Реальный тест на эвристику "антивирусов"

[Guest анти-посетитель]

Голословные обвинение. Если уж обвиняете, то должны привести факты. Вы их не приводите, отсюда следует, что лишь ваши заявления являются "ламерскими".

В чем голословное? Вы хотя бы понимаете что такое UPX? Один из простейших упаковщиков, который распространяется с исходным кодом.

Кстати, хватит передергивать, приведите факты сами, иначе уже ваши заявления являются ламерскими. Я высказываю лишь свою точку зрения, основанную на собственном опыте, которого у меня более чем предостаточно. А какой у вас есть опыт?

[Сергей Ильин 1538]

Тема абсолютно деструктивная и потому будет закрыта. Итог у таких тем один - все продукты плохие, все вокруг дураки, а форум помойка. Все стоят обтекают ...

[dan 10]

Тема абсолютно деструктивная и потому будет закрыта. Итог у таких тем один - все продукты плохие, все вокруг дураки, а форум помойка. Все стоят обтекают ...

Все маломальские интересные темы, которые могут хоть немного прояснить методики работы различных вендоров довольно быстро закрываются.

Как же так.

Так не получится обратить внимание вендоров на проблемы.

А это можно сделать только обратив внимание пользователей и специалистов на данную проблему.

[vaber 350]

Поддержу Dan.

Тема была интересная и, как бы кому не хотелось, правдивая.

Я за то, чтобы открыть ту тему, но с более плотным контролем за флудом со стороны фанатиков.

//Тема открыта по просьбе Эксперта. Если она будет скатываться в пустые выкрики, закрою, мусорные сообщения удаляю без предупреждений, в случае рецидива использую премодерацию. Не провоцируйте на это, ведь тема действительно интересная. Umnik

[veritas 10]

Тема безусловно интересная, но правдивая только с точки зрения разработчика, да и то, далеко не всякого.

На эту тему стоит посмотреть с точки зрения рядового пользователя, для которого хороший детект свежих вирусов максимально важен.

И в этом вопросе та же авира с ее xpack или tr/dropper сегодня даст сто очков вперед любому лидеру региональному и мировому, симантеку или касперскому против которых в первую очередь точится малварь. Лидеры по использованию никогда не смогут быть лидерами по детекту свежего материала.

Пару-тройку лет назад детект по пакерам был просто неприемлим ни для какого вендора по религиозно-идеологическим соображениям, кроме авиры.

Сейчас отношение уже сильно поспокойнело и trojan.packed-ом или multipaсker-ом уже никого не удивишь.

Посмотрим, что будет завтра.

[Deja_Vu 366]

Кстати, хватит передергивать, приведите факты сами, иначе уже ваши заявления являются ламерскими. Я высказываю лишь свою точку зрения, основанную на собственном опыте, которого у меня более чем предостаточно. А какой у вас есть опыт?

Можно узнать, в чем у вас есть опыт?

В анализе поведения антивирусных продуктов и настройки их механизма принятия решениях при всевозможных ситуациях, таким образом, что бы достичь максимального суммарного критерия = качество защиты/удобство эксплуатации?

Просто опыт в вождении автомобиля в данном случае не пригоден.

[dr_dizel 385]

Тема была интересная и, как бы кому не хотелось, правдивая.

Ну а что тут говорить? Раньше была утпия - скажем так - чуть ли не криптоанализ сэмплов. Это подход "прозрачного ящика". Но он изжил себя уже давно т.к. есть всякие VMProtect, Themida и еще с ними. Тут планка будет в детекте пакеров, во что упёрлась авира, но до чего не скатывается дрвэб - у них нет альтрнативы и выхода. Потом пошли всякие поведенчиские и хипсовые защиты - чёрный ящик. Их апогей - решение принимает пользватель (куча запросов, вынос мозга при создании правил) или авторешение. Но и тут планка есть - IA слишком туп, а пользователи - домохозяйки. Поэтому единственный путь - защита, настройка со стороны ОС. Но на этом аверы денег не заработают+тяжелое наследие венды.

Выход? Хорошая настройка x64+UAC (актуальна Win7). Не панацея, да. Но почему-то многие приходят к этому выводу.

[TANUKI 240]

вот и хотелось бы с ними разобраться- зачем детектить софт, который НЕ РАБОТАЕТ, т.е. попросту битый софт?

