radioelectron

Оказывается, существуют антивирусы, не детектирующие Eicar

В этой теме 11 сообщений

На ночь пришла в голову бредовая мысль - проверить чистый Эйкар на ВирусТотале. Не ожидал, что найдутся два антивируса, для которых в этом файле нет ничего вредоносного :)

6de0cf466b38b508632b10502bf3fc84.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Про Prevx я не совсем понял: что это? Некий несигнатурный сканер? Типа сканирует характерные места в системе на предмет аномалий?

Про "несигнатурный" это верно :) Детектит файлы по имени и контрольной сумме + песочница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сделал то же самое на virscan.org. Там Eicar не видят две другие программы - nProtect и The Hacker. :)

16f5424414240ca72006c9adc5d3cd06.jpg

Согласно Википедии, nProtect - антихакерская и антивирусная утилита. :D

Официальные сайты http://www.nprotect.co.kr/ и http://nprotect.jp/

Все исписано иероглифами, но можно прочесть список последних задетектированных файлов:

Trojan-Exploit/W32.PDF-URI

Backdoor/W32.Hupigon.24576

Backdoor/W32.Hupigon.329216.D

В самом низу японского сайта красуются эмблемы - http://nprotect.jp/img/logos.gif Сради них VirusBulletin :roll:

Могли бы добавить и Эйкар для приличия. Может, послать? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron, а почему на скрине с virscan.org указаны старые базы у всех антивирусов? Ну я просто так, к слову спросил... :roll:

Похоже, их там месяц не обновляли)) Я этот скрин делал сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> У PrevX1 нет никакой песочницы- там только классическая CHIPS.

Песочницы я там тоже никакой не заметил (уж не поэтому ли все бинари просто параноидально защищены от исследования c помощью приватной версии давно мертвого XtreamLok? :-) Но там таки есть немного четких рабочих сигнатур, хотя в основном это правила типа "если в %SystemRoot% есть файл kernel33.exe размером от 10кб до 70кб то надо громко заорать HEURISTIC WARNING!!!!" и все такое... :-)

Точнее говоря там много списков, и какие файлы точно могут быть, и каких точно недолжно быть, и какие могут быть с разными версиями и временем создания и т.д. В целом это что-то вроде кастрированной версии AVZ, которая срабатывает на любые анамалии в системе среднестатистического пользователя. И ведь это таки иногда работает, когда другие пасуют :-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы удевитись но Windows Defender тож его не обнаруживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Windows Defender - это не антивирус, поэтому он и не должен его обнаруживать :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS