Перейти к содержанию
Mike

Тест на VirusTotal

Recommended Posts

Mike

Вчера протестировал на VirusTotal 12 зловредов.

Результат: AntiVir - 10

Kaspersky - 6

Microsoft -6

DrWeb - 6

NOD - 4

Norton - 3

Mcafee - 2

BitDefender - 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Результат: AntiVir - 10

HEUR/Crypted? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

да интерсен вердикт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

STATUS: FINISHEDComplete scanning result of "IExpl32d.exe", received in VirusTotal at 05.29.2007, 20:25:13 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Agent.16384

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "mgnvfqbc.exe"", received in VirusTotal at 05.29.2007, 20:27:07 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Zapchast.CA.1

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 Trojan Horse

STATUS: FINISHEDComplete scanning result of "gvsaaaaa.exe", received in VirusTotal at 05.29.2007, 20:28:52 (CET).

AntiVir 7.4.0.27 05.29.2007 no virus found

Kaspersky 4.0.2.24 05.29.2007 Trojan-Downloader.Win32.Agent.brk

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "ijytmgwu.exe", received in VirusTotal at 05.29.2007, 20:30:01 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Crypted

Kaspersky 4.0.2.24 05.29.2007 Trojan-Clicker.Win32.Delf.hi

Symantec 10 05.29.2007 Trojan Horse

STATUS: FINISHEDComplete scanning result of "oxcthxmb.exe", received in VirusTotal at 05.29.2007, 20:32:01 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Drop.Agent.75776

Kaspersky 4.0.2.24 05.29.2007 Packed.Win32.Morphine.a

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "nieanie.exe", received in VirusTotal at 05.29.2007, 20:31:13 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Dldr.ConHook.Gen

Kaspersky 4.0.2.24 05.29.2007 Trojan.Win32.Delf.zj

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "MSIEHelper.dll", received in VirusTotal at 05.29.2007, 21:12:15 (CET).

AntiVir 7.4.0.27 05.29.2007 no virus found

Avast 4.7.997.0 05.29.2007 Win32:Small-FCE

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "hflt_ipf.sys", received in VirusTotal at 05.29.2007, 21:12:53 (CET).

AntiVir 7.4.0.27 05.29.2007 RKit/Agent.AK

Kaspersky 4.0.2.24 05.29.2007 no virus found

Symantec 10 05.29.2007 no virus found

STATUS: FINISHEDComplete scanning result of "netdtect.sys", received in VirusTotal at 05.29.2007, 21:16:04 (CET).

AntiVir 7.4.0.27 05.29.2007 RKit/Agent.DQ.31.A

Kaspersky 4.0.2.24 05.29.2007 Rootkit.Win32.Agent.dp

Symantec 10 05.29.2007 no virus found

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 05.30.2007, 00:18:59 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Crypted

Kaspersky 4.0.2.24 05.30.2007 no virus found

Symantec 10 05.30.2007 no virus found

Complete scanning result of "tmp19C.tmp", received in VirusTotal at 05.30.2007, 00:23:41 (CET).

AntiVir 7.4.0.27 05.29.2007 HEUR/Malware

Kaspersky 4.0.2.24 05.30.2007 no virus found

Symantec 10 05.30.2007 Trojan Horse

Complete scanning result of "ipv6mons.dll", received in VirusTotal at 05.30.2007, 00:57:18 (CET).

AntiVir 7.4.0.27 05.29.2007 TR/Crypt.XPACK.Gen

Kaspersky 4.0.2.24 05.30.2007 Packed.Win32.Morphine.a

Symantec 10 05.30.2007 no virus found

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
STATUS: FINISHEDComplete scanning

Два HEUR/Crypted у Авиры можно смело вычеркивать. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

А где вы берёте вирусы, которых ловит Microsoft? =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
STATUS: FINISHEDComplete scanning

Два HEUR/Crypted у Авиры можно смело вычеркивать. :)

почему?

Добавлено спустя 2 минуты 8 секунд:

А где вы берёте вирусы, которых ловит Microsoft? =)

выложил:

"ijytmgwu.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"oxcthxmb.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"nieanie.exe",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

"hflt_ipf.sys",

Microsoft 1.2503 05.29.2007 VirTool:WinNT/Maxhide.A

"tmp19C.tmp",

Microsoft 1.2503 05.29.2007 TrojanDownloader:Win32/Cavitate.gen!A

"ipv6mons.dll",

Microsoft 1.2503 05.29.2007 VirTool:Win32/Obfuscator.E

хотя я тоже удивлен.

в моем предыдушем тесте, результаты которого я выложу на днях, микрософт почти ничего не поймал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
totja ja tozhe udivlen, v moem predydushem teste, rezulÄtaty kotorogo ja vylozhu na dnjax, microsoft pochti nichego ne pojmal.

Регулярный секс с руководством, и "румыны" начали хорошо работать. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ordon
Регулярный секс с руководством, и "румыны" начали хорошо работать.

:lol::lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На самом деле почему HEUR/Crypted у Avira нужно вычеркивать?

Формально они задетектили зловредов, такой уж у них метод.

Про фалсы черь сейчас не идет, мы предполагаем что это точно malware:-)

Регулярный секс с руководством, и "румыны" начали хорошо работать. Wink

Им раскачали "Опыт" и "Скорость работы" :lol:

Если серьезно, я уже писал в другой ветке, что скоро Microsoft будет рулить по детекту, много правильных людей они скупают ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
На самом деле почему HEUR/Crypted у Avira нужно вычеркивать?

То есть если я напишу прогу, которая все файлы будет считать вирусами - это будет идеальный антивирус? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Storm

можно сколько угодно говорить о том, что детектить например по "левым" пакерам и криптерам http://www.avira.com/en/threats/section/fu...ur_crypted.html это совершенно неправильно и некорректно. Но это вы профи можете впаривать, эксперты из ЛК, которые стараются и долбают вирусы по честному вас наверняка поддержат. И что паразитировать на сигнатурах других тоже нехорошо, согласен.

Но все это интересно только очень узкому круг лиц, а результат (интересный пользователю антивируса) таков, что вирье детектится, а ложных срабатываний у авиры при этом все равно много не будет, потому как "левые" пакеры никто для нормальных прог не использует. И над этим стоит задуматься, а не гордо плевать в сторону "нечестного" детекта.

ну это так лирика, а что касается самого проведенного теста, то он по большому счету мало чего показывает. набор вирья слишком невелик да и откуда и как это вирье возникло непонятно, если автор расскажет по какому принципу вирье отбиралось.

например самые распространенное вирье в почте какого-то крупного провайдера или там вирье пойманное проактивно таким-то крупным вендором за последние 48 часов - тогда этот тест был бы отчасти показательным. А так...чего только стоит уровень детекта микрософта, который тут хороший, а по признанию Mike совсем недавно ничего не ловил.

как грит alexgr должно быть понятно откуда дровишки (коллекция) Коллекция должна быть либо очень большая как у Клименти с марксом, либо небольшой набор свежака (несколько сотен) взятый из реального трафика как у того месседжлабза

или же на худой конец принцип отбора как-то должен разумно обосновываться, как в тестах антималваре на активное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
То есть если я напишу прогу, которая все файлы будет считать вирусами - это будет идеальный антивирус? Smile

Иван, все написал выше, я с ним согласен. Пользователю пофиг как обеспечивается детект, главное что ловит. Тем более, что легитимный софт редко пакутся "левыми" пакерами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
ну это так лирика, а что касается самого проведенного теста, то он по большому счету мало чего показывает. набор вирья слишком невелик да и откуда и как это вирье возникло непонятно, если автор расскажет по какому принципу вирье отбиралось.

.

ну давайте по-порядку.

тема назвавается: "тесты на VirusTotal".

мною были проведены три теста, результат одногоя выложил.

результат второго теста будет выложен позднее.

тест показывает насколько актуальны базы различных антивирусов

и насколько антивирусы готовы к обнаружению "реальных" вирусов.

30 мая в 19-20 произошло заражение компутера.

с 20-00 я занимался поиском "подозрительных" файлов на компе.

после того , как ве файлы были собраны и проверены на длину

(один из них имел до десяти клонов с разными именами, но с одинаковой длиной)

они все были отправлены на VirusTotal

удивление вызвало, что большинство антивирусов смогли обнаружить небольшую часть зловредов.

т.е. насколько слаба защитa от вирусов из интернета ...

после чего с помощю рук, ERD Коммандера и некоторых утилит была проведена чистка компутера.

компутер ни одним антивирусом не проверялся, поэтому вся информация - только с VirusTotal

все результаты тестирования были выложены в соседней ветке..

выкладываю копию.

log.rar

log.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

угу, мне как пользователю реально непонятно, чем так уж плох вариант прескана по упаковщикам. Т.е. известные применяемые для нормальных прог упаковщики сразу заносятся в исключения и проверяются сигнатурным движком и эвристиком.

Все остальные упакованные файлы еще до этапа проверки движком режутся и пользователь получает балун: файл подозрительный, рекомендуемое действие закарантитнить и послать в вирлаб.

Чем простите это хуже чем балуны проактивки на всякое подозрительное-мне простаку не понять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

а по поводу теста понятно, т.е. это история заражения одного конретного компьютера и проверка вирустоталом демонтсрирует как бы изменилась ситуация, если бы на данном конкретном компьютере стоял один из антивирусников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Пользователю пофиг как обеспечивается детект, главное что ловит.

Есть еще один момент, пользователю будет не шибко здорово, когда Авира начнет убивать нормальные криптованные файлы. Посмотри последние тесты АВ-Компаративз, у Авиры написано:

Number of false positives many

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
а по поводу теста понятно, т.е. это история заражения одного конретного компьютера и проверка вирустоталом демонтсрирует как бы изменилась ситуация, если бы на данном конкретном компьютере стоял один из антивирусников.

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 05.30.2007, 00:18:59 (CET).