Детектя такой софт они какбе намекают нам, что незачем захламлять свой комп и предлагают сразу удалить этот мусор. По-моему, очень благородно

[Yen-Jasker 265]

Выход? Хорошая настройка x64+UAC (актуальна Win7). Не панацея, да. Но почему-то многие приходят к этому выводу.

У меня Win 7, только x32. С UAC столкнулся впервые, но не скажу что он сильно мешает. Когда ставишь много софта сразу - тогда немного достает. Но при обычной работе, особенно у домохозяйки, он по-моему мешать не будет.

Если сверху еще поставить антивирус от Майкрософт, у которого похоже неслабая эвристика и детект на уровне, то получится достаточно серьезная защита, домохозяйке ее хватит с запасом.

Не думаю что в реальных условиях такая защита сильно проиграет любому "антивирусному лидеру", работающему в автоматическом режиме под "управлением" ничего не понимающей домохозяйки (а именно такими рисуют своего целевого клиента м. некоторых современных антивирусов).

Но у такой защиты есть несомненный плюс, который важен не только для домохозяек - это доступность (почти вся защита "из коробки" с виндой) и бесплатность (платим, или не платим, только за винду, и ниочем больше не беспокоимся).

Тем, кто проспит и выпустит свои АВ с официальной поддержкой Win 7 после выхода АВ от Майкрософт придется несладко, могут быстро потерять тех клиентов, о которых больше всего "заботились" - домохозяек. Потому что рынок домохозяек он такой, кто из примерно равных раньше попал к домохозяйке - того и тапки. А соревноваться с Майкрософт в умении доставлять свой продукт любого качества клиенту-домохозяйке (соревнуясь за место на ОС от Майкрософт) - это почти самоубийство. Антивирус это неподходящий продукт для такого соревнования за домохозяек.

[dr_dizel 385]

У меня Win 7, только x32.

Я бы сказал, что x32 >= vista от мелкомягких - фэйк.

С UAC столкнулся впервые, но не скажу что он сильно мешает. Когда ставишь много софта сразу - тогда немного достает. Но при обычной работе, особенно у домохозяйки, он по-моему мешать не будет.

При установке и настройке можно ставит UAC на минимум, а после для повседневной работы - только на максимум т.к. список доверенных процессов может быть скомпрометирован.

[dan 10]

Основная мысль этого топика в том, что принципиально поменялся подход к детектированию у некоторых вендоров.

Конечно удобно сначала блокировать всё что движется всевозможными XPack'ами и добавлять пачками антифолсы на то, что клэймят пользователи.

Причём особенно хорошо этот подход работает в тестах, так как коллекция для проверки на фолсы большая и не из софта который вышел вчера или неделю назад. Поэтому большинство фолсов уже пофикшено. По сути Авира имела аналог симантековского Кворума задолго до жёлтого вендора. Да, без облачных технологий, но всё качество основано на федбеке пользователей - на репорте пачек фолсов.

Причём я считаю что именно текущий вид тестов основанный на on-demand сканировании огромных коллекций старой малвары и является корнем большинства зла в текущей ав-индустрии.

Именно поэтому большинство вендоров тупо копируют детекты без анализа файлов на малварность просто основываясь на том что один из ключевых или несколько вендоров детектируют этот файл. А потом Китай тонет в потоках фолсов.

Грустно, что вендоры тратят огромные деньги для того, чтобы лучше выглядить в тестах, ухудшая при этом качество защиты их реальных пользователей.

[IN-HOOD 40]

Вот из "свеженького"... может не совсем в тему, но близко.

AlSrvN.exe, без этой дряни, прописанной в автозапуск, Alcohol на Windows Se7en не работоспособен)

