Перейти к содержанию
Сергей Ильин

Тест антивирусов на детектирование упакованных вирусов (подготовка)

Recommended Posts

grovana

Inkogn

запаривался бы отлавливать false positives.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Inkogn

запаривался бы отлавливать false positives.

А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

Попробуйте внести в Avire в исключения все HEUR/Crypted, HEUR/Malware, PCK/PESpin, PCK/MEW, PCK/Packman...

Не исключено, ваша точка зрения изменится.

Если же такие файлы на данную машину в принципе не попадают, то и говорить не о чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

А чем плохо их как вирусы просто "рубить",и не мешать?Если,после проверки компа и внесения исключений на чистом компе от известных прог,вдруг появляется без приглашения что-то прячущееся,то меня и спрашивать не надо - обрубать.

Попробуйте внести в Avire в исключения все HEUR/Crypted, HEUR/Malware, PCK/PESpin, PCK/MEW, PCK/Packman...

Не исключено, ваша точка зрения изменится.

Если же такие файлы на данную машину в принципе не попадают, то и говорить не о чем.

Я имел ввиду,что не всё подозревать и спрашивать,а именно:зачем за упаковщиками и их сканом так гнаться?ЕСЛИ было бы возможно,и была бы кнопка считать запакованные неизвестными (антивирусу) упаковщиками файлы за вирусы,то я бы эту кнопку включил.Просто по факту:некто воспользовался екзотикой,значит,наверняка чтобы спятаться и от клиента что-то увести.Особенно,если вдруг появляется запакованный экзотикой файл.А кому прятать нечего,то подумает и о клиенте,что бы тот мог удостовериться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Я имел ввиду,что не всё подозревать и спрашивать,а именно:зачем за упаковщиками и их сканом так гнаться?ЕСЛИ было бы возможно,и была бы кнопка считать запакованные неизвестными (антивирусу) упаковщиками файлы за вирусы,то я бы эту кнопку включил.Просто по факту:некто воспользовался екзотикой,значит,наверняка чтобы спятаться и от клиента что-то увести.Особенно,если вдруг появляется запакованный экзотикой файл.А кому прятать нечего,то подумает и о клиенте,что бы тот мог удостовериться.

Соглашусь с вами по поводу "кнопки".

Но она была бы хороша в сочетании с неплохим знанием пакеров (по крайней мере, на уровне лучших в этом плане продуктов).

Вот такая, на мой взгляд, круговая зависимость.

Когда же эту кнопку делают без выполнения данного условия, как в той же Avira, то ситуация превращается в довольно назойливую и глупую.

Зато отлично смотрится в тестах :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Как я думаю,очень много ресурсов уходит,что бы за упаковщиками угнаться.И это к тому,что и без того все ресурсы заняты.На сегодняшнем уровне детекта упаковщиков я рассматриваю за повышение защиты добавление кнопки,которая неизвестные упаковщики рассматривает за вирус.Как в Avira я не знаю.Но смысла не вижу считать новый файл за чистый,если он неизвестным пакером упакован.В лучшем случае его в карантин (или стереть).Было бы идеальным дополнением.

А что там с Авирой?Или можно навредить,если новые файлы в неизвестном пакере стирать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
borison

У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.
Не раскроет. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
У меня не програмиста такой вопрос. Как после декриптования вирус приступит к работе если его уже знает антивирус. Ведь мало просто лежать на диске нужно чтоб его запустили а в этот момент криптор его "раскроет" перед антивирусом.

Вирус "раскроется" в память, а не на диск. Напрямую память в реальном времени никто не проверяет. И даже не в реальном времени _почти_ никто не проверяет. Там свои нюансы есть... Поэтому распакованный в память вирус найден не будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Как я думаю,очень много ресурсов уходит,что бы за упаковщиками угнаться.И это к тому,что и без того все ресурсы заняты.На сегодняшнем уровне детекта упаковщиков я рассматриваю за повышение защиты добавление кнопки,которая неизвестные упаковщики рассматривает за вирус.

Уровень достаточно сильно отличается.

Т.е. для "крутого" в этом смысле продукта она вроде как (?) и не обязательна, а для "слабого" будет хороша во всех смыслах, если, грубо говоря, выходить в интернет раз в год.

Как в Avira я не знаю.Но смысла не вижу считать новый файл за чистый,если он неизвестным пакером упакован.В лучшем случае его в карантин (или стереть).Было бы идеальным дополнением.

Опять-таки, весь вопрос в том, что считать неизвестным пакером.

