Возможно ли самостоятельно разработать антивирус - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
vpv

Возможно ли самостоятельно разработать антивирус

Recommended Posts

vpv

Вчера наткнулся в газете заметку про местного писателя антивируса http://ap22.ru/paper/paper_9019.html

Загуглил сайт с этой поделкой. При попытке скачать КИС выдал аллерт на троян. Вирустотал тоже в шоке.

Как про таких могут вообще в новостях говоритьи в газетах писать.

Нашел автора в контактике - запостил ему результат вирустотала на стену - он очень смешно отмазывается.

Очень активно везде продвигает http://stud-forum.ru/catalog.aspx?CatalogI...&DocId=2970 и http://www.katun24.ru/news/news_19884.html

Последователь Дениски Попова, но тот хотя бы не продавал...

Стыдно, что он учится в том же универе, где я учился...

Отредактировал vpv
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Seregin

Не так давно появился Казахстанский антивирус, и его производители умудряются выигрывать с ним тендера. Что думаете о нем?

http://altair.winzard.kz/?page_id=22

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег

Зато у него движек написан на бат-файлах (не юмор - реально 2 батника, с задержкой между проверками при помощи ping), но главное, в базах есть файл

sysfiles.info с содержимым:

C:\192.168.0.2-Администратор-GHRmkd743ffC:\192.168.1.102-Настя-насастюсюхаса

а в другом (база детекта по именам судя по всему):

C:\Users\Babushkin\Desktop\123123123\КРИПТОР\bin\crypt\bin\php\php.exeC:\Users\Babushkin\Documents\SMSDV\SMSDV.exe

а у конкурентов такого нет :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Список ключей лежит по адресу http://Mefistofell:********@server.double-a.ru/key.tab (кому нужно - тот отснифает).

А вот и база сигнатур: http://server.falconix.com/immunity/base.dll

Отредактировал grixa

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег, а еще подробностей? :) Там хоть хуки в ринг-3 на создание файлов/запись в реестр есть? или просто в цикле обращение к веткам и файлам на предмет обнаружения новых записей?

Сигнатуры есть хоть какие-то или по путям поиск?:)

PS: времени вообще нет. даже на то чтобы скачать продукт :(

Да у меня тоже времени нет такой ерундой заниматься ... в immunity/base.dll лежит "база" на 36 прямых имен файлов (!! включая букву диска и имя юзера в профиле), но в программе сказано, что их 1.7 миллиона :) Хуков не заметно, вирусам не проивостоит, убивается из проводника. Содержит ряд странных DLL (в одной - картинка, в другой - данные, в стретьей - PEiD переименованный ... :) ), в процессе работы постоянно бурбулирует процесами ping.exe ... они там заместо таймера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Вот так выглядит антивирус в процессах (еще есть сервис, который ничего не делает):

a906bbc56f94.png

Любые файлы в корне с расширением sys - 100% детект:

e597b0e433fd.jpg

А дедект порождает вот этот "модуль":

503499798a1a.jpg

Там действительно все на батниках. Есть несколько exe'шников, они написаны на VB и легко декомпилируются. В базах, скачиваемых из сети, находится аж 32 имени файлов и 3 CRC-суммы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
вирусам не проивостоит

это в корне неверное утверждение. Чтобы заметить его работу нужно поставить популярного два года назад зловреда класса троян-онлайн-геймс, который еще амво.экзе писал. Вот в базе видно его имя:

amvo*.*#fna

Олег, спасибо за информацию! )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А чем провинился диск I? И почему дальше J нет логики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Ого, Umnik с ходу нашел уязвимость! PoC в студию!!!

PS: grixa, спасибо за исследование, было смешно))) пс2: хороший набор инструментов :) (CFF explorer, масм, питон, тулзы Руссиновича).

Вы откуда к нам? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Опять детект по имени файла (пустого) в корне диска, но уже сигнатурными базами (base.dll):

34164c2ca3cf.jpg

Часть кода сканирования базами:

16723e2a8a21.jpg

Обратите внимание получение "сигнатурных сведений" с помощью random'а.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Без комментариев:

3aaf833bb536.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

http://juick.com/Umnik/2249039 Запись вышла в топ Жуйки за несколько минут :) Пятничное настроение все-таки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Ещё доведёт до ума проект "флешка-маркер", ну что бы писали, и поедет в Сколково))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Надо автора пригласить к нам в интервью с экспертами... )))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme

Вот вы, лузеры, тут ржёте, а парню 400 штук явно карман не давят.))

Доработать программу Алексей Бабушкин планирует в ближайшее время. Он - один из победителей программы "УМНИК", направленной на поддержку молодых ученых. Изобретатель получит 400 тысяч рублей в течение ближайших двух лет. А в будущем сможет представить свой проект на конкурсе для маститых ученых.

http://www.katun24.ru/news/news_19884.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petuya

У этого АВ в конфигах выписаны URL. Зашел на один из этих адресов - а там лежт бесплатная версия Immunitet (тут). Мб скоро удалится, так что перевыложил: http://rghost.ru/44037653

Отредактировал Petuya

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KIS_fan

grixa

Не подскажете чем распаковывали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

KIS_fan

upx.exe -d [файл]

:)

Petuya

Это обычная версия, просто в файлике usbimu.inf прописан серийный номер, а в файлике wusa.dll указано количество дней работы «антивируса».

Key=AAA8A-LLLLL-5TG6C-A8FD8-T56FA

Name=Mefistofell

P.S.

Человек хотел сделать антивирус, а сделал FakeAV :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Petuya

Да, я видел это в архиве. Оригинальная защита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
albamef

Ребят, я в упор не понимаю, а что такого то? Я ни у кого софт не крал и не брал никакие исходники для разработки. В антивирусе примерно 59000 строк кода, который я сам писал, антивирус в большинстве случаев обычному пользователю не позволяет заразиться, принцип работы так же обычному пользователю знать не обязательно, и я не рекомендовал его ставить как standalone антивирус, однако большое количество проданных лицензий и обильные благодарные отзывы заставляют задуматься, что продукт всё-таки работает. Дык в чем проблема то? Я спиздил что-то у кого-то, или "блокнот" продаю? Если надо я серваке выложу весь свой исходный код и не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
не одну пятёрку патентов и свидетельств о гос. регистрации на своём сервере...

Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
albamef
Патентов? или регистраций??? Это все-таки разные вещи. Патентные свидетельства видеть хочу

Я в курсе, что это разные вещи, вот я и сказал, что есть и патенты и свидетельства о гос. регистрации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×