BitDefender 7.2 05.29.2007 no virus found

DrWeb 4.33 05.29.2007 no virus found

F-Prot 4.3.2.48 05.25.2007 no virus found

F-Secure 6.70.13030.0 05.30.2007 no virus found

Kaspersky 4.0.2.24 05.30.2007 no virus found

Microsoft 1.2503 05.29.2007 no virus found

Norman 5.80.02 05.29.2007 no virus found

Symantec 10 05.30.2007 no virus found

Complete scanning result of "ntos.exe", received in VirusTotal at 05.28.2007, 00:04:50 (CET).

AntiVir 7.4.0.27 05.27.2007 no virus found

BitDefender 7.2 05.27.2007 no virus found

DrWeb 4.33 05.27.2007 no virus found

F-Prot 4.3.2.48 05.25.2007 no virus found

F-Secure 6.70.13030.0 05.27.2007 no virus found

Kaspersky 4.0.2.24 05.27.2007 no virus found

McAfee 5039 05.25.2007 no virus found

Microsoft 1.2503 05.28.2007 no virus found

NOD32v2 2293 05.27.2007 no virus found

Norman 5.80.02 05.25.2007 no virus found

Symantec 10 05.27.2007 no virus found

наоборот, проверка на вирустотал показала, что если–бы на этом компутере стоял–бы один из этих антивирусов,

то компутер был–бы заражен этими, и возможно другими вирусами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Есть еще один момент, пользователю будет не шибко здорово, когда Авира начнет убивать нормальные криптованные файлы.

А есть хоть один случай, кроме ситуации с Download Master? Правда там была больше проблема разработчиков DM. Выпустили новую версию качалки.

наоборот, проверка на вирустотал показала, что если–бы на этом компутере стоял–бы один из этих антивирусов,

то компутер был–бы заражен этими, и возможно другими вирусами.

Если представить идеально незащищенную систему, то да. Но наличие головы на плечах, обновлений системы, файрвола (и/или прокси-сервера) и пр. сильно снизит шансы зловреда на успех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
А есть хоть один случай, кроме ситуации с Download Master? Правда там была больше проблема разработчиков DM. Выпустили новую версию качалки.

У нас в городе Авира и Аваст весьма популярны, в виду того, что один из основных поставщиков компов ставит их на свои компы. И мой знакомый говорит что очень часто звонят и говорят что "у меня тут вирусные страшные сидят" и обычно этот вирус зовется "хеур наклонная палочка круптед". :)

ЗЫ Опять же Андреас тоже не с потолка цифру взял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

давайте будем честны вердикт "хеур наклонная палочка круптед" стал причиной всего 3 фолсов авиры, остальные 15 фолсов совсем с другим вердиктом:)

но по совокупности заслуг авира конечно фолсовая, не могу с этим не согласиться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

прошло три дня.

результат повторного тестирования:

Complete scanning result of "ntos.exe", received in VirusTotal at 06.02.2007, 12:51:17 (CET).

AntiVir 7.4.0.29 06.01.2007 TR/Spy.Bancos.aam.212

Kaspersky 4.0.2.24 06.02.2007 Trojan-Spy.Win32.Bancos.aam

McAfee 5044 06.01.2007 no virus found

Microsoft 1.2503 06.02.2007 no virus found

NOD32v2 2305 06.01.2007 no virus found

Symantec 10 06.02.2007 Infostealer.Banker.C

Complete scanning result of "MS_update_0704_KB74073.exe", received in VirusTotal at 06.02.2007, 12:52:46 (CET).

AntiVir 7.4.0.29 06.01.2007 TR/Dldr.Murlo.FG.31

Kaspersky 4.0.2.24 06.02.2007 Trojan-Downloader.Win32.Murlo.fg

McAfee 5044 06.01.2007 Generic BackDoor.n

Microsoft 1.2503 06.02.2007 no virus found

NOD32v2 2305 06.01.2007 a variant of Win32/TrojanDownloader.Murlo

Symantec 10 06.02.2007 no virus found

авира и касперский, как и следовало ожидать, зловредов в базу добавили.

а накафе, нортон и нод - снова в ауте.

удивил микрософт: оба вируса в базу не добавил, что расходитсq с результатами теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

как и обещал, постараюсь выложить результаты тестирования зараженных почтовых приккреплений

(извините, звучит забавно, но не знаю как их правильно по русски назвать).

будут выложены результаты для следущих антивирусов:

авира

касперский

нортон

микрософт

макафее

тренд-микро

нод

вопрос: может-быть имеет смысл добавить другие антивирусы,

например дрвеб, софос, битдефендер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
вопрос: может-быть имеет смысл добавить другие антивирусы,

например дрвеб, софос, битдефендер?

Конечно! Особенно ДрВеба (тут же его представители и сторонники часто бывают) и Битдефендера.

Добавлено спустя 8 минут 56 секунд:

Mike, думаю, что ваше тестирование будет интересно, т.к. свежей аналитики (собственного производства), по моему, в последний месяц на сайте как раз и не хватает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
как и обещал, постараюсь выложить результаты тестирования зараженных почтовых приккреплений

(извините, звучит забавно, но не знаю как их правильно по русски назвать).

Вложение (мн. ч. вложения, -ий).

микрософт

макафее

Первое лучше называть как майкрософт. Второе - макафи.

P.S. Не стесняйтесь спрашивать. Поможем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×