Из последних примеров - ссылка на "тест" на форуме KL:

http://forum.kaspersky.com/index.php?showtopic=28261

На более-менее беспристастное отношение к Avir-е, думаю, в этом случае можно рассчитывать.

И расчеты вас не подведут :wink:

Насчет "Было бы идеальным дополнением" - полностью с вами согласен. При условии, что "неизвестные пакеры" действительно редкие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Опять-таки, весь вопрос в том, что считать неизвестным пакером.

В том-то и дело,как я это понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Если бы в антивирусе была бы настройка,позволяющая файл,запакованный неизвестным упаковщиком,рассматривать по умолчанию за вирус,обязательно включил бы на домашнем компе.Очень подозрительно,когда малоизвестный упаковщик используется или неизвестный,если просто детект неизвестного упаковщика возможен.

Похоже многие вендоры так и делают Ж)

Вот например как реагируют антивирусы на Trojan-PSW.Win32.Avisa, криптованного WOC 1.0 (кста криптор мало распространенный):

Complete scanning result of "123.exe", received in VirusTotal at 01.21.2007, 23:31:42 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.21.2007 no virus found

Authentium 4.93.8 01.21.2007 could be a corrupted executable file

Avast 4.7.936.0 01.18.2007 no virus found

AVG 386 01.21.2007 Generic2.JIJ

BitDefender 7.2 01.21.2007 MemScan:Trojan.PWS.Avisa.B

CAT-QuickHeal 9.00 01.20.2007 no virus found

ClamAV devel-20060426 01.21.2007 no virus found

DrWeb 4.33 01.21.2007 Trojan.MulDrop.4611

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.118 01.20.2007 no virus found

eTrust-Vet 30.3.3336 01.19.2007 no virus found

Ewido 4.0 01.21.2007 Trojan.Agent.abr

Fortinet 2.82.0.0 01.21.2007 no virus found

F-Prot 3.16f 01.21.2007 no virus found

F-Prot4 4.2.1.29 01.21.2007 no virus found

Ikarus T3.1.0.27 01.09.2007 Trojan.Win32.Agent.abr

Kaspersky 4.0.2.24 01.21.2007 Trojan.Win32.Agent.abr

McAfee 4943 01.19.2007 no virus found

Microsoft 1.1904 01.21.2007 no virus found

NOD32v2 1995 01.21.2007 no virus found

Norman 5.80.02 01.21.2007 W32/Agent.ASUV

Panda 9.0.0.4 01.21.2007 no virus found

Prevx1 V2 01.21.2007 no virus found

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.12.2007 no virus found

TheHacker 6.0.3.153 01.21.2007 Trojan/Agent.abr

UNA 1.83 01.19.2007 Trojan.Win32.Agent.999DTrojan.Win32.Agent.abr

VBA32 3.11.2 01.20.2007 Trojan.Win32.Agent.abr

VirusBuster 4.3.19:9 01.21.2007 no virus found

Aditional Information

File size: 93696 bytes

MD5: 40aff0417d9f74f59be6923ad1cf3080

SHA1: caf7a46f74d53886edec2572964273f4de983f19

Интересно, что из всех AV распаковавает ток BitDefender. А так любой файл пакуй - Trojan.Win32.Agent.abr (так Каспер реагирует да и все остальные drweb - Trojan.MulDrop.4611).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Private EXE Protector стал брать Касперский (вроде ток последнюю версию - 2.0).

Complete scanning result of "whInstaller.exe", received in VirusTotal at 01.22.2007, 23:32:40 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.22.2007 ADSPY/WebHancer.I

Authentium 4.93.8 01.22.2007 no virus found

Avast 4.7.936.0 01.22.2007 no virus found

AVG 386 01.22.2007 Adware Generic.SNQ

BitDefender 7.2 01.22.2007 no virus found

CAT-QuickHeal 9.00 01.22.2007 no virus found

ClamAV devel-20060426 01.22.2007 Adware.Webhancer-16

DrWeb 4.33 01.22.2007 no virus found

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.119 01.22.2007 no virus found

