Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование полиморфных вирусов (подготовка)

Recommended Posts

Сергей Ильин

Коллеги,

Есть идея провести тест антивирусов на качество детектирования полиморфных вирусов. Этот тест показал бы качество работы вирусных аналитиков у вендоров, насколько хорошо они справляются со сложными задачами.

Кратко методология теста:

1. отбираем ITW полиморфные вирусы за 2007 год (их будет совсем не много)

2. собираем с вендоров образцы (кто сколько даст, дело добровольное)

3. собранные образцы размножаются по мере возможности

4. проверяется детект по образовавшейся коллекции образцов (делается разбивка по вариантам вирусов в семействах)

Маска по времени позволит нам посмотреть как работали вирлабы в этом году.

Для наград я предлагаю сделать какие-то красивые названия, отражающие качество работы вирусных лабораторий. Тут нужно подумать еще будет.

Что думаете по этому тесту и предложенной методологии?

Есть предложения по полиморфным вирусам?

P.S. Несколько месяцев назад я уже начал собирать образцы у вендоров, но тест был заморожен. Теперь руки дошли до него :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Полиморфные компьютерные вирусы как вариант за 2007 год:

Virus.Win32.Alman

Virus.Win32.Huhk

Virus.Win32.Tvido

Virus.Win32.Virut

Virus.Win32.Parite

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Ну последний Parite появился году в 2004.

Предпоследний в 2001 ;) .

Да и полиморфным его можно назвать с огромной натяжкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Новые модификации появляются до сих пор. Недавно один наш пользователь сталкивался с такой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Честно говоря, упустил этот момент.

Ссылки есть на обсуждения?

Или, может, имя, под которым DrWeb детектит подскажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Или, может, имя, под которым DrWeb детектит подскажите?

Пожалуйста.

drw44401.txt: Win32.Parite.1, Win32.Parite.2

drw44403.txt: Win32.Parite.2

drw44410.txt: Win32.Parite.2

drw44414.txt: Win32.Parite.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Хм.

Новую версию под старым именем задетектили? :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

В любом случае, считаю что использовать Parite для тестирования нельзя, если тестировать именно полиморфные зловреды. Parite не полиморфный.

Валерий, спасибо за информацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Ну последний Parite появился году в 2004.

Предпоследний в 2001 Wink .

Да и полиморфным его можно назвать с огромной натяжкой.

Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Valery Ledovskoy, можете по своим каналам узнать, кого из Доктора Веба можно привлечь в качестве эксперта при подготовке этого теста?

Я спрошу, но насколько я знаю, помочь могут только аналитики, у которых работы и так хватает... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Ну обшибся значит - убираем сий экземпляр - я ж по памяти, мне простительно :)

Мне бы Вашу память ;) .

Huhk я вспомнил только после Вашего упоминания.

Зато я вспомнил Allaple. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, официальные лица компании ответили, что пока нет свободных людей, которые могли бы стать экспертами по этому тесту. Это не значит, что в будущем ситуация не изменится, но пока так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
    • demkd
      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.11.
    • Ego Dekker
×