Перейти к содержанию
radioelectron

Оказывается, существуют антивирусы, не детектирующие Eicar

Recommended Posts

radioelectron

На ночь пришла в голову бредовая мысль - проверить чистый Эйкар на ВирусТотале. Не ожидал, что найдутся два антивируса, для которых в этом файле нет ничего вредоносного :)

6de0cf466b38b508632b10502bf3fc84.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

это не антивирусы :)

но смешно вообще :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Про "несигнатурный" это верно :) Детектит файлы по имени и контрольной сумме + песочница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron

Сделал то же самое на virscan.org. Там Eicar не видят две другие программы - nProtect и The Hacker. :)

16f5424414240ca72006c9adc5d3cd06.jpg

Согласно Википедии, nProtect - антихакерская и антивирусная утилита. :D

Официальные сайты http://www.nprotect.co.kr/ и http://nprotect.jp/

Все исписано иероглифами, но можно прочесть список последних задетектированных файлов:

Trojan-Exploit/W32.PDF-URI

Backdoor/W32.Hupigon.24576

Backdoor/W32.Hupigon.329216.D

В самом низу японского сайта красуются эмблемы - http://nprotect.jp/img/logos.gif Сради них VirusBulletin :roll:

Могли бы добавить и Эйкар для приличия. Может, послать? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Похоже, их там месяц не обновляли)) Я этот скрин делал сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Песочницы я там тоже никакой не заметил (уж не поэтому ли все бинари просто параноидально защищены от исследования c помощью приватной версии давно мертвого XtreamLok? :-) Но там таки есть немного четких рабочих сигнатур, хотя в основном это правила типа "если в %SystemRoot% есть файл kernel33.exe размером от 10кб до 70кб то надо громко заорать HEURISTIC WARNING!!!!" и все такое... :-)

Точнее говоря там много списков, и какие файлы точно могут быть, и каких точно недолжно быть, и какие могут быть с разными версиями и временем создания и т.д. В целом это что-то вроде кастрированной версии AVZ, которая срабатывает на любые анамалии в системе среднестатистического пользователя. И ведь это таки иногда работает, когда другие пасуют :-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Вы удевитись но Windows Defender тож его не обнаруживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Windows Defender - это не антивирус, поэтому он и не должен его обнаруживать :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Добавлю в след. версии.
      Последнее время был занят созданием фаервола, он практически готов и проходит тестирование, так что скоро можно будет вернуться к uVS.
    • Ego Dekker
      ESET SysRescue Live был обновлён до версии 1.0.22.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.17.
    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
×