eTrust-Vet 30.3.3343 01.22.2007 no virus found

Ewido 4.0 01.22.2007 Adware.WebHancer

Fortinet 2.82.0.0 01.22.2007 Spy/WebHancer

F-Prot 3.16f 01.22.2007 no virus found

F-Prot4 4.2.1.29 01.22.2007 no virus found

Ikarus T3.1.0.27 01.22.2007 no virus found

Kaspersky 4.0.2.24 01.22.2007 not-a-virus:AdWare.Win32.WebHancer.390

McAfee 4946 01.22.2007 potentially unwanted program Spyware-WebHancer

Microsoft 1.1904 01.22.2007 no virus found

NOD32v2 1998 01.22.2007 no virus found

Norman 5.80.02 01.22.2007 W32/WebHancer.CA

Panda 9.0.0.4 01.22.2007 Adware/WebHancer

Prevx1 V2 01.22.2007 Adware.Webhancer

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.22.2007 webHancer

TheHacker 6.0.3.154 01.22.2007 no virus found

UNA 1.83 01.22.2007 Adware.WebHancer.5CF8

VBA32 3.11.2 01.22.2007 AdWare.Win32.WebHancer.390

VirusBuster 4.3.19:9 01.22.2007 no virus found

Aditional Information

File size: 249856 bytes

MD5: b2ed053c1c155386b2d7bb2f8fab3574

SHA1: e93847d6ea4218014ab95a59521a014b963f3a7a

и криптованый:

Complete scanning result of "whInstaller_PEP.exe", received in VirusTotal at 01.22.2007, 23:35:46 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.26 01.22.2007 no virus found

Authentium 4.93.8 01.22.2007 no virus found

Avast 4.7.936.0 01.22.2007 no virus found

AVG 386 01.22.2007 no virus found

BitDefender 7.2 01.22.2007 no virus found

CAT-QuickHeal 9.00 01.22.2007 (Suspicious) - DNAScan

ClamAV devel-20060426 01.22.2007 no virus found

DrWeb 4.33 01.22.2007 no virus found

eSafe 7.0.14.0 01.21.2007 no virus found

eTrust-InoculateIT 23.73.119 01.22.2007 no virus found

eTrust-Vet 30.3.3343 01.22.2007 no virus found

Ewido 4.0 01.22.2007 no virus found

Fortinet 2.82.0.0 01.22.2007 suspicious

F-Prot 3.16f 01.22.2007 no virus found

F-Prot4 4.2.1.29 01.22.2007 no virus found

Ikarus T3.1.0.27 01.22.2007 Backdoor.Win32.Rbot.aeu

Kaspersky 4.0.2.24 01.22.2007 not-a-virus:AdWare.Win32.WebHancer.390

McAfee 4946 01.22.2007 no virus found

Microsoft 1.1904 01.22.2007 no virus found

NOD32v2 1998 01.22.2007 no virus found

Norman 5.80.02 01.22.2007 no virus found

Panda 9.0.0.4 01.22.2007 no virus found

Prevx1 V2 01.22.2007 no virus found

Sophos 4.13.0 01.20.2007 no virus found

Sunbelt 2.2.907.0 01.22.2007 VIPRE.Suspicious

TheHacker 6.0.3.154 01.22.2007 no virus found

UNA 1.83 01.22.2007 no virus found

VBA32 3.11.2 01.22.2007 MalwareScope.Backdoor.Hupigon.14

VirusBuster 4.3.19:9 01.22.2007 no virus found

Aditional Information

File size: 313930 bytes

MD5: 2bcb1f959d84de9f9d31b5062a5c9d3b

SHA1: c44c41131a806f32fa926491f3fc1601a3ab1546

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Что-то давно нет результатов последних тестов, или они больше не проводятся? Написано Ноябрь-Декабрь 2006 (ожидается). :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Что-то давно нет результатов последних тестов, или они больше не проводятся? Написано Ноябрь-Декабрь 2006 (ожидается). :(

Можете пока глянуть сведения на из "пристрастных" :D источников:

http://forum.kaspersky.com/index.php?showtopic=28261

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kuzz

Если будет еще одно тестирование: можно проверить антивирусами сами файлы упаковщиков и посмотреть результат.

Примерчик - пакер NPACK

STATUS: FINISHEDComplete scanning result of "nPack.exe", received in VirusTotal at 02.16.2007, 15:27:10 (CET).

