# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Тестирование эвристики современных антивирусных пакетов - TrojanDownloader

## Зайцев Олег

У меня возникла новая идея тестрования - проврить эвристику существующих антивирей. Методика - на разных языках (C, Delphi, Asm) я реализую код трояна. Сделать это элементарно, путем анализа существующих зверей и создания типового примера. Естетсвенно, это имитатор, но рабочий. 
Условия теста 
1. Никакой нестандартной реализации - лобовой подход
2. Никакой навестной маскировки кода - нет архивации, криптования .... Базовые тесты не содержат маскировки или защиты от отладчика - такие тесты будут проводиться отдельно 
3. Вся программа состоит только из зловредного кода - он немедленно получает управление при старте, и после его выполнения никакого кода в программе нет. Особенность программ в том, что они не выводят видимых окон, не выдают запросов и никак не взаимодействуют с пользователем.
---------
100% объективности конечно нет, но тем не менее примеры написаны на основе анализа известных TrojanDownloader
---------
Несмотря на то, что демонстрационные примеры естественно не являются вредоносными, они тем не менее могут послужить в качестве базы для создания зловредного ПО, что попадает  под статью 273 ч.1 УК РФ. Поэтому исходный код и сами образцы закрыты для распространения, исключения - AV компании, продукты которых участвовали в тесте.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

*Итак, тест номер 1.*
GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
Результат:
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.09.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
Avira 6.32.0.6 10.09.2005 no virus found 
*BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.07.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
NOD32v2 1.1247 10.10.2005 no virus found 
Norman 5.70.10 10.07.2005 no virus found 
Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.09.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.09.2005 no virus found

----------


## Зайцев Олег

*Тест номер 2.*
GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через urlmon (URLDownloadToFile)
Результат:
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.09.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
Avira 6.32.0.6 10.09.2005 no virus found 
*BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.07.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably a variant of Win32/TrojanDownloader.Dadobra.EB  
*Norman 5.70.10 10.07.2005 no virus found 
Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.09.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.09.2005 no virus found

----------


## Iceman

Весьма интересно. Сейчас веселуха начнётся.....

----------


## Зайцев Олег

*Тест номер 3.*
Программа на Delphi 7, консольное приложение, работает через urlmon (URLDownloadToFile) (14 кб).
*AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader 
*Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
*Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader 
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
*F-Prot 3.16c 10.10.2005 could be infected with an unknown virus 
*Ikarus 0.2.59.0 10.07.2005 no virus found 
*Kaspersky 4.0.2.24 10.10.2005 Trojan-Downloader.Win32.Small.gen 
*McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
Norman 5.70.10 10.07.2005 W32/Downloader 
*Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
*VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (**--** тут был URL --)* 
---------
Что интересно - VBA опказал в скобках, c какого URL загружается файл

----------


## Зайцев Олег

*Тест номер 4.*
Консольное приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
Результат:
*AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader 
*Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
*Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader 
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.07.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
Norman 5.70.10 10.07.2005 W32/Downloader 
*Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
*VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (**--** здесь был URL --)* 
----

----------


## RiC

> Тест номер 4.
> DrWeb 4.32b 10.02.2005 no virus found 
> ----


Олег проверь CureIt`ом 4.33 там эвристик свежий  :Smiley:  интересно ...

----------


## AndreyKa

В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
В 4.33 он появился, было бы интересно его проверить.

