому загруженному файлу надо уже смотреть отдельно, может он его разобрать или нет...

Подробнее, пожалуйста на счёт реализаций и степени их примитивности.

http://habrahabr.ru/blogs/virus/136232/

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

:facepalm:

А по каждому загруженному файлу надо уже смотреть отдельно, может он его разобрать или нет...

Лог сканера это и демонстрирует.

Я думал, вы своими словами..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
:facepalm:

Поясните.

C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe:Zone.Identifier - OkC:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected with Trojan.DownLoader5.50297C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Поясните.
C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe:Zone.Identifier - OkC:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected with Trojan.DownLoader5.50297C:\Users\admin\Desktop\Nova_KamaSutra_Carnaval_pps.exe - infected

Даю наводящий вопрос - семпл Nova_KamaSutra_Carnaval_pps.exe упакован или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Даю наводящий вопрос - семпл Nova_KamaSutra_Carnaval_pps.exe упакован или нет?

Упакован, но сдесь FLY-CODE не сработал (он ведь не всемогущ :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Т.е. сначала он был записан в бесполезные:

Я имел ввиду, что FLY-CODE бесполезен в разборе данного семпла, Downloader-а.

а затем, "реабилитирован" до "не всемогущего":

Упакован, но сдесь FLY-CODE не сработал (он ведь не всемогущ :) )

Идите уже, ибо уже совсем бесполезно... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN

K_Mikhail, где вы видите разбор данного сэмпла FLY-CODE-ом как пакет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX

Cтатья не о чем.

Чувак использовал вирустотал для проверки эвристики :facepalm:

На тотале движки аверов устаревшие, примерно, на два года. Это примерно как тестить вин7 на Pentium 3, с 512 мб оперативы и говорить что винда грузится часа два, тормозит и в BSOD постоянно падает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RomaNNN
Cтатья не о чем.

Чувак использовал вирустотал для проверки эвристики :facepalm:

На тотале движки аверов устаревшие, примерно, на два года. Это примерно как тестить вин7 на Pentium 3, с 512 мб оперативы и говорить что винда грузится часа два, тормозит и в BSOD постоянно падает.

Это да, движки они не торопятся обновлять...

Раньше на VT можно было посмотреть версию АВ, а с новым дизайном пропала колонка "Version" :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Тема вообще ни о чём, потому как на Тотале можно проверить только по одному признаку - попал образец в антивирусные базы того или иного вендора или не попал. Не на одном файловом антивирусе строится защита в антивирусах в настоящее время.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Технологии blacklisting реально никогда не защищали, не защищают и не будут защищать от вирусов, и вы просто в очередной раз это показали.

Да уж, этот пример ОЧЕНЬ наглядно это показывает :) Но с одной оговоркой - именно blacklisting, потому как правильно заметил AlexxSun, проверка на Вирустотале не показывает работу наиболее парспективных технологий. Того же whitelisting, того же HIPS, то же облачной репутации.

K_Mikhail, а каковы были бы шансы заразиться на Windows 7 cо всеми патчами на дату создания топика? :) Даже без доп. защиты для частоты эксперимента. Пусть даже права админа будут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Да уж, этот пример ОЧЕНЬ наглядно это показывает :) Но с одной оговоркой - именно blacklisting, потому как правильно заметил AlexxSun, проверка на Вирустотале не показывает работу наиболее парспективных технологий. Того же whitelisting, того же HIPS, то же облачной репутации.

Облачные детекты UDS:DangerousObject.Multi.Generic (KL), Suspicious.Cloud.5 (Symantec) - не в счёт? Они на Тотале как раз есть.

K_Mikhail, а каковы были бы шансы заразиться на Windows 7 cо всеми патчами на дату создания топика? :) Даже без доп. защиты для частоты эксперимента. Пусть даже права админа будут :)

На 7-ке не проверял. Но, вообще, надо было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×