Перейти к содержанию

Recommended Posts

kvit

Многие выставляют вирустотал как систему оценки качества антивирусов. Но обнаружив с помощью dr.web один из вирусов на компьютере:

Время: 21/05/2008 07:55:39.747.

Источник: Dr.Web ® Enterprise Scanner for Windows

Объект: "c:\windows\downloaded program files\popcaploader.dll"

Тип: потенциально опасная программа.

Инфекция: Program.PopcapLoader.

Решил проверить на VirusTotal:

Антивирус Версия Обновление Результат

AhnLab-V3 2008.5.20.0 2008.05.20 -

AntiVir 7.8.0.19 2008.05.20 SPR/Dldr.PopCap.A

Authentium 5.1.0.4 2008.05.21 -

Avast 4.8.1195.0 2008.05.21 -

AVG 7.5.0.516 2008.05.20 Adware Generic.IIJ

BitDefender 7.2 2008.05.21 Trojan.Downloader.Popcaploader.A

CAT-QuickHeal 9.50 2008.05.19 Trojan.Hijack.PopCapLoa

ClamAV 0.92.1 2008.05.21 PUA.Downloader.PopCap-1

DrWeb 4.44.0.09170 2008.05.20 -

eSafe 7.0.15.0 2008.05.20 -

eTrust-Vet 31.4.5808 2008.05.21 -

Ewido 4.0 2008.05.20 Not-A-Virus.Downloader.Win32.PopCap.a

F-Prot 4.4.2.54 2008.05.16 W32/PopCapDownloader

F-Secure 6.70.13260.0 2008.05.21 -

Fortinet 3.14.0.0 2008.05.21 W32/Downloader.HU

GData 2.0.7306.1023 2008.05.21 -

Ikarus T3.1.1.26.0 2008.05.21 not-a-virus:Downloader.Win32.PopCap.b

Kaspersky 7.0.0.125 2008.05.21 not-a-virus:Downloader.Win32.PopCap.a

McAfee 5299 2008.05.20 -

Microsoft 1.3520 2008.05.21 -

NOD32v2 3115 2008.05.20 -

Norman 5.80.02 2008.05.20 W32/DLoader.BUQ

Panda 9.0.0.4 2008.05.21 -

Prevx1 V2 2008.05.21 -

Rising 20.45.12.00 2008.05.20 -

Sophos 4.29.0 2008.05.21 -

Sunbelt 3.0.1123.1 2008.05.17 -

Symantec 10 2008.05.21 -

TheHacker 6.2.92.314 2008.05.20 Trojan/Downloader.Win32.PopCap.a

VBA32 3.12.6.6 2008.05.20 Downloader.PopCapLoader

VirusBuster 4.3.26:9 2008.05.20 -

Webwasher-Gateway 6.6.2 2008.05.21 BlockReason.0

Получается, что статистике которая ведется с помощью сервиса VirusTotal.com лучше не доверять. Не удивлюсь, что похожая ситуация и для остальных антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Тип: потенциально опасная программа.

На VirusTotal'е отключены дополнительные базы Доктора drwnasty и drwrisky, так что детектирование потенциально опасных программ, программ-шуток и т.д. у Доктора там видно не будет. Этот вопрос уже неоднократно поднимался, в том числе и на этом форуме, если мне память не изменяет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Видимо, этот семпл детектился сигнатурой от 05.20.2008 которая. А Вы проверили до того, как на VT они обновились.

upd

dot_sent

Да? Сейчас проверю.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

имхо не совсем корректно использовать VT как средство оценки антивирусных решений... у него более практический смысл - принять в тот или иной момент решение о вредности файла, не дожидаясь ответа аналитиков

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
имхо не совсем корректно использовать VT как средство оценки антивирусных решений...

но при этом на том же virusinfo постоянно собирается статистика с VT, которая как видно не показывает действительной картины происходящего...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo
но при этом на том же virusinfo постоянно собирается статистика с VT, которая как видно не показывает действительной картины происходящего...

Ну стопроцентно правильных тестов не бывает - везде есть недостатки: малая выборка и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В меню: Скрипт добавить проверку скрипта находящегося в буфере обмена. Это нужно при работе на форумах.    
    • demkd
      причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.
    • santy
      похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены  
    • demkd
      потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856]
      (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    • PR55.RP55
      C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/
×