a-squared4.5.0.24 2009.08.05 | possible-Threat.Crack.Alcohol!IK

AhnLab-V3 5.0.0.2 2009.08.05 | Win-Trojan/Xema.variant

AntiVir 7.9.0.240 2009.08.05 | BDS/Delf.SG.4

Antiy-AVL 2.0.3.7 2009.08.05 | -

Authentium 5.1.2.4 2009.08.05 | -

Avast 4.8.1335.0 2009.08.05 | Win32:Trojan-gen {Other}

AVG 8.5.0.406 2009.08.05 | BackDoor.Generic11.ABPG

BitDefender 7.2 2009.08.05 | -

CAT-QuickHeal 10.00 2009.08.05 | -

ClamAV 0.94.1 2009.08.05 | -

Comodo 1878 2009.08.05 | -

DrWeb 5.0.0.12182 2009.08.05 | -

eSafe 7.0.17.0 2009.08.05 | Win32.BackdoorDelf.S

eTrust-Vet 31.6.6660 2009.08.05 | Win32/VMalum.FTQI

F-Prot 4.4.4.56 2009.08.05 | -

F-Secure 8.0.14470.0 2009.08.05 | -

Fortinet 3.120.0.0 2009.08.05 | -

GData 19 2009.08.05 | Win32:Trojan-gen {Other}

Ikarus T3.1.1.64.0 2009.08.05 | possible-Threat.Crack.Alcohol

Jiangmin 11.0.800 2009.08.05 | TrojanDropper.Delf.drs

K7AntiVirus 7.10.811 2009.08.05 | -

Kaspersky 7.0.0.125 2009.08.05 | -

McAfee 5699 2009.08.05 | Generic BackDoor!dv

McAfee+Artemis 5699 2009.08.05 | Generic BackDoor!dv

McAfee-GW-Edition 6.8.5 2009.08.05 | Heuristic.LooksLike.Win32.Delf.A

Microsoft 1.4903 2009.08.04 | Backdoor:Win32/Delf.SG

NOD32 4309 2009.08.05 | -

Norman 6.01.09 2009.08.05 | -

nProtect 2009.1.8.0 2009.08.05 | Trojan/W32.Agent.53248.PI

Panda 10.0.0.14 2009.08.05 | Trj/CI.A

PCTools 4.4.2.0 2009.08.05 | -

Prevx 3.0 2009.08.05 | Medium Risk Malware

Rising 21.41.24.00 2009.08.05 | -

Sophos 4.44.0 2009.08.05 | Mal/Generic-A

Sunbelt 3.2.1858.2 2009.08.05 | -

Symantec 1.4.4.12 2009.08.05 | -

TheHacker 6.3.4.3.377 2009.08.05 | -

TrendMicro 8.950.0.1094 2009.08.05 | TROJ_Gen.8V200

VBA32 3.12.10.9 2009.08.05 | -

ViRobot 2009.8.5.1869 2009.08.05 | -

VirusBuster 4.6.5.0 2009.08.05 | -

Дополнительная информация

File size: 53248 bytes

MD5...: ecf63307b47bb9f76d1d2773301c1be3

SHA1..: 06e293defe784c546a1dca85108f0715cda39f9b

SHA256: ebfcc5fdda3246fd8756edb1d0039a23ea8f397ff7451fb371665cb22b2828f4

ssdeep: 1536:7kNkSWTFnu/A8fJ3EmgCNv+OedkU1/2S/yphnFGPg1o:7kNpuu/A8wCNxn6

/2hnFe5

PEiD..: -

TrID..: File type identification

UPX compressed Win32 Executable (38.5%)

Win32 EXE Yoda's Crypter (33.4%)

Win32 Executable Generic (10.7%)

Win32 Dynamic Link Library (generic) (9.5%)

Win16/32 Executable Delphi generic (2.6%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x244c0

timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x17000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x18000 0xd000 0xc800 7.90 e3c24c82dc6862a7143d571ea480eb6d

.rsrc 0x25000 0x1000 0x400 3.13 a6bd81180435a246278e50acb875f978

( 4 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> advapi32.dll: RegCloseKey

> oleaut32.dll: VariantCopy

> user32.dll: CharNextA

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

Вот и как после этого к "этому" относиться!?

[senyak 330]

Странный детект. У многих название вируса одинаковое. Этот файл точно безобидный?

[Юрий Паршин 330]

Нашел файл с данным md5 в нашей коллекции чистых файлов.

В распакованном после UPX виде занимает 118 Кб - такой большой размер только из-за того, что он написан на делфи и тянет в себе соответствующий библиотечный код.

Функционал:

После запуска начинается цикл ожидания сообщений (GetMessage()), при получении сообщения проверяется наличие в реестре значения HKLM\Software\Alcohol Soft\Alcohol 120%\Info\ServerKey, в случае его отсутствия прописываются следующие значения:

HKLM\Software\Alcohol Soft\Alcohol 120%\Info\ServerKey = "XXXXXXXXXXXXXXXXXCCC3MP6BRTDD7C782R6K8DCD7MG7D467BCYYB267DFBC6BB2GHC3F6X3

2R2GT8BCBCBCBCBCBC6BT8C3WXK2QRC36WH8F6Y"

HKLM\Software\Alcohol Soft\Alcohol 120%\Info\UserName = "User"

И все)

"Generic BackDoor", "TrojanDropper.Delf.drs", "Medium Risk Malware" отлично характеризуют данный файл.

