Перейти к содержанию

Recommended Posts

TiX

Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

и

> Aleks.. Ну как там у вас с 99 / 100% детектом полипоса?! А лучше еще и с

> лечением Ж)

Делаем делаем.

Юзеры не жалуются, партнеры не жалуются. Лечение, кстати, не сильно сложная задача (по сравнению с детектированием).

> ПС - vba32 по качеству детекта уже обогнала дрвеб )) на 1 сампл. А нас (вас)

> пока %50 ловится Ж(

а VBA говорит что мы берем 80% :)

А что касается самплов которые веб не берет - у нас их примерно 1000 есть и чего ? ;))

пусть дальше радуются...

П

GG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

Но ведь с другой стороны это работает на этой модицикации вируса :-)

А как на счет ложных срабатываний при таком детекте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Нащет ложников - подождем увидим... Судить не берусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кто-нибудь проверял кстати сейчас, стали ли его конкуренты Веба брать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кто-нибудь проверял кстати сейчас, стали ли его конкуренты Веба брать?

BitDefender содрал детектирование абсолютно точно соотвествую своему названию ;) Вирус-Блокада ловит, вроде как Sophos тоже.

ждем-с когда лечить начнут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Касперский ловит. Причём на форуме ЛК видел скриншот, так там кнопка "Лечить" была вроде активна. Но другой чувак сказал, что вроде как не лечит, а только ловит. Не знаю точно, что там с лечением...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

большой-большой привет господину сеньору, наконец-то он теперь знает почему это именно так :) поздравляем с достижением 80% результата. осталось совсем немного и все будет совсем хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

большой-большой привет господину сеньору, наконец-то он теперь знает почему это именно так :) поздравляем с достижением 80% результата. осталось совсем немного и все будет совсем хорошо.

поздравляю с окончательной победой сил разума над злом! :) 100% детектирование

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

Дайте зверушку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

broker

Сам ищу ... у кого есть скиньте мне лично или в спец. закрытый раздел форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

еще бы. сделано-то по пустой секции. :) итого в две записи "неотмороженные" уложились, но метод "отмороженных чуваков" пришлось задействовать, а гонору-то было... ;) видимо действительно - "все лучшие работают в ЛК" © Н.Касперская. удачи им с таким лучшими :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
J
Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

еще бы. сделано-то по пустой секции. :) итого в две записи "неотмороженные" уложились, но метод "отмороженных чуваков" пришлось задействовать, а гонору-то было... ;) видимо действительно - "все лучшие работают в ЛК" © Н.Касперская. удачи им с таким лучшими :D

Аффтар пишы есчо! Если поменять имя секции, то кав будет детектить 70% или типа, а вот остальные сосут. Так что метод "отмороженных чуваков" хоть и помог но не настолько как отмороженным чувакам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Вот такой вот документ по данному вируса нашел от компании Symantec. Заливают или нет, кто как думает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

Очень инетесно еще выглядят данные, где Symantec требуется всего 6 секунд в среднем на детект Polipos, когда как McAfee больше 2000 секунд, это не смотря на то, что все знают какие тормоза начинаются когда Symantec (у нас в форуме писали про 10-ю версию) находит зверей.

polipos.PNG

post-4-1147421264.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Это бесспорно маркетинговые материалы, но ведь они ссылаются на Source: AV-Test.org :!:

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

А потому что у них с маркетингом как раз все оочень плохо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вот такой вот документ по данному вируса нашел от компании Symantec. Заливают или нет, кто как думает?

Подтверждение теста полиморфиков я нашал. а вот про полип на AV-Test есть только ссылка на http://www.pcwelt.de/news/sicherheit/136731/index.html

Но там не все данные, показанные в доке Symantec. Возможно, что есть еще какие-то цифири, которые Маркс показал не всем. А раз цифры нигде не опубликованы и их нельзя проверить, значит есть сомнения в правдивости.

Добавлено спустя 4 минуты 6 секунд:

Это бесспорно маркетинговые материалы, но ведь они ссылаются на Source: AV-Test.org :!:
Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

А потому что у них с маркетингом как раз все оочень плохо...

У кого плохо? У Symantec или ООО "Доктор Веб"? У вторых вобще нет маркетинга и не будет никогда раз владелец компании заявляет (и считает), что их основная цель это технологии, а не бабки. Интересно, как он без маркетинга сможет показать и доказать миру, что его технологии самые крутые? :D Они (технологии) сами по себе не продаются. Или Данилов получает удовольствие от того, что он (и только он) знает, что он самый крутой?

PS как говорят амеры -- "Если ты такой умный, почему ты такой бедный" :P

Добавлено спустя 1 минуту 46 секунд:

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

Правильно и сделали, что не стали включать в сравнение. Да кто такой этот Доктор Веб, по сравнению с Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
вторых вобще нет маркетинга и не будет никогда раз владелец компании заявляет (и считает), что их основная цель это технологии, а не бабки.

Именно это я и имел ввиду.

забавно, особенно интересно выглядит описание на сайте каспера

Но они же честно предлагают что-нибудь придумать, если кому-либо ну очень нужно :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

Ну они предлагают, а Symantec решил зарание :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Symantec в первом предложении всё объяснил.Он написал "среди Майор-АВфирм" (Др.Вебу только кептна в Америке присволи) и кроме того с 25.04.Вообще я могу в книгу рекордов Гуиннеса попасть как самый первый,пришедший на этот форум,если считать с 11.02.06 и только,если имя с I начинается.Без обмана,могут все повторить этот тест и убедиться.

PS как говорят амеры -- "Если ты такой умный, почему ты такой бедный" :P

Это про кого они говорят,про русских?До сих пор?Предлагаю написать тест под другой результат.Только если по деньгам,то я лучше только смотреть буду,а не учавствовать.Оно ясно,что Symantec опять всех победит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Кирилл Керценбаум

Ну они предлагают, а Symantec решил зарание :)

Спрашивается -- нафига. Они и ZMist первыми стали детектить. А смысл? ZMist был разослан автором вируса по АВ компаниям и даже в коллекциях он очень редкий гость. О Полипе больше крика, чем реальной угрозы.

А вобще, молодцы Сумантеки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правильно и сделали, что не стали включать в сравнение. Да кто такой этот Доктор Веб, по сравнению с Symantec?

а по сравнению с ЛК, так и вообще пустое место, не так ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×