Antivirus Version Update Result

AntiVir 7.3.1.37 02.16.2007 no virus found

Authentium 4.93.8 02.15.2007 no virus found

Avast 4.7.936.0 02.16.2007 no virus found

AVG 386 02.15.2007 no virus found

BitDefender 7.2 02.16.2007 Trojan.Peed.Gen

CAT-QuickHeal 9.00 02.15.2007 (Suspicious) - DNAScan

ClamAV devel-20060426 02.16.2007 no virus found

DrWeb 4.33 02.16.2007 no virus found

eSafe 7.0.14.0 02.16.2007 Suspicious Trojan/Worm

eTrust-Vet 30.4.3405 02.16.2007 no virus found

Ewido 4.0 02.16.2007 no virus found

Fortinet 2.85.0.0 02.16.2007 suspicious

F-Prot 4.2.1.29 02.15.2007 no virus found

F-Secure 6.70.13030.0 02.16.2007 no virus found

Ikarus T3.1.0.31 02.16.2007 Generic.Trojan.Entit

Kaspersky 4.0.2.24 02.16.2007 no virus found

McAfee 4964 02.15.2007 no virus found

Microsoft 1.2204 02.16.2007 no virus found

NOD32v2 2065 02.16.2007 no virus found

Norman 5.80.02 02.16.2007 no virus found

Panda 9.0.0.4 02.15.2007 Suspicious file

Sophos 4.14.0 02.16.2007 no virus found

Sunbelt 2.2.907.0 02.15.2007 VIPRE.Suspicious

Symantec 10 02.16.2007 no virus found

TheHacker 6.1.6.059 02.16.2007 no virus found

UNA 1.83 02.14.2007 no virus found

VBA32 3.11.2 02.16.2007 no virus found

VirusBuster 4.3.19:9 02.15.2007 no virus found

Aditional Information

File size: 45056 bytes

MD5: e81d8bc3df72de817e3e62a1d83bf23f

SHA1: ce9400146196333cb4114f381fd16cd6de25489d

packers: NPACK, BINARYRES, NPACK

зы. Особенно радуют дженерик записи.[/i]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Kuzz, спасибо, это действительно интересно будет посмотреть. Рузультаты могут быть очень забавные :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Мне интересно, когда на ВирусТотал обновят движек Касперского? НУ сколько уже 4 версией пользоваться? ЛК могла бы и бесплатно предоставить им шестой движек....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kuzz

Как второй вариант забавных результатов: упакованый легитимный (напр.: kernel32.dll) файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Мне интересно, когда на ВирусТотал обновят движек Касперского? НУ сколько уже 4 версией пользоваться? ЛК могла бы и бесплатно предоставить им шестой движек....

Этот миф упрямо повторяется =) Народ, движок у Касперского не зависит от версии продукта! Он одинаковый и у 4-й версии, и у 5-й, и у 6-й. Он качается с обновлениями баз. Движок ответственнен за сканирование файла (сигнатуры + кодовый эфристик). Так как это единственное, что проверяет вирустотал, то ему нет никакого резона обновлять версию до 6-й.

Домашние пользователи версии 6 защищены больше, благодаря проактивной защите. Но проактивная защита на вирустотале не тестируется, так как присланные файлы не запускаются, а только сканируются. И остальные новшества продуктов ЛК так же не актуальны в случае с вирустоталом (например, лечение в архивах, проверка почты или проверка хттп-траффика - чего тоже в 4-й версии вроде бы не было...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

вопрос задаёт Александр Друздь

Чем обьяснить тогда различия в детектах? 4.5 не детектит, а 6 детектит..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
Этот миф упрямо повторяется =) Народ, движок у Касперского не зависит от версии продукта! Он одинаковый и у 4-й версии, и у 5-й, и у 6-й. Он качается с обновлениями баз. Движок ответственнен за сканирование файла (сигнатуры + кодовый эфристик). Так как это единственное, что проверяет вирустотал, то ему нет никакого резона обновлять версию до 6-й.

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

А с обновлениями не движек качается, а способ распаковки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
вопрос задаёт Александр Друздь

Чем обьяснить тогда различия в детектах? 4.5 не детектит, а 6 детектит..

Что именно детектит?

Добавлено спустя 1 минуту 13 секунд:

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

А с обновлениями не движек качается, а способ распаковки...

Изменился и выкачался всем в базах. У ЛК движок = базы. Распаковка, процедуры сканирования - всё в базах.

Добавлено спустя 1 минуту 10 секунд:

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

Можно линк? Может я что-то пропустил действительно... Но не припомню таких ответов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
Kokunov Aleksey писал(а):

Сколько раз уже говорили на офф. форуме, что движек сильно изменился с 5 версии....

Можно линк? Может я что-то пропустил действительно... Но не припомню таких ответов.

Извините, по сути похоже что громко брошенная фраза...

...но с чего то я же это взял... значит где то прочитал... и это было оченью 2005, когда приступил к бета-тестированию шестерки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×