Прохожий

Сигнатуры и поддержка упаковщиков

В этой теме 7 сообщений

Добрый день!

Сразу скажу, я не программист, не вирусный аналитик, так что просьба гурам и экспертам пинать не очень сильно.

На этом дисклаймер окончен, перейду к интересующему меня вопросу.

Несколько раз на данном форуме поднимали такие темы: брали какой-нибудь безобидный файл, упаковывали разными упаковщиками, кидали на virustotal и радовались результатам различных антивирусов.

Кое-что натолкнуло меня на мысль провести обратный опыт. Как пользователь антивируса Касперского буду оперировать его классификацией.

Есть два собственноручно отловленных фаЙла, которые однозначно детектит KIS: Trojan-Dropper.Win32.Pincher.cu и Backdoor.Win32.Agent.ldi

http://www.virustotal.com/ru/analisis/ce83...b3279879f0dbee5

http://www.virustotal.com/ru/analisis/5c7a...c96595a59308ac8

Берём упаковщик FSG, упаковываем этих зловредов и опять прогоняем на virustotal. Результат меня мягко говоря озадачил:

http://www.virustotal.com/ru/analisis/50d0...b3188d4970b66f9

http://www.virustotal.com/ru/analisis/fea7...6bb98674a5bea88

???

К чему тогда поддержка всяких упаковщиков, если применение одного из самых известных приводит к таким результатам? KIS то точно его поддерживает, в отчёте видно, что он распаковывает файл и ничего вредоносного не находит. Вендоры добавляют сигнатуры по MD5 файла? (хотя, смотря на те 5 тысяч сигнатур, которые могут добавлять за день, такие мысли посещают)

Или всё это ерунда, всё нормально и я зря отвлекаю занятых людей от работы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А Вы не пробовали проверить, что получилось у Вас после обработки бинарников малвар FSG? Работают ли получившиеся exe-файлы? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Тот, который Trojan-Dropper.Win32.Pincher.cu, очень даже работает. Дропает после упаковки в Temp Trojan-PSW.Win32.LdPinch.wmo и Backdoor.Win32.Kbot.ei, где их благополучно касперский и прибивает. Второй файл не запускал, но думаю результат был бы таким же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если отправить их в ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если отправить их в ЛК?

Собственно говоря, этих зловредов я выловил за последний месяц-два на рабочих компьютерах. Все они не детектились антивирусом касперского, и я отправлял сэмплы в вирлаб ЛК. Так вот, один из последних зловредов был упакован UPX. Пока его не добавили в базы, я периодически проверял файл. В отчёте антивируса было видно, как он распаковывает файл и проверяет его. Вчера детект добавили, но что интересно, антивирус детектил его сразу, не распаковывая. Вроде как представители ЛК всегда говорили здесь и на других форумах, что детект "поверх" не есть гут, или я ошибаюсь? Это и натолкнуло меня на мысль - а что если взять неупакованный зловред, запаковать его чем-нибудь и посмотреть, что будет? Так и родился этот маленький эксперимент, принесший несколько неожиданные для меня результаты.

Так что все оригинальные сэмплы в вирлабе ЛК есть. Что ж их теперь, паковать разными пакерами и заново отсылать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

-> Прохожий:

возможно, файлы уже были были закриптованы.

например, возможно, что

b8MmHpTG.exe - результат использования какого-либо joiner-а (возможно, в сочетании с чем-то еще)

Строка "PEiD..: -" сама по себе отсутствия криптовки, в принципе, никак не означает.

А результаты мульти-пака, если удастся получить работоспособное файло, могут быть достаточно "причудливы" : )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хм...

Вот как теперь детектится антивирусом касперского b8MmHpTG.exe, упакованный FSG:

http://www.virustotal.com/ru/analisis/d27d...eab7b39de6eb6ab

То есть это не Trojan-Dropper.Win32.Pincher.cu, которым он был до упаковки, и не Trojan-PSW.Win32.LdPinch.wmo или Backdoor.Win32.Kbot.ei, которых он извлекает из себя при запуске.

Забавно...

Вот VBA32 и BitDefender факт упаковки как-то не смутил, как детектили, так и детектят.

Ну и вердикт Sunbelt порадовал :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.
    • Dion
      Всё таки как далеко продвинулись компьютерные технологии по сравнению с начало девяностых годов когда ещё никто в помине не знал, что будет такое  html. А Сейчас уже наверно каждый дошкольник разбирается круче в компьютере  чем в девяностые старшеклассник!
    • ratus
      Со временем в системе все нормально. И еще нюанс, первые 10 минут после загрузки системы значок обновлений с зеленой галочкой. В последствии, он меняется на восклицательный знак оранжевого цвета. Значок отображается на информационной панели антивируса в правом столбце.
    • remontmotory
      Открылась новая организация по ремонту промышленной электроники: сервомоторов(серводвигателей), 
      что может быть весьма удобно для производственников и предприятий России. Теперь отремонтировать оборудование стало проще и возить ближе. 
      И сразу в двух больших городах: Самаре и Тольятти. Любое предприятие может отремонтировать сервомотор в ближайшем из этих городов. 
      Решили поделиться опытом, чтобы начинающие электронщики могли выполнить простой ремонт в домашних условиях Наш тестовый ролик по диагностике и ремонту электроники.
      Публикуем тестовый видеоролик по ведению работ https://www.youtube.com/watch?v=TIjKW7-2fwQ&t=1s
      И начинаем серию технических статей, рассказываем о нюансах работы сервомоторов https://www.remontservo.ru/pages/list-publications.html