Тест антивирусов на детектирование полиморфных вирусов (подготовка) - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование полиморфных вирусов (подготовка)

Recommended Posts

Сергей Ильин

Коллеги,

Есть идея провести тест антивирусов на качество детектирования полиморфных вирусов. Этот тест показал бы качество работы вирусных аналитиков у вендоров, насколько хорошо они справляются со сложными задачами.

Кратко методология теста:

1. отбираем ITW полиморфные вирусы за 2007 год (их будет совсем не много)

2. собираем с вендоров образцы (кто сколько даст, дело добровольное)

3. собранные образцы размножаются по мере возможности

4. проверяется детект по образовавшейся коллекции образцов (делается разбивка по вариантам вирусов в семействах)

Маска по времени позволит нам посмотреть как работали вирлабы в этом году.

Для наград я предлагаю сделать какие-то красивые названия, отражающие качество работы вирусных лабораторий. Тут нужно подумать еще будет.

Что думаете по этому тесту и предложенной методологии?

Есть предложения по полиморфным вирусам?

P.S. Несколько месяцев назад я уже начал собирать образцы у вендоров, но тест был заморожен. Теперь руки дошли до него :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Полиморфные компьютерные вирусы как вариант за 2007 год:

Virus.Win32.Alman

Virus.Win32.Huhk

Virus.Win32.Tvido

Virus.Win32.Virut

Virus.Win32.Parite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Ну последний Parite появился году в 2004.

Предпоследний в 2001 ;) .

Да и полиморфным его можно назвать с огромной натяжкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Новые модификации появляются до сих пор. Недавно один наш пользователь сталкивался с такой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Честно говоря, упустил этот момент.

Ссылки есть на обсуждения?

Или, может, имя, под которым DrWeb детектит подскажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Или, может, имя, под которым DrWeb детектит подскажите?

Пожалуйста.

drw44401.txt: Win32.Parite.1, Win32.Parite.2

drw44403.txt: Win32.Parite.2

drw44410.txt: Win32.Parite.2

drw44414.txt: Win32.Parite.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Хм.

Новую версию под старым именем задетектили? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

В любом случае, считаю что использовать Parite для тестирования нельзя, если тестировать именно полиморфные зловреды. Parite не полиморфный.

Валерий, спасибо за информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Да и полиморфным его можно назвать с огромной натяжкой.

Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Я спрошу, но насколько я знаю, помочь могут только аналитики, у которых работы и так хватает... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Мне бы Вашу память ;) .

Huhk я вспомнил только после Вашего упоминания.

Зато я вспомнил Allaple. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, официальные лица компании ответили, что пока нет свободных людей, которые могли бы стать экспертами по этому тесту. Это не значит, что в будущем ситуация не изменится, но пока так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×