----------


## Зайцев Олег

Итак, предварительный вердикт достаточно очивиден ... а теперь берем образец номер три и применяем небольшую маскировку - динамическую загрузку urlmon:
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.09.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
Avira 6.32.0.6 10.09.2005 no virus found 
*BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
*F-Prot 3.16c 10.10.2005 could be infected with an unknown virus 
*Ikarus 0.2.59.0 10.07.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
Norman 5.70.10 10.07.2005 W32/Downloader 
*Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
*VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (**--** тут был URL --) 
*
Итак, уже 5  :Smiley:   было 8 штук ...
Усиливаю маскировку (вместо лобовых констант с именами DLL и функции применяется строка, собираемая из фрагментов - даже без всякой шифровки):
AntiVir 6.32.0.6 10.09.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
Avira 6.32.0.6 10.09.2005 no virus found 
*BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
*F-Prot 3.16c 10.10.2005 could be infected with an unknown virus* 
*Ikarus 0.2.59.0 10.07.2005 Backdoor.Win32.G_Door.T* 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
Norman 5.70.10 10.07.2005 W32/Downloader* 
Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
*VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (--тут выводится URL--)*
Интересно, что Ikarus это заметил, причем выдал не подозрение, а именно срабатывание ...
Про VBA интересно, повторяю тест специально для него - разбиваю константу с URL на несколько частей, в динамике собираю - показывает VBA эту строку правильно, значит, имеет место эмулятор...

----------


## Зайцев Олег

> В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
> В 4.33 он появился, было бы интересно его проверить.


Вне конкурса обязательно проверю - по всем образцам

----------


## Зайцев Олег

DrWeb Cure-IT 4.33 ... Сработал только на "тестовый пример номер 3", сообщение "Probably DLOADER.Trojan"

----------


## Зайцев Олег

Ну, и наконец "на закуску" тесто номер 5 - применение простейшего антиотладкика (повторюсь - простейшего, без всяких там аппаратных штучек или экзотических приемов !):
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.09.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.06.2005 no virus found 
Avira 6.32.0.6 10.09.2005 no virus found 
BitDefender 7.2 10.10.2005 no virus found 
CAT-QuickHeal 8.00 10.09.2005 no virus found 
ClamAV devel-20050917 10.09.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.07.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
NOD32v2 1.1247 10.10.2005 no virus found 
Norman 5.70.10 10.07.2005 no virus found 
Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.09.2005 no virus found 
DrWeb Cure-IT 4.33 10.02.2005 - ничего не нашел
----
Выводы из этого, думаю, делать не надо  :Smiley:  Они и так налицо. Общий вердикт - по данной категории в пяти тестах лидеры BitDefender, NOD32, Norman и VBA (перечисление в алфивитном порядке). KAV и DrWEB словили только по одному образцу (кстати, у KAV неправильно на virustotal выводится сообщение - при сканировании локальным KAV он сказал "подозрение на ..."

----------


## RiC

Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления.  :Smiley:  

Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.

PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..

----------


## Зайцев Олег

> Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления.  
> 
> Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.
> 
> PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..


в примерах код оченнь характреный - скрытная загрузка exe файла с прошитого прямо в теле exe адреса и его немедленный запуск через ShellExecute. Загрузка исполняемого файла ведется прямо в колень диска... причем в опять же в скрытном режиме, с признаком SW_HIDE.
А с дистаннции я никого не выкидывал, пускай будут все для полноты картины ...

----------


## Зайцев Олег

*Тест номер 6.*
Microsoft C, аналог теста 4 - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами. Консольное приложение, выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его немедленный запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
AntiVir 6.32.0.6 10.10.2005 no virus found 
Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.10.2005 no virus found 
*BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.10.2005 no virus found 
ClamAV devel-20050917 10.10.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
*Norman 5.70.10 10.07.2005 W32/Downloader 
Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.09.2005 no virus found

----------


## Зайцев Олег

*Тест номер 7.*
Microsoft C, консольное приложение, аналог теста 3 (URLDownloadToFile) - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами.
*AntiVir 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader 
*Avast 4.6.695.0 10.08.2005 no virus found 
AVG 718 10.10.2005 no virus found 
*Avira 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader 
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader 
*CAT-QuickHeal 8.00 10.10.2005 no virus found 
ClamAV devel-20050917 10.10.2005 no virus found 
DrWeb 4.32b 10.02.2005 no virus found 
eTrust-Iris 7.1.194.0 10.09.2005 no virus found 
eTrust-Vet 11.9.1.0 10.10.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.10.2005 no virus found 
McAfee 4600 10.07.2005 no virus found 
*NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus 
Norman 5.70.10 10.07.2005 W32/Downloader 
*Panda 8.02.00 10.09.2005 no virus found 
Sophos 3.98.0 10.10.2005 no virus found 
Symantec 8.0 10.09.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.09.2005 no virus found

----------


## Зайцев Олег

По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.