Или может теперь решили детектить все файлы, написанные на делфи?

[dan 10]

Нашел файл с данным md5 в нашей коллекции чистых файлов.

В распакованном после UPX виде занимает 118 Кб - такой большой размер только из-за того, что он написан на делфи и тянет в себе соответствующий библиотечный код.

Функционал:

После запуска начинается цикл ожидания сообщений (GetMessage()), при получении сообщения проверяется наличие в реестре значения HKLM\Software\Alcohol Soft\Alcohol 120%\Info\ServerKey, в случае его отсутствия прописываются следующие значения:

HKLM\Software\Alcohol Soft\Alcohol 120%\Info\ServerKey = "cut"

HKLM\Software\Alcohol Soft\Alcohol 120%\Info\UserName = "User"

И все)

"Generic BackDoor", "TrojanDropper.Delf.drs", "Medium Risk Malware" отлично характеризуют данный файл.

Или может теперь решили детектить все файлы, написанные на делфи?

С одной стороны пример не показательный, потому что судя по всему это crack для Алкоголя.

С другой стороны, если под UPX больше ничего обфусцированно-криптованного нет, то это не очень хороший показатель для всех кто детектит.

Вот за что этот файл задетектили?

Малварного поведения нет, даже статически не к чему придраться.

Не будут же они детектить все проги на дельфи, упакованные UPX.

[dr_dizel 385]

Не будут же они детектить все проги на дельфи, упакованные UPX.

О, точно. Надо запаковать сам дельфи и проверить.

Вот.

Ну кто сомневался в том, что это не троян Хэ!?

[Skorpion 55]

http://www.virustotal.com/ru/analisis/4a68...f822-1249543058

http://www.virustotal.com/ru/analisis/4a68...f822-1238753460

одно и тоже приложение, скан в разное время

[spw 190]

Основная мысль этого топика в том, что принципиально поменялся подход к детектированию у некоторых вендоров. Конечно удобно сначала блокировать всё что движется всевозможными XPack'ами и добавлять пачками антифолсы на то, что клэймят пользователи. [...]

Основная фраза, которая должна крутиться в головах сотрудников антивирусных компаний -- "Не навреди" (так же, как и у врачей). Но, к сожалению, там крутятся несколько иные фразы (типа "Пройди VB100" или что-то из этой же оперы).

Меня бы, как пользователя или как разработчика, вполне бы устроил даже такой их подход к детектированию. Если бы этот подход не причинял вред. То есть если бы компании реагировали на обращения отдельных пользователей, разработчиков ПО, оперативно бы корректировали вердикты, думали в сторону generic "undetecter"'ов (как бы смешно это ни звучало) и т.п. А при ситуации, когда для половины vendor'ов ты просто не можешь найти контактов, как сообщить о false positive, а из второй половины 80% не отвечают, или если и отвечают, то никакого результата в итоге нет... Вот эта ситуация полного безразличия к людям, своим же пользователям или потенциальным покупателям. Полное отсутствие какой-либо ответственности и уважения.

Как самое простое - до компаний Aladdin или TrendMicro вообще не достучаться. Просто ноль. (Но они не единственные).

До ESET (NOD) и Sophos достучаться можно - но смысла в этом нет.

Сейчас пишу названия тех, кто очень четко всплывают в памяти.

Реально реагируют Panda, Avast, Avira. Хоть и с задержками. (Это из тех, кто в "нежелательный" список данного топика попал)

P.S. Про generic "undetector"'ы не такая уж и шутка. Достаточно не смешно, когда ты делаешь новый билд - и тебя сразу же детектируют несколько продуктов. А через день - уже половина всех. И опять все по новой, вся эта писанина, ожидания по неделям и т.п. Пример вот тут с KidoKiller (в соседнем топике?) был описан. В TrendMicro добавили игнорирование по хэшу. Новый билд - новый детект.

