RuJN

тест на детектирование и лечение вирусов для рунета

В этой теме 7 сообщений

Предлагаю провести такой тест.

Для рунета почти не актуальны винлоки с логотипом ФБР США, например. Можно взять русские винлоки, Trojan.Encoder в больших количествах модификаций и проверить уровень их детекта разными вендорами.

Также взятьрзличное русское ПНПО типа установочников тулбаров по партнерке с подписью mail.ru. На счет необходимости детектировать ПНП вопрос спорный, но польхователи должны видеть реальную способность антивируса зазитить от них.

То же самое с русскоязычными вредоносными веб-сайтами и русскоязычным фишингом.

Можно и лечение в активном состоянии проверить хотя бы у части вредоносного ПО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Можно взять русские винлоки

Я предлагаю взять славянские винлоки!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если серьёзно, то:

1. В одну кучу мешать в -данном- случае малварь и адварь нельзя, нужно два теста - по детекту адвари и малвари.

2. Детект русской малвари - даже если мы все скинемся, то вряд ли выйдет насобирать более 5000 русской разной малвари. Т.к критерий точности по нац.признаку подрежет сильно и надо сделать некий отсев дублей, т.к разный мд5 не означает разную малварь, можно к билдеру винлока прикрутить скрипт, который будет на одну букву менять текст и компилить, тогда за полчаса будем иметь кучу малвари, но тестить по ней аверы - глупость. А вот если такой билд пакнут/криптован, то можно считать другой малварью...

иными словами насобирать достаточного количества репрезентативную кучку малвари не сможем...

3. По адвари.

Набрать за сутки коллекцию в несколько тысяч не проблема, но тест будет показывать лишь одно - политику компании по отношению к конкретной адвари, т.к если авер детектит один файл, то детектит и практически все остальные данного семейства, т.к по сути у них один общий жирный стаб.

Интереснее будет набрать коллекцию штук в 300 по 10 адварей от каждого популярного семейства и просканить это авером с настройками по умолчанию, вот тогда будет видно реальный детект для ендюзера, а не для прохождения тестов. Но позиционировать данный тест как один из тестов антималваре не солидной как то ... это так чисто самим тут на форуме побаловаться и друг дружку потроллить от скуки :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В этом тесте остро встает вопрос выбора семплов, о чем написал сразу priv8v. Я даже не про проблемы сбора тушек зверьков, хотя правильнее тестировать на реальных атаках (динамический теста), а про критерии отбора и прозрачность этого процесса. Как нам обосновать выбор именно этих, предпложим 100 вредоносов? Если их всего может быть миллион или более.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Семплами не проспонсирую, их у меня вообще нет(

с тестом на малварь все проще, тут у всех вендоров политика одинаковая же... Где семплы брать не мне знать, но, если брать из публичных мест, то может возникнуть такая проблема, что венжором А это публичное место мониторится, а вендором В - нет. Если так, то брать примерно поровну, но опять нехорошо, потому что из всех существующих вирусных библиотек поровну взять просто невозможно. В конце концов наплевать на это и собрать хотя бы штук 500 семплов посвежее и часть давнишних, результат длжен достатлчно отражающим отношениеивендоров к этому вопросу. Если проводить динамическое тестирование, то много семплов и не надо.

мой знакомый однажды просто разговаривал по скайпу, ни по каким соответствующим сайтам 100% не лазил, вдруг на экране прокручивается порнография, комп. пережагружается и баннер. Он идет в Связной, где продавец за 250 рублей вместо лицензионной заводской висты ставит пиратскую ХР. Сам файл винлока потом находим, он случайно запускается, а баннер удаляется лайв сиди AntiSMS. У меня его семпл в запароленном архиве сохранился где-то, только я пароль не помню, но можно по логике попробовать подобрать.

адварь можно на потом оставить или взять совсем небольшое кол-во отобранных вручную: один семпл loadmoney mail.ru, другой - установочник softportal.com со скрытой функцией установки ч-л от мейлру (он не модификация др. версии адваря, тк в случае с конретно этим порталом программа полностью фирменная и есть своя ЦП), другой установочник тулбара, можно без разделения на национальный признак.