----------


## aintrust

> По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.


Так это... видна рука "мастера" (в трансляции с Delphi на C)!  :Smiley:  Шютка... Теперь уже даже интересно, что будет с ассемблерным вариантом.  :Smiley:

----------


## Xen

Долбануцца. RiC прав, код слишком уж неспецифичный, например, один мой апдейтер делает совершенно то же самое, что и сэмплы, разве что, сохраняет файлик в %TEMP% или ExtractFilePath(ParamStr(0))... Олег и aintrust, можете выложить сурс сэмплов в студию? Очччень любопытно...

В свою очередь обещаю подготовить собственную серию тестов. Ну а пока остается резюмировать, что эвристика упомянутых продуктов на современном этапе способна отлавливать только самые примитивные варианты спайваря... в лучшем случае. В худшем - просто домогает админов ложными срабатываниями =))

----------


## anton_dr

А АВЗ? Он может такое поймать?

----------


## Зайцев Олег

> А АВЗ? Он может такое поймать?


Текущая версия - не может - у меня нет эмулятора/анализатора кода. Но тесты и подготовку образцов я затеял неспроста  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> Долбануцца. RiC прав, код слишком уж неспецифичный, например, один мой апдейтер делает совершенно то же самое, что и сэмплы, разве что, сохраняет файлик в %TEMP% или ExtractFilePath(ParamStr(0))... Олег и aintrust, можете выложить сурс сэмплов в студию? Очччень любопытно...


Если исключить червей и файловые вирусы все остальные вредоносные программы не делают ничего специфического. Так что любая эвристика будет давать ложные срабатывания. По этой причине всем антивирусам пора обзавестись базами чистых файлов.




> Текущая версия - не может - у меня нет эмулятора/анализатора кода. Но тесты и подготовку образцов я затеял неспроста


Хочется надеяться что при этом английская версия ен будет забыта  :Stick Out Tongue:

----------


## Зайцев Олег

> Если исключить червей и файловые вирусы все остальные вредоносные программы не делают ничего специфического. Так что любая эвристика будет давать ложные срабатывания. По этой причине всем антивирусам пора обзавестись базами чистых файлов.
> 
> 
> Хочется надеяться что при этом английская версия ен будет забыта


Угу  :Smiley: 
Вообще, реакция VBA мне понравилась и Sandbox в полном варианте (она в таковом есть на http://virusscan.jotti.org/) - выдается на просто вывод подозрение, а идет попытка указать, что конкретно качатся (в случае с SandBox он еще четко пишет, что и куда сохранилось и что оно потом запускается и окно этого "чегото" скрыто ото юзера). Это как раз сильный момент

----------


## Alexey P.

> Долбануцца. RiC прав, код слишком уж неспецифичный, например, один мой апдейтер делает совершенно то же самое, что и сэмплы, разве что, сохраняет файлик в %TEMP% или ExtractFilePath(ParamStr(0))... Олег и aintrust, можете выложить сурс сэмплов в студию? Очччень любопытно...
> 
> В свою очередь обещаю подготовить собственную серию тестов. Ну а пока остается резюмировать, что эвристика упомянутых продуктов на современном этапе способна отлавливать только самые примитивные варианты спайваря... в лучшем случае. В худшем - просто домогает админов ложными срабатываниями =))


 Тесты четко показали, что Олег трояны не пишет.
Не ценят его эвристики. Стиль не тот  :Smiley: .

