# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Конкурс для вирусописателей

## drongo

Британский почтовый провайдер Avecho предлагает 10 тыс. фунтов стерлингов тому, кто сможет переслать письмо с вирусом через ее фильтрационную систему GlassWall. 
К участию в соревновании приглашаются все хакеры и вирусописатели мира. К конкурсантам выдвигается единственное требование: сообщить о своей попытке не только в том случае, если она завершится успехом, но также и в том случае, если попытка окажется неудачной. 
Для участия в соревновании нужно зарегистрировать почтовый ящик на сайте, а затем отправить на этот адрес или с этого адреса письмо с вирусом. Если письмо пройдет нетронутым — вы получаете приз в размере 10 тыс. фунтов стерлингов (около $18 тыс.). 

Почтовый фильтр Avecho VirusCensor работает на фирменной технологии GlassWall, которая не очень известна на рынке. Компания отказывается разглашать информацию о том, как она работает, объясняя это тем, что не имеет возможности запатентовать продукт. 

Вообще-то, уже многие компании осмеливались бросать вызов хакерам, и почти всегда это заканчивалось плачевно для коммерсантов. Так, в 2001 году Argus Systems объявила приз за взлом своего сервера PitBull, но так и не выплатила награду польской хакерской группе Last Stage of Delirium, взломавшей сервер. В 2002 г. компания Korea Digital Works объявила награду в $100 тыс. тому, кто взломает ее веб-сервер, но хакеры предпочли взломать сайт для регистрации, чтобы контролировать тех, кто участвует в конкурсе.
источник :
http://news.zdnet.co.uk/internet/sec...9167945,00.htm
перевод :http://www.mazafaka.ru/


Кто хочет поучаствовать , присылайте запросы на регистрацию по мылу на [email protected]

если получиться , с вас много пива  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Dr.Xmas

> Британский почтовый провайдер Avecho предлагает 10 тыс. фунтов стерлингов тому, кто сможет переслать письмо с вирусом через ее фильтрационную систему GlassWall.


осталось доказать организаторам, что пересланный файл является вирусом   :Cool:  
вирусы и трояны, которые не детектируются ни одной программой, существуют. и главная задача будет именно доказать, что файл является вирусом

----------


## Geser

> осталось доказать организаторам, что пересланный файл является вирусом   
> вирусы и трояны, которые не детектируются ни одной программой, существуют. и главная задача будет именно доказать, что файл является вирусом


Так в том и прикол, что они, судя по всему, претендуют на какой-то новый способ обнаружения вирусов. Иначе берёшь любой вирус, пишешь новый пакер и вперёд. Есть, кстати, полиморфные пакеры, которые каждый раз пакуют по новому алгоритму.

----------


## kps

> Так в том и прикол, что они, судя по всему, претендуют на какой-то новый способ обнаружения вирусов. Иначе берёшь любой вирус, пишешь новый пакер и вперёд. Есть, кстати, полиморфные пакеры, которые каждый раз пакуют по новому алгоритму.


Интересно, что же это за новый способ обнаружения вирусов. Может быть, они просто прибивают любое письмо с прикрепленным файлом?  ;D

----------


## serge

> Так в том и прикол, что они, судя по всему, претендуют на какой-то новый способ обнаружения вирусов. Иначе берёшь любой вирус, пишешь новый пакер и вперёд. Есть, кстати, полиморфные пакеры, которые каждый раз пакуют по новому алгоритму.


Для нормальных антивирусов пакеры не представляют серьёзной проблемы, даже если они полиморфные  :Smiley:  Наоборот, если файл обработан чем-то нестандартным - это лишний признак того, что с ним что-то не в порядке.

----------


## Geser

> Для нормальных антивирусов пакеры не представляют серьёзной проблемы, даже если они полиморфные


Почему? Эмуляция не всегда помогает.



> Наоборот, если файл обработан чем-то нестандартным - это лишний признак того, что с ним что-то не в порядке.


Ну и что? Все нестандартные файлы считать вирусами?

----------


## serge

> [quote author=serge link=board=24;threadid=90;start=0#msg283 date=1096547204]
> Для нормальных антивирусов пакеры не представляют серьёзной проблемы, даже если они полиморфные


Почему? Эмуляция не всегда помогает.
[/quote]
Эмуляция позволяет снимать любые упаковщики и крипторы. Другое дело, что при появлении новых крипторов или упаковщиков, всегда есть вероятность, что будет применен новый нестандартный трюк, который эмулятор не может обработать. Усовершенствование эмулятора, как правило, не представляет очень большого труда. К тому же, новые нестандартные трюки в крипторах появляются очень редко.




> Наоборот, если файл обработан чем-то нестандартным - это лишний признак того, что с ним что-то не в порядке.
> 			
> 		
> 
> Ну и что? Все нестандартные файлы считать вирусами?