На мой взгляд важнее показать именно политику вендоров к таким типам угроз, т.к. о защите от ПНП говорят многие, но не все етектируют русскоязычное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не случайно написал про динамический тест. Если мы даже насобираем какой-то количество тушек, то что покажет наш тест? Он покажет, что эти старые, мертвые, отстреленные когда-то тушки сейчас детектятся. С практической точки зрения эти знания ни о чем не говорят. Детект может добавиться, но сама атака отработала и этим вирусом уже заразилась куча людей. С тем же успехом можно собрать российские дос-вирусы и на них протестировать.

В общем без динамики это будет тест на полноту коллекции/детекта файлового антивируса, но не реальный тест на качество защиты. Нужно думать, как сделать правильную методологию такого теста.

Если найти стабильные каналы распространения локкеров, то будет проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • b!atnoy
      Тестирование на проникновение с помощью Kali Linux 2.0 не плохая книга, почитайте.
    • amid525
      Тут я сомневаюсь.. И ранее, когда угроз было более, не особо брали. А сейчас, с нынешним уровнем бесплатных антивирусов, да и достаточной встроенной защитой, необходимость в платных, думаю скоро сойдет на нет.. )
    • PR55.RP55
      Факт. 1) Когда вышла крайняя версия утилиты: Tdsskiller ? Ответ: Апрель 2017 т.е.  новых rootkit - тов не было... скоро, как год уже не было новых... 2) За год резко снизилось число ADWARE агентов. 3) Снизилось число заражений шифраторами. 4) Число заражений файловыми вирусами. 5) Блокировщики экрана превратились в анахронизм - в живых динозавров. Почему это происходит ? а) Были приняты меры, как разработчиками программ так и пользователями. Появились более защищённые браузеры, эффективные Free Antivirus - ы, повысился уровеньосведомлённости пользователей PC ( сейчас даже бабушки знают, что нужно проверять файл hosts ) Как результат - модификация ( злонамеренная ) файла hosts практически прекратилась. ADWARE - файлы часто подписывают Электронно цифровой подписью ( ЭЦП  ) - и платили ( платят )  за это деньги... Как результат: Овчинка перестала стоить выделки. ( дебет не сходиться с кредитом ) Число левых ЭЦП резко сократилось... б) Крупные компании практически перестали досаждать пользователям такими продуктами как:  Guard mail.ru;  Яндекс praetorian и т.д. так, как рынок уже поделили... с) Сменилась прицельна точка с Windows на Android  системы. д) Также по всей видимости произошла переориентация у плохих дядей. На данный момент  появились возможности заработать относительно легальным путём - те же .js майнеры на сайтах... Резко возросло число преступлений - со стороны мошенников соответственно это привело к снижению активности на иных направлениях. Кроме того технический прогресс не стоит на месте. Раньше мы постоянно использовали CD\DVD - USB диски. сейчас же благодаря появлению облачных хранилищ, доступности интернета, скорости передачи данных... Обмен дисками снизился на несколько порядков. Как результат практически исчезли Autorun вирусы и резко снизилось число файловых заражений. Изменилось отношение пользователей к безопасности - отношение стало более ответственным. так, как нормальная работа PC и сохранение информации напрямую стала связана с доходами - работа в интернете, передача данных, отчётов, банковские переводы, регистрации и т.д. Чаще стали покупать лицензии, к антивирусам, а не использовать взломанные версии. Были внедрены многоуровневые системы  проверки данных. К примеру: данные проверяет почтовый сервер и только потом данные передаются пользователю, где они повторно проверяются. Появились онлайн сканеры типа: herdProtect; threatinfo.net; reasoncoresecurity.com У вируса\adware остаётся мало шансов уйти от обнаружения ведь файл анализирует: 60 + антивирусов. Была налажена схема\линия обмена данными между антивирусными компаниями - угрозы быстро обнаруживают и нейтрализуют - что резко снижает время активности вируса\угрозы и снижает доходность. В связи с многочисленными атаками на баки были предприняты доп. меры, как со стороны банков, так и со стороны правоохранительных органов - о чём свидетельствую аресты. Разработка искусственного интеллекта ( его элементов ) - совершенствование механизмов эвристики. Создание общих баз данных по угрозам - определение закономерностей в коде, принципах распространения. Внедрение оплаты компаниями за найденные в их продуктах уязвимости - что также привело к росту стоимости информации на чёрном рынке. Сменились направления атак. Чаще стали атаковать: Китай и Корею. ------------ Но не стоит расслабляться. Произошло переключение на майнинг   вирусы   и по прежнему  свирепствуют шифраторы да и рекламные агенты продолжают нас радовать.
    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525