Отредактировал Август 8, 2009 Sp0Raw

[99-й 25]

Дергал вчера новый сонар нортона и параллельно увидел, что

забавное опять рядом.:-)

calc.exe, упакованный текущим upx 3.03

http://www.virustotal.com/analisis/c5a3de1...1186-1252943505

File calc.exe received on 2009.09.14 15:51:45 (UTC)Antivirus Version Last Update Result

a-squared 4.5.0.24 2009.09.14 Trojan.Win32.Vaklik!IK

AhnLab-V3 5.0.0.2 2009.09.14 -

AntiVir 7.9.1.14 2009.09.14 TR/Vaklik.avg

Antiy-AVL 2.0.3.7 2009.09.14 -

Authentium 5.1.2.4 2009.09.14 -

Avast 4.8.1351.0 2009.09.14 Win32:Trojan-gen {Other}

AVG 8.5.0.412 2009.09.14 Dropper.Bravix.M

BitDefender 7.2 2009.09.14 Trojan.Generic.1885993

CAT-QuickHeal 10.00 2009.09.14 -

ClamAV 0.94.1 2009.09.14 Trojan.Spy-40692

Comodo 2316 2009.09.14 -

DrWeb 5.0.0.12182 2009.09.14 -

eSafe 7.0.17.0 2009.09.14 Suspicious File

eTrust-Vet 31.6.6736 2009.09.14 -

F-Prot 4.5.1.85 2009.09.14 -

F-Secure 8.0.14470.0 2009.09.13 Trojan.Win32.Vaklik.avg

Fortinet 3.120.0.0 2009.09.14 W32/Vaklik.AVG!tr

GData 19 2009.09.14 Trojan.Generic.1885993

Ikarus T3.1.1.72.0 2009.09.14 Trojan.Win32.Vaklik

Jiangmin 11.0.800 2009.09.14 -

K7AntiVirus 7.10.844 2009.09.14 Trojan.Win32.Vaklik.avg

Kaspersky 7.0.0.125 2009.09.14 Trojan.Win32.Vaklik.avg

McAfee 5740 2009.09.13 Generic.dx

McAfee+Artemis 5740 2009.09.13 Generic.dx

McAfee-GW-Edition 6.8.5 2009.09.14 Trojan.Vaklik.avg

Microsoft 1.5005 2009.09.14 PWS:Win32/Prast!rts

NOD32 4425 2009.09.14 probably a variant of Win32/Delf

Norman 6.01.09 2009.09.14 W32/Vaklik.PV

nProtect 2009.1.8.0 2009.09.14 -

Panda 10.0.2.2 2009.09.13 Trj/CI.A

PCTools 4.4.2.0 2009.09.14 -

Prevx 3.0 2009.09.14 High Risk Cloaked Malware

Rising 21.47.04.00 2009.09.14 -

Sophos 4.45.0 2009.09.14 Mal/Generic-A

Sunbelt 3.2.1858.2 2009.09.13 Trojan.Win32.Generic!BT

Symantec 1.4.4.12 2009.09.14 Infostealer.Gampass

TheHacker 6.3.4.4.402 2009.09.12 Trojan/Vaklik.avg

TrendMicro 8.950.0.1094 2009.09.14 TROJ_GEN.4X0539

VBA32 3.12.10.10 2009.09.13 Trojan.Win32.Vaklik.cps

ViRobot 2009.9.14.1934 2009.09.14 -

VirusBuster 4.6.5.0 2009.09.13 -

Касперы уже извинились. Молодцы.

Симантекам тоже отправил на avsubmit@symantec.com, но боюсь неправильно, а они чувствительные до адреса.

[Yen-Jasker 265]

Касперы уже извинились. Молодцы.

Симантекам тоже отправил на avsubmit@symantec.com, но боюсь неправильно, а они чувствительные до адреса.

Опять не ошибка эвристика, а четкий детект по базе. Кто опять записал в базы возможно несуществующий вирус, автодятел или человек?

[Юрий Паршин 330]

Опять не ошибка эвристика, а четкий детект по базе. Кто опять записал в базы возможно несуществующий вирус, автодятел или человек?

Автодятел.

Фолса поправлена вчера в 16.51.

[Skorpion 55]

https://www.virustotal.com/ru/analisis/4583...929f-1253257924

Что это фолс Nod32 или реально в этой программе вирус?

[Z.E.A. 190]

Что это фолс Nod32 или реально в этой программе вирус?

Отправьте в ВирЛаб.

[Skorpion 55]

Отправьте в ВирЛаб.

Они сказали, что тузла от eBay - есть вредоносная программа ))))

[Z.E.A. 190]

Они сказали, что тузла от eBay - есть вредоносная программа ))))

Ооо...от него спасения почти нет, в каждом втором установщике - это чёртово дополнения ставится.