 Код явно может быть полезен профессионалам своего дела. Раз не детектится  :Smiley: .

А эвристик дрвеба 4.33 достаточно неплох, мне уже много раз попадались его срабатывания по делу, на новой заразе.
Вот, к примеру, запомнилось:
DrWeb	MULDROP.PWS.Trojan -> BackDoor.HangUp.29	hxxp://wild-free-sex.com/images/thumbs/axdial2341.exe

----------


## AndreyKa

Тест интересный, но больше как теоретическое исследование, чем практический анализ. Для последнего больше подошла бы методика проверки коллекции наборов реальных TrojanDownloader-ов и законных программ, выполненная антивирусами с нулевыми (или очень старыми) сигнатурными базами. Наподобие вот этого:
http://www.wilderssecurity.com/showp...9&postcount=47

----------


## Sanja

for Alexey.P
Этож не эвристик DrWeb MULDROP.PWS.Trojan -> BackDoor.HangUp.29

----------


## Terry

Ой, господа, скользкую вы тему затронули. Эвристики - это вообще не более чем информация к размышлению. Вот например DrWeb 4.33 детектирует резидетный монитор UNA как "возможно BACKDOOR.Trojan" - и что прикажете с этим делать?
 А вообще спросите у того же Jotti, или у VirusTotal как они мучаются с ложными срабатываниями (особенно эвристиков).

* To "Зайцев Олег"*: А теперь проведи тест на ложные срабатывания по тем же эвристикам, думаю результат озадачит.

----------


## Зайцев Олег

> Тест интересный, но больше как теоретическое исследование, чем практический анализ. Для последнего больше подошла бы методика проверки коллекции наборов реальных TrojanDownloader-ов и законных программ, выполненная антивирусами с нулевыми (или очень старыми) сигнатурными базами. Наподобие вот этого:
> http://www.wilderssecurity.com/showp...9&postcount=47


В базах могут быть и сигнатуры эвристики ... поэтому тест со старой базой некорректен. Но это то только начало тестов - опыт с "имитатором TrojanDownloader". Опыты дали некоторые результаты... продолжение опытов будет на реальных зверях.

----------


## Зайцев Олег

> Ой, господа, скользкую вы тему затронули. Эвристики - это вообще не более чем информация к размышлению. Вот например DrWeb 4.33 детектирует резидетный монитор UNA как "возможно BACKDOOR.Trojan" - и что прикажете с этим делать?
>  А вообще спросите у того же Jotti, или у VirusTotal как они мучаются с ложными срабатываниями (особенно эвристиков).
> 
> * To "Зайцев Олег"*: А теперь проведи тест на ложные срабатывания по тем же эвристикам, думаю результат озадачит.


Именно так и есть ... эвристик - это именно тема для размышления. Но именно тем то он и интересен... Лично мое мнение - у антивируса, в идеале, должна быть доп. база - расширенной эвристики (хотя-бы для админов, специалистов подразделения "K", спец.служб и служб безопасности крупных контор ...)

----------


## Alexey P.

> for Alexey.P
> Этож не эвристик DrWeb MULDROP.PWS.Trojan -> BackDoor.HangUp.29


 Он самый и есть.
Это два диагноза - до добавления в базы и после.
После - стал Backdoor.Hangup.29

----------


## Зайцев Олег

Итак, продолжим.
*Тестовый пример - классический TrojanDropper* 
Демо-пример: консольный exe, содержит единственный ресурс, в нем - находится имитатор трояна. Демо пример с сохраняет exe файл из ресурса в c:\troj_test.exe и запускает (естетсвенно, все скрытно, без GUI, запросов ...). 
Вот результат:
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.11.2005 no virus found 
Avast 4.6.695.0 10.10.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.11.2005 no virus found 
BitDefender 7.2 10.11.2005 no virus found 
CAT-QuickHeal 8.00 10.11.2005 no virus found 
ClamAV devel-20050917 10.11.2005 no virus found 
DrWeb 4.32b 10.11.2005 no virus found 
eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
*Fortinet 2.48.0.0 10.10.2005 suspicious* 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.11.2005 no virus found 
McAfee 4601 10.10.2005 no virus found 
NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.10.2005 no virus found

