vpv

Возможно ли самостоятельно разработать антивирус

В этой теме 1038 сообщений

Вчера наткнулся в газете заметку про местного писателя антивируса http://ap22.ru/paper/paper_9019.html

Загуглил сайт с этой поделкой. При попытке скачать КИС выдал аллерт на троян. Вирустотал тоже в шоке.

Как про таких могут вообще в новостях говоритьи в газетах писать.

Нашел автора в контактике - запостил ему результат вирустотала на стену - он очень смешно отмазывается.

Очень активно везде продвигает http://stud-forum.ru/catalog.aspx?CatalogI...&DocId=2970 и http://www.katun24.ru/news/news_19884.html

Последователь Дениски Попова, но тот хотя бы не продавал...

Стыдно, что он учится в том же универе, где я учился...

Отредактировал vpv
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не так давно появился Казахстанский антивирус, и его производители умудряются выигрывать с ним тендера. Что думаете о нем?

http://altair.winzard.kz/?page_id=22

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зато у него движек написан на бат-файлах (не юмор - реально 2 батника, с задержкой между проверками при помощи ping), но главное, в базах есть файл

sysfiles.info с содержимым:

C:\192.168.0.2-Администратор-GHRmkd743ffC:\192.168.1.102-Настя-насастюсюхаса

а в другом (база детекта по именам судя по всему):

C:\Users\Babushkin\Desktop\123123123\КРИПТОР\bin\crypt\bin\php\php.exeC:\Users\Babushkin\Documents\SMSDV\SMSDV.exe

а у конкурентов такого нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Список ключей лежит по адресу http://Mefistofell:********@server.double-a.ru/key.tab (кому нужно - тот отснифает).

А вот и база сигнатур: http://server.falconix.com/immunity/base.dll

Отредактировал grixa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Да у меня тоже времени нет такой ерундой заниматься ... в immunity/base.dll лежит "база" на 36 прямых имен файлов (!! включая букву диска и имя юзера в профиле), но в программе сказано, что их 1.7 миллиона :) Хуков не заметно, вирусам не проивостоит, убивается из проводника. Содержит ряд странных DLL (в одной - картинка, в другой - данные, в стретьей - PEiD переименованный ... :) ), в процессе работы постоянно бурбулирует процесами ping.exe ... они там заместо таймера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот так выглядит антивирус в процессах (еще есть сервис, который ничего не делает):

a906bbc56f94.png

Любые файлы в корне с расширением sys - 100% детект:

e597b0e433fd.jpg

А дедект порождает вот этот "модуль":

503499798a1a.jpg

Там действительно все на батниках. Есть несколько exe'шников, они написаны на VB и легко декомпилируются. В базах, скачиваемых из сети, находится аж 32 имени файлов и 3 CRC-суммы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вирусам не проивостоит

это в корне неверное утверждение. Чтобы заметить его работу нужно поставить популярного два года назад зловреда класса троян-онлайн-геймс, который еще амво.экзе писал. Вот в базе видно его имя:

amvo*.*#fna

Олег, спасибо за информацию! )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А чем провинился диск I? И почему дальше J нет логики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ого, Umnik с ходу нашел уязвимость! PoC в студию!!!

PS: grixa, спасибо за исследование, было смешно))) пс2: хороший набор инструментов :) (CFF explorer, масм, питон, тулзы Руссиновича).

Вы откуда к нам? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Опять детект по имени файла (пустого) в корне диска, но уже сигнатурными базами (base.dll):

34164c2ca3cf.jpg

Часть кода сканирования базами:

16723e2a8a21.jpg

Обратите внимание получение "сигнатурных сведений" с помощью random'а.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ещё доведёт до ума проект "флешка-маркер", ну что бы писали, и поедет в Сколково))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Надо автора пригласить к нам в интервью с экспертами... )))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот вы, лузеры, тут ржёте, а парню 400 штук явно карман не давят.))

Доработать программу Алексей Бабушкин планирует в ближайшее время. Он - один из победителей программы "УМНИК", направленной на поддержку молодых ученых. Изобретатель получит 400 тысяч рублей в течение ближайших двух лет. А в будущем сможет представить свой проект на конкурсе для маститых ученых.

http://www.katun24.ru/news/news_19884.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У этого АВ в конфигах выписаны URL. Зашел на один из этих адресов - а там лежт бесплатная версия Immunitet (тут). Мб скоро удалится, так что перевыложил: http://rghost.ru/44037653

Отредактировал Petuya

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

KIS_fan

upx.exe -d [файл]

:)

Petuya

Это обычная версия, просто в файлике usbimu.inf прописан серийный номер, а в файлике wusa.dll указано количество дней работы «антивируса».

Key=AAA8A-LLLLL-5TG6C-A8FD8-T56FA

Name=Mefistofell

P.S.

Человек хотел сделать антивирус, а сделал FakeAV :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, я в упор не понимаю, а что такого то? Я ни у кого софт не крал и не брал никакие исходники для разработки. В антивирусе примерно 59000 строк кода, который я сам писал, антивирус в большинстве случаев обычному пользователю не позволяет заразиться, принцип работы так же обычному пользователю знать не обязательно, и я не рекомендовал его ставить как standalone антивирус, однако большое количество проданных лицензий и обильные благодарные отзывы заставляют задуматься, что продукт всё-таки работает. Дык в чем проблема то? Я спиздил что-то у кого-то, или "блокнот" продаю? Если надо я серваке выложу весь свой исходный код и не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Я в курсе, что это разные вещи, вот я и сказал, что есть и патенты и свидетельства о гос. регистрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...