Перейти к содержанию

Recommended Posts

TiX

Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

и

> Aleks.. Ну как там у вас с 99 / 100% детектом полипоса?! А лучше еще и с

> лечением Ж)

Делаем делаем.

Юзеры не жалуются, партнеры не жалуются. Лечение, кстати, не сильно сложная задача (по сравнению с детектированием).

> ПС - vba32 по качеству детекта уже обогнала дрвеб )) на 1 сампл. А нас (вас)

> пока %50 ловится Ж(

а VBA говорит что мы берем 80% :)

А что касается самплов которые веб не берет - у нас их примерно 1000 есть и чего ? ;))

пусть дальше радуются...

П

GG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

Но ведь с другой стороны это работает на этой модицикации вируса :-)

А как на счет ложных срабатываний при таком детекте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Нащет ложников - подождем увидим... Судить не берусь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Кто-нибудь проверял кстати сейчас, стали ли его конкуренты Веба брать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кто-нибудь проверял кстати сейчас, стали ли его конкуренты Веба брать?

BitDefender содрал детектирование абсолютно точно соотвествую своему названию ;) Вирус-Блокада ловит, вроде как Sophos тоже.

ждем-с когда лечить начнут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Касперский ловит. Причём на форуме ЛК видел скриншот, так там кнопка "Лечить" была вроде активна. Но другой чувак сказал, что вроде как не лечит, а только ловит. Не знаю точно, что там с лечением...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

большой-большой привет господину сеньору, наконец-то он теперь знает почему это именно так :) поздравляем с достижением 80% результата. осталось совсем немного и все будет совсем хорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кста если кому интересно нащет полипоса Ж) Джону в первую очередь Ж)

Данилов какой то напрочь безумный чувак ...

Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

такое детектирование каждый дурак сделать может... поиск секции с пустым именем.. мде...

--

Senior Virus analyst, Kaspersky Lab.

Malware Research and Analysis Group

большой-большой привет господину сеньору, наконец-то он теперь знает почему это именно так :) поздравляем с достижением 80% результата. осталось совсем немного и все будет совсем хорошо.

поздравляю с окончательной победой сил разума над злом! :) 100% детектирование

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Сергей Ильин

Дайте зверушку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

broker

Сам ищу ... у кого есть скиньте мне лично или в спец. закрытый раздел форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

еще бы. сделано-то по пустой секции. :) итого в две записи "неотмороженные" уложились, но метод "отмороженных чуваков" пришлось задействовать, а гонору-то было... ;) видимо действительно - "все лучшие работают в ЛК" © Н.Касперская. удачи им с таким лучшими :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
J
Непрошло и года Ж))))

Кста - еще лечение собирались приделать.

Начиналось все с 4хх байтного обьектника Ж) 100% детект - 1.73 кб обьектник ж)

еще бы. сделано-то по пустой секции. :) итого в две записи "неотмороженные" уложились, но метод "отмороженных чуваков" пришлось задействовать, а гонору-то было... ;) видимо действительно - "все лучшие работают в ЛК" © Н.Касперская. удачи им с таким лучшими :D

Аффтар пишы есчо! Если поменять имя секции, то кав будет детектить 70% или типа, а вот остальные сосут. Так что метод "отмороженных чуваков" хоть и помог но не настолько как отмороженным чувакам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Вот такой вот документ по данному вируса нашел от компании Symantec. Заливают или нет, кто как думает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

Очень инетесно еще выглядят данные, где Symantec требуется всего 6 секунд в среднем на детект Polipos, когда как McAfee больше 2000 секунд, это не смотря на то, что все знают какие тормоза начинаются когда Symantec (у нас в форуме писали про 10-ю версию) находит зверей.

polipos.PNG

post-4-1147421264.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Это бесспорно маркетинговые материалы, но ведь они ссылаются на Source: AV-Test.org :!:

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

А потому что у них с маркетингом как раз все оочень плохо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Вот такой вот документ по данному вируса нашел от компании Symantec. Заливают или нет, кто как думает?

Подтверждение теста полиморфиков я нашал. а вот про полип на AV-Test есть только ссылка на http://www.pcwelt.de/news/sicherheit/136731/index.html

Но там не все данные, показанные в доке Symantec. Возможно, что есть еще какие-то цифири, которые Маркс показал не всем. А раз цифры нигде не опубликованы и их нельзя проверить, значит есть сомнения в правдивости.

Добавлено спустя 4 минуты 6 секунд:

Это бесспорно маркетинговые материалы, но ведь они ссылаются на Source: AV-Test.org :!:
Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

А потому что у них с маркетингом как раз все оочень плохо...

У кого плохо? У Symantec или ООО "Доктор Веб"? У вторых вобще нет маркетинга и не будет никогда раз владелец компании заявляет (и считает), что их основная цель это технологии, а не бабки. Интересно, как он без маркетинга сможет показать и доказать миру, что его технологии самые крутые? :D Они (технологии) сами по себе не продаются. Или Данилов получает удовольствие от того, что он (и только он) знает, что он самый крутой?

PS как говорят амеры -- "Если ты такой умный, почему ты такой бедный" :P

Добавлено спустя 1 минуту 46 секунд:

Как всегда из сравнения чудестным образом выпали лидер - в данном случае Доктор Веб, не говоря уже что моментвремени тоже выбран грамотно (см. атач).

Правильно и сделали, что не стали включать в сравнение. Да кто такой этот Доктор Веб, по сравнению с Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
вторых вобще нет маркетинга и не будет никогда раз владелец компании заявляет (и считает), что их основная цель это технологии, а не бабки.

Именно это я и имел ввиду.

забавно, особенно интересно выглядит описание на сайте каспера

Но они же честно предлагают что-нибудь придумать, если кому-либо ну очень нужно :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Кирилл Керценбаум

Ну они предлагают, а Symantec решил зарание :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Symantec в первом предложении всё объяснил.Он написал "среди Майор-АВфирм" (Др.Вебу только кептна в Америке присволи) и кроме того с 25.04.Вообще я могу в книгу рекордов Гуиннеса попасть как самый первый,пришедший на этот форум,если считать с 11.02.06 и только,если имя с I начинается.Без обмана,могут все повторить этот тест и убедиться.

PS как говорят амеры -- "Если ты такой умный, почему ты такой бедный" :P

Это про кого они говорят,про русских?До сих пор?Предлагаю написать тест под другой результат.Только если по деньгам,то я лучше только смотреть буду,а не учавствовать.Оно ясно,что Symantec опять всех победит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Кирилл Керценбаум

Ну они предлагают, а Symantec решил зарание :)

Спрашивается -- нафига. Они и ZMist первыми стали детектить. А смысл? ZMist был разослан автором вируса по АВ компаниям и даже в коллекциях он очень редкий гость. О Полипе больше крика, чем реальной угрозы.

А вобще, молодцы Сумантеки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правильно и сделали, что не стали включать в сравнение. Да кто такой этот Доктор Веб, по сравнению с Symantec?

а по сравнению с ЛК, так и вообще пустое место, не так ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×