Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование полиморфных вирусов (подготовка)

Recommended Posts

Сергей Ильин

Коллеги,

Есть идея провести тест антивирусов на качество детектирования полиморфных вирусов. Этот тест показал бы качество работы вирусных аналитиков у вендоров, насколько хорошо они справляются со сложными задачами.

Кратко методология теста:

1. отбираем ITW полиморфные вирусы за 2007 год (их будет совсем не много)

2. собираем с вендоров образцы (кто сколько даст, дело добровольное)

3. собранные образцы размножаются по мере возможности

4. проверяется детект по образовавшейся коллекции образцов (делается разбивка по вариантам вирусов в семействах)

Маска по времени позволит нам посмотреть как работали вирлабы в этом году.

Для наград я предлагаю сделать какие-то красивые названия, отражающие качество работы вирусных лабораторий. Тут нужно подумать еще будет.

Что думаете по этому тесту и предложенной методологии?

Есть предложения по полиморфным вирусам?

P.S. Несколько месяцев назад я уже начал собирать образцы у вендоров, но тест был заморожен. Теперь руки дошли до него :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Полиморфные компьютерные вирусы как вариант за 2007 год:

Virus.Win32.Alman

Virus.Win32.Huhk

Virus.Win32.Tvido

Virus.Win32.Virut

Virus.Win32.Parite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Ну последний Parite появился году в 2004.

Предпоследний в 2001 ;) .

Да и полиморфным его можно назвать с огромной натяжкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Новые модификации появляются до сих пор. Недавно один наш пользователь сталкивался с такой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Честно говоря, упустил этот момент.

Ссылки есть на обсуждения?

Или, может, имя, под которым DrWeb детектит подскажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Или, может, имя, под которым DrWeb детектит подскажите?

Пожалуйста.

drw44401.txt: Win32.Parite.1, Win32.Parite.2

drw44403.txt: Win32.Parite.2

drw44410.txt: Win32.Parite.2

drw44414.txt: Win32.Parite.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Хм.

Новую версию под старым именем задетектили? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

В любом случае, считаю что использовать Parite для тестирования нельзя, если тестировать именно полиморфные зловреды. Parite не полиморфный.

Валерий, спасибо за информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Да и полиморфным его можно назвать с огромной натяжкой.

Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Я спрошу, но насколько я знаю, помочь могут только аналитики, у которых работы и так хватает... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Мне бы Вашу память ;) .

Huhk я вспомнил только после Вашего упоминания.

Зато я вспомнил Allaple. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, официальные лица компании ответили, что пока нет свободных людей, которые могли бы стать экспертами по этому тесту. Это не значит, что в будущем ситуация не изменится, но пока так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Trumanko
      у меня так сосед проигрался в вулкан клубе http://volcano-money.ru/oficialnyj-igrovoj-klub-vulkan-777-na-dengi и потом занимал везде, где мог. Добром это не закончилось. Так что брать деньги в долг не стоит.
    • Trumanko
      я иногда вижу правильную тенденцию на финансовых рынках и работаю на платформе олимп трейд https://binarnye.ru/olymptrade-binarnye. Заработать не особо много выходит, но все равно приятно. Я просто разбираюсь в этом.
    • demkd
      Windows 64-х битный потому и 2 процесса, один под эмулятором, второй 64-х битный.
    • PR55.RP55
      Почему  в списке два процесса uVS - ?
    • clocot
      Сейчас вообще можно делать украшения своими руками , особенно актуально в канун новогодних праздников. Думаю что каждый сейчас думает,  что бы такое интересное и необычное можно подарить. И ведь это может быть реальным решением, оригинальный подарок созданный своими руками, не будет иметь никаких аналогов, тем более на прилавках магазинов
×