Перейти к содержанию
RuJN

тест на детектирование и лечение вирусов для рунета

Recommended Posts

RuJN

Предлагаю провести такой тест.

Для рунета почти не актуальны винлоки с логотипом ФБР США, например. Можно взять русские винлоки, Trojan.Encoder в больших количествах модификаций и проверить уровень их детекта разными вендорами.

Также взятьрзличное русское ПНПО типа установочников тулбаров по партнерке с подписью mail.ru. На счет необходимости детектировать ПНП вопрос спорный, но польхователи должны видеть реальную способность антивируса зазитить от них.

То же самое с русскоязычными вредоносными веб-сайтами и русскоязычным фишингом.

Можно и лечение в активном состоянии проверить хотя бы у части вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

спонсируете сэмплами?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Можно взять русские винлоки

Я предлагаю взять славянские винлоки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а если серьёзно, то:

1. В одну кучу мешать в -данном- случае малварь и адварь нельзя, нужно два теста - по детекту адвари и малвари.

2. Детект русской малвари - даже если мы все скинемся, то вряд ли выйдет насобирать более 5000 русской разной малвари. Т.к критерий точности по нац.признаку подрежет сильно и надо сделать некий отсев дублей, т.к разный мд5 не означает разную малварь, можно к билдеру винлока прикрутить скрипт, который будет на одну букву менять текст и компилить, тогда за полчаса будем иметь кучу малвари, но тестить по ней аверы - глупость. А вот если такой билд пакнут/криптован, то можно считать другой малварью...

иными словами насобирать достаточного количества репрезентативную кучку малвари не сможем...

3. По адвари.

Набрать за сутки коллекцию в несколько тысяч не проблема, но тест будет показывать лишь одно - политику компании по отношению к конкретной адвари, т.к если авер детектит один файл, то детектит и практически все остальные данного семейства, т.к по сути у них один общий жирный стаб.

Интереснее будет набрать коллекцию штук в 300 по 10 адварей от каждого популярного семейства и просканить это авером с настройками по умолчанию, вот тогда будет видно реальный детект для ендюзера, а не для прохождения тестов. Но позиционировать данный тест как один из тестов антималваре не солидной как то ... это так чисто самим тут на форуме побаловаться и друг дружку потроллить от скуки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В этом тесте остро встает вопрос выбора семплов, о чем написал сразу priv8v. Я даже не про проблемы сбора тушек зверьков, хотя правильнее тестировать на реальных атаках (динамический теста), а про критерии отбора и прозрачность этого процесса. Как нам обосновать выбор именно этих, предпложим 100 вредоносов? Если их всего может быть миллион или более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Семплами не проспонсирую, их у меня вообще нет(

с тестом на малварь все проще, тут у всех вендоров политика одинаковая же... Где семплы брать не мне знать, но, если брать из публичных мест, то может возникнуть такая проблема, что венжором А это публичное место мониторится, а вендором В - нет. Если так, то брать примерно поровну, но опять нехорошо, потому что из всех существующих вирусных библиотек поровну взять просто невозможно. В конце концов наплевать на это и собрать хотя бы штук 500 семплов посвежее и часть давнишних, результат длжен достатлчно отражающим отношениеивендоров к этому вопросу. Если проводить динамическое тестирование, то много семплов и не надо.

мой знакомый однажды просто разговаривал по скайпу, ни по каким соответствующим сайтам 100% не лазил, вдруг на экране прокручивается порнография, комп. пережагружается и баннер. Он идет в Связной, где продавец за 250 рублей вместо лицензионной заводской висты ставит пиратскую ХР. Сам файл винлока потом находим, он случайно запускается, а баннер удаляется лайв сиди AntiSMS. У меня его семпл в запароленном архиве сохранился где-то, только я пароль не помню, но можно по логике попробовать подобрать.

адварь можно на потом оставить или взять совсем небольшое кол-во отобранных вручную: один семпл loadmoney mail.ru, другой - установочник softportal.com со скрытой функцией установки ч-л от мейлру (он не модификация др. версии адваря, тк в случае с конретно этим порталом программа полностью фирменная и есть своя ЦП), другой установочник тулбара, можно без разделения на национальный признак.

На мой взгляд важнее показать именно политику вендоров к таким типам угроз, т.к. о защите от ПНП говорят многие, но не все етектируют русскоязычное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Я не случайно написал про динамический тест. Если мы даже насобираем какой-то количество тушек, то что покажет наш тест? Он покажет, что эти старые, мертвые, отстреленные когда-то тушки сейчас детектятся. С практической точки зрения эти знания ни о чем не говорят. Детект может добавиться, но сама атака отработала и этим вирусом уже заразилась куча людей. С тем же успехом можно собрать российские дос-вирусы и на них протестировать.

В общем без динамики это будет тест на полноту коллекции/детекта файлового антивируса, но не реальный тест на качество защиты. Нужно думать, как сделать правильную методологию такого теста.

Если найти стабильные каналы распространения локкеров, то будет проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
    • PR55.RP55
      1) При срабатывании критерия выделять не всю строку, а только вхождение\результат. Пример: C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL 2) Команду: Архивировать Zoo  добавить и  в меню файла. Если оператор работает с одним файлом - ему не нужно будет метаться по всей программе. Когда группа файлов - тогда, да удобно применить одну команду. Но когда файл один... 3) В Инфо. файла прописывать единственный это файл каталога, или нет. Примерно так: FC:  1 > ADNEKMOD8B4.DLL FC:  5 > Uninstall.exe;  Menu.exe;  MenuDLL.dll;  9z.dll;  Com.bat ; 4) При совпадении пути до файла: PROGRAM FILES ; PROGRAM FILES (X86) с одной из установленных программ. Писать в Инфо.:  C:\PROGRAM FILES (X86)\AIMP3\AIMP3.EXE Программа найдена: C:\Program Files (x86)\AIMP3\Uninstall.exe
    • PR55.RP55
      В связи с переходом угроз для: BIOS\UEFI из теории в реальность... Предлагаю создать отдельную программу для: Копирования\Восстановления; Просмотра; Просмотра info; Передачи на V.T; Расчёта SHA1 Замены прошивки на: https://www.anti-malware.ru/analytics/Market_Analysis/SDZ-MDZ-russia-market-overview и интеграцию с uVS    
×