Перейти к содержанию
vpv

Возможно ли самостоятельно разработать антивирус

Recommended Posts

vpv

Вчера наткнулся в газете заметку про местного писателя антивируса http://ap22.ru/paper/paper_9019.html

Загуглил сайт с этой поделкой. При попытке скачать КИС выдал аллерт на троян. Вирустотал тоже в шоке.

Как про таких могут вообще в новостях говоритьи в газетах писать.

Нашел автора в контактике - запостил ему результат вирустотала на стену - он очень смешно отмазывается.

Очень активно везде продвигает http://stud-forum.ru/catalog.aspx?CatalogI...&DocId=2970 и http://www.katun24.ru/news/news_19884.html

Последователь Дениски Попова, но тот хотя бы не продавал...

Стыдно, что он учится в том же универе, где я учился...

Отредактировал vpv
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Seregin

Не так давно появился Казахстанский антивирус, и его производители умудряются выигрывать с ним тендера. Что думаете о нем?

http://altair.winzard.kz/?page_id=22

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Зато у него движек написан на бат-файлах (не юмор - реально 2 батника, с задержкой между проверками при помощи ping), но главное, в базах есть файл

sysfiles.info с содержимым:

C:\192.168.0.2-Администратор-GHRmkd743ffC:\192.168.1.102-Настя-насастюсюхаса

а в другом (база детекта по именам судя по всему):

C:\Users\Babushkin\Desktop\123123123\КРИПТОР\bin\crypt\bin\php\php.exeC:\Users\Babushkin\Documents\SMSDV\SMSDV.exe

а у конкурентов такого нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Список ключей лежит по адресу http://Mefistofell:********@server.double-a.ru/key.tab (кому нужно - тот отснифает).

А вот и база сигнатур: http://server.falconix.com/immunity/base.dll

Отредактировал grixa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Да у меня тоже времени нет такой ерундой заниматься ... в immunity/base.dll лежит "база" на 36 прямых имен файлов (!! включая букву диска и имя юзера в профиле), но в программе сказано, что их 1.7 миллиона :) Хуков не заметно, вирусам не проивостоит, убивается из проводника. Содержит ряд странных DLL (в одной - картинка, в другой - данные, в стретьей - PEiD переименованный ... :) ), в процессе работы постоянно бурбулирует процесами ping.exe ... они там заместо таймера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Вот так выглядит антивирус в процессах (еще есть сервис, который ничего не делает):

a906bbc56f94.png

Любые файлы в корне с расширением sys - 100% детект:

e597b0e433fd.jpg

А дедект порождает вот этот "модуль":

503499798a1a.jpg

Там действительно все на батниках. Есть несколько exe'шников, они написаны на VB и легко декомпилируются. В базах, скачиваемых из сети, находится аж 32 имени файлов и 3 CRC-суммы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
вирусам не проивостоит

это в корне неверное утверждение. Чтобы заметить его работу нужно поставить популярного два года назад зловреда класса троян-онлайн-геймс, который еще амво.экзе писал. Вот в базе видно его имя:

amvo*.*#fna

Олег, спасибо за информацию! )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А чем провинился диск I? И почему дальше J нет логики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ого, Umnik с ходу нашел уязвимость! PoC в студию!!!

PS: grixa, спасибо за исследование, было смешно))) пс2: хороший набор инструментов :) (CFF explorer, масм, питон, тулзы Руссиновича).

Вы откуда к нам? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Опять детект по имени файла (пустого) в корне диска, но уже сигнатурными базами (base.dll):

34164c2ca3cf.jpg

Часть кода сканирования базами:

16723e2a8a21.jpg

Обратите внимание получение "сигнатурных сведений" с помощью random'а.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

http://juick.com/Umnik/2249039 Запись вышла в топ Жуйки за несколько минут :) Пятничное настроение все-таки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ещё доведёт до ума проект "флешка-маркер", ну что бы писали, и поедет в Сколково))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Надо автора пригласить к нам в интервью с экспертами... )))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme

Вот вы, лузеры, тут ржёте, а парню 400 штук явно карман не давят.))

Доработать программу Алексей Бабушкин планирует в ближайшее время. Он - один из победителей программы "УМНИК", направленной на поддержку молодых ученых. Изобретатель получит 400 тысяч рублей в течение ближайших двух лет. А в будущем сможет представить свой проект на конкурсе для маститых ученых.

http://www.katun24.ru/news/news_19884.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petuya

У этого АВ в конфигах выписаны URL. Зашел на один из этих адресов - а там лежт бесплатная версия Immunitet (тут). Мб скоро удалится, так что перевыложил: http://rghost.ru/44037653

Отредактировал Petuya

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

grixa

Не подскажете чем распаковывали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

KIS_fan

upx.exe -d [файл]

:)

Petuya

Это обычная версия, просто в файлике usbimu.inf прописан серийный номер, а в файлике wusa.dll указано количество дней работы «антивируса».

Key=AAA8A-LLLLL-5TG6C-A8FD8-T56FA

Name=Mefistofell

P.S.

Человек хотел сделать антивирус, а сделал FakeAV :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petuya

Да, я видел это в архиве. Оригинальная защита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
albamef

Ребят, я в упор не понимаю, а что такого то? Я ни у кого софт не крал и не брал никакие исходники для разработки. В антивирусе примерно 59000 строк кода, который я сам писал, антивирус в большинстве случаев обычному пользователю не позволяет заразиться, принцип работы так же обычному пользователю знать не обязательно, и я не рекомендовал его ставить как standalone антивирус, однако большое количество проданных лицензий и обильные благодарные отзывы заставляют задуматься, что продукт всё-таки работает. Дык в чем проблема то? Я спиздил что-то у кого-то, или "блокнот" продаю? Если надо я серваке выложу весь свой исходный код и не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
albamef
Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Я в курсе, что это разные вещи, вот я и сказал, что есть и патенты и свидетельства о гос. регистрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
    • Лукин Вадим
      Возьмите саму новую модель. И смотрите, что бы объем был больше 
×