Оказывается, существуют антивирусы, не детектирующие Eicar - Свободное общение - Форумы Anti-Malware.ru Перейти к содержанию
radioelectron

Оказывается, существуют антивирусы, не детектирующие Eicar

Автор radioelectron, в Свободное общение

Recommended Posts

radioelectron    80

radioelectron
Опубликовано

На ночь пришла в голову бредовая мысль - проверить чистый Эйкар на ВирусТотале. Не ожидал, что найдутся два антивируса, для которых в этом файле нет ничего вредоносного :)

6de0cf466b38b508632b10502bf3fc84.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

это не антивирусы :)

но смешно вообще :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets    30

Dmitry Perets
Опубликовано

Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Про "несигнатурный" это верно :) Детектит файлы по имени и контрольной сумме + песочница.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано

У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

radioelectron    80

radioelectron
Опубликовано

Сделал то же самое на virscan.org. Там Eicar не видят две другие программы - nProtect и The Hacker. :)

16f5424414240ca72006c9adc5d3cd06.jpg

Согласно Википедии, nProtect - антихакерская и антивирусная утилита. :D

Официальные сайты http://www.nprotect.co.kr/ и http://nprotect.jp/

Все исписано иероглифами, но можно прочесть список последних задетектированных файлов:

Trojan-Exploit/W32.PDF-URI

Backdoor/W32.Hupigon.24576

Backdoor/W32.Hupigon.329216.D

В самом низу японского сайта красуются эмблемы - http://nprotect.jp/img/logos.gif Сради них VirusBulletin :roll:

Могли бы добавить и Эйкар для приличия. Может, послать? :lol:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Денис Лебедев    20

Денис Лебедев
Опубликовано

radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

radioelectron    80

radioelectron
Опубликовано
radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Похоже, их там месяц не обновляли)) Я этот скрин делал сегодня.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dr.Golova    55

Dr.Golova
Опубликовано

> У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Песочницы я там тоже никакой не заметил (уж не поэтому ли все бинари просто параноидально защищены от исследования c помощью приватной версии давно мертвого XtreamLok? :-) Но там таки есть немного четких рабочих сигнатур, хотя в основном это правила типа "если в %SystemRoot% есть файл kernel33.exe размером от 10кб до 70кб то надо громко заорать HEURISTIC WARNING!!!!" и все такое... :-)

Точнее говоря там много списков, и какие файлы точно могут быть, и каких точно недолжно быть, и какие могут быть с разными версиями и временем создания и т.д. В целом это что-то вроде кастрированной версии AVZ, которая срабатывает на любые анамалии в системе среднестатистического пользователя. И ведь это таки иногда работает, когда другие пасуют :-

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

pROCKrammer    50

pROCKrammer
Опубликовано

Вы удевитись но Windows Defender тож его не обнаруживает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Windows Defender - это не антивирус, поэтому он и не должен его обнаруживать :wink:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Свободное общение

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      По мелочи: 1) В меню: Тесты > Тест на АКТИВНЫЕ файловые вирусы
      Так вот, если просто закрыть окно по Esc ( не нажимая ОК ) программа всё равно начнёт поиск... 2) В меню: Файл > Восстановить реестр.
      Пример из лога:
      Выполнено за 1,423 сек.
      Указанный каталог не содержит полной и доступной для чтения копии реестра.
      ----
      Выполнено за 1,423 сек. Что выполнено ?
      Как-то совсем нехорошо звучит. Не нужно так пугать.  :)
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.5
      ---------------------------------------------------------
       o Исправлена ошибка в функции "Отобразить цепочку запуска процесса" в окне Истории процессов и задач.
         Функция могла зациклиться на конечном процессе цепочки, что приводило к подвисанию uVS.

       o Исправлена ошибка в функции проверки переменных окружения при работе с неактивной системой.

       o В лог добавлен вывод состояния флагов защиты uVS.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Ага, есть такое, исправлю. При включенном отслеживании или наличии драйвера данные оттуда не берутся, во всех версиях uVS. Такого не наблюдаю.
         
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Что там будет с историей процессов и задач при работе с активной системой, трудно сказать, это же надо на своей системе (или VM) включать отслеживание. С отслеживанием в основном работаем с образами. Тема так и называется  "создать образ автозапуска с отслеживанием процессов и задач".
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      https://disk.yandex.ru/i/JPJDtV0H4P6Hjg
×