Нестандартный файл не обязательно является вирусом, но уделить ему при проверке более пристальное внимание совсем не помешает. Также в случае подозрения, что на компе кто-то живет, но никто его не детектит - первыми подозреваемыми будут нестандартные упакованные файлы в каталоге Windows  :Smiley:

----------


## Geser

> Почему? Эмуляция не всегда помогает.Эмуляция позволяет снимать любые упаковщики и крипторы. Другое дело, что при появлении новых крипторов или упаковщиков, всегда есть вероятность, что будет применен новый нестандартный трюк, который эмулятор не может обработать. Усовершенствование эмулятора, как правило, не представляет очень большого труда. К тому же, новые нестандартные трюки в крипторах появляются очень редко.


Ну, я не специалист, но знаю что Др.Веб гордились своим эмулятором, но в конце таки начали использовать распаковку, т.к. многие паковщики/крипторы их эмулятор не брал. Наверное если бы всё было так просто они просто усовершенствовали бы эмулятор.



> Нестандартный файл не обязательно является вирусом, но уделить ему при проверке более пристальное внимание совсем не помешает. Также в случае подозрения, что на компе кто-то живет, но никто его не детектит - первыми подозреваемыми будут нестандартные упакованные файлы в каталоге Windows


Чем это помогает обычному пользователю?

----------


## Geser

*serge*
Тут погоняли Ваш антивирус на пакованных файлах. Если действительно используется только эмулятор, то круто  :Smiley: 
Намного лучше чем ДрВеб и КАВ. Молодцы  :Smiley:

----------


## Geser

Однако трояны упакованные к примеру платной версией вот этого пакера http://www.pelock.prv.pl/ Vba32 не узнаёт

----------


## Geser

А это http://www.oreans.com/xprotector/ вообше говорят монстр  не поддающийся эмуляции  :Smiley:  Правда и файл пакованный выходит монстрообразный по размеру  :Smiley:

----------


## Geser

Ну вот и достаточно распространённый пакер NeoLite делает вирусы неузнаваемыми для Vba32.

----------


## serge

> Ну вот и достаточно распространённый пакер NeoLite делает вирусы неузнаваемыми для Vba32.


Вспомнился анекдот:

_Прислали суровым сибирским мужикам японскую бензопилу. Решили они ее испытать. Положили на нее доску.
- Вжик, - сказала японская бензопила.
- Хм, - сказали суровые сибирские мужики и положили бревно.
- Вж-жик, - сказала японская бензопила.
- Хм-м, - сказали суровые сибирские мужики и положили целое дерево.
- Вж-ж-жик, - сказала японская бензопила.
- Хм-м-м, - сказали суровые сибирские мужики и положили рельс.
- Вж-ж-ж-ж-КРЯК! - сказала японская бензопила и сломалась.
- Ага-а-а! - сказали суровые сибирские мужики и пошли валить лес топорами_

 :Smiley: 

А за ссылки спасибо.

Neolite уже нормально откручивается эмулятором (проверяли на версиях 1.1 и 2.0, с остальными версиями, если они вообще существуют, проблем тоже быть не должно).

Pelock не очень сложный, наверное тоже скоро будет поддерживаться.

Вот Xprotector и его "младший брат", который на той же странице выложен - действительно монстры, с ними намного тяжелее

Денек-два еще у себя тесты погоняем, а потом выложим апдейт для бета-версии.

----------


## Geser

> А за ссылки спасибо.
> 
> Neolite уже нормально откручивается эмулятором (проверяли на версиях 1.1 и 2.0, с остальными версиями, если они вообще существуют, проблем тоже быть не должно).
> 
> Pelock не очень сложный, наверное тоже скоро будет поддерживаться.
> 
> Вот Xprotector и его "младший брат", который на той же странице выложен - действительно монстры, с ними намного тяжелее
> 
> Денек-два еще у себя тесты погоняем, а потом выложим апдейт для бета-версии.


Оперативная работа. Молодцы!   :Smiley:

----------


## Geser

Кстати, а где можно взять бету?

----------


## Dr.Xmas

> Кстати, а где можно взять бету?


надо послать на [email protected] произвольное письмо о том, что желаешь принять участие в бета-тестировании. получаешь по мылу специальный регистрационный ключ. инсталлируешь релиз (инсталлятор можно взятьу нас на сайте), подкладываешь программе ключ, и она начинает обновляться с ресурса, на котором выложена бета-версия.
P.S. ты же вроде бета-версию юзаешь?   :Wink:

----------


## Dr.Xmas

> надо послать на [email protected] произвольное письмо о том, что желаешь принять участие в бета-тестировании. получаешь по мылу специальный регистрационный ключ. инсталлируешь релиз (инсталлятор можно взятьу нас на сайте), подкладываешь программе ключ, и она начинает обновляться с ресурса, на котором выложена бета-версия.
> P.S. ты же вроде бета-версию юзаешь?


а вообще если посмотреть на тему топика и на последние сообщения, можно с уверенностью сказать, что последние сообщения не по теме  ;D

----------


## Geser

> надо послать на [email protected] произвольное письмо о том, что желаешь принять участие в бета-тестировании. получаешь по мылу специальный регистрационный ключ. инсталлируешь релиз (инсталлятор можно взятьу нас на сайте), подкладываешь программе ключ, и она начинает обновляться с ресурса, на котором выложена бета-версия.
> P.S. ты же вроде бета-версию юзаешь?


Угу, только я не знал что это бета. Скачивал-то вроде релиз  :Smiley:

----------