*Меняю безобидный имитатор на Trojan.Win32.LowZones.ad (его знают почти все антивири на virustotal):*

Результат по Trojan.Win32.LowZones.ad в чистом виде:
AntiVir 6.32.0.6 10.11.2005 TR/LowZones.AD 
Avast 4.6.695.0 10.10.2005 Win32:Trojan-gen. {VC} 
AVG 718 10.10.2005 LowZones.AQ 
Avira 6.32.0.6 10.11.2005 TR/LowZones.AD 
BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD 
CAT-QuickHeal 8.00 10.11.2005 Trojan.LowZones.ad 
ClamAV devel-20050917 10.11.2005 no virus found 
DrWeb 4.32b 10.11.2005 Trojan.LowZones 
eTrust-Iris 7.1.194.0 10.10.2005 Win32/QLowzones.sacquire!Trojan 
eTrust-Vet 11.9.1.0 10.11.2005 Win32.Secdrop.CE 
Fortinet 2.48.0.0 10.10.2005 W32/LowZones.AD-tr 
F-Prot 3.16c 10.10.2005 security risk named W32/Lowzones.DR 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad 
McAfee 4601 10.10.2005 Generic.ca 
NOD32v2 1.1249 10.11.2005 Win32/LowZones.AD 
Norman 5.70.10 10.11.2005 W32/LowZones.CT 
Panda 8.02.00 10.10.2005 Adware/SearchSquire 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 Trojan/LowZones.ad 
VBA32 3.10.4 10.10.2005 Trojan.Win32.LowZones.ad 

*а теперь он-же, но внутри дроппера:*
Avast 4.6.695.0 10.10.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.11.2005 no virus found 
*BitDefender 7.2 10.11.2005 Dropped:Trojan.Lowzones.AD 
*CAT-QuickHeal 8.00 10.11.2005 no virus found 
ClamAV devel-20050917 10.11.2005 no virus found 
DrWeb 4.32b 10.11.2005 no virus found 
eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
*Fortinet 2.48.0.0 10.10.2005 suspicious* 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.11.2005 no virus found 
*McAfee 4601 10.10.2005 Generic.ca*
NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
*VBA32 3.10.4 10.10.2005 suspected of Embedded.Trojan.Win32.LowZones.ad 
*
-----
Замечу, что ресурс единственный, имя - TROJAN, тип - EXEFILE, никакой шифровки или маскировки нет - лобовое сохранение ресурса в файл и запуск.
Но на этом тест не закончился - я проверил DrWEB 4.33 - он нашел в моем дроппере Trojan.LowZones, а самого дроппера обозвал "Infected Archive".

----------


## Зайцев Олег

*Тестовый пример - TrojanDropper, в котором зловредный файл приписывается в хвост EXE* 
(при этом заголовок exe файла не меняется ! Т.е. размер по заголовку не соответствует реальному размеру файла).

*тест для эмулятора трояна - эмулятор безобиден, просто выводит на экран сообщения "я имитатор трояна"*
AntiVir 6.32.0.6 10.11.2005 no virus found 
Avast 4.6.695.0 10.10.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.11.2005 no virus found 
BitDefender 7.2 10.11.2005 no virus found 
CAT-QuickHeal 8.00 10.11.2005 no virus found 
ClamAV devel-20050917 10.11.2005 no virus found 
DrWeb 4.32b 10.11.2005 no virus found 
eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
*Fortinet 2.48.0.0 10.10.2005 suspicious* 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.11.2005 no virus found 
McAfee 4601 10.10.2005 no virus found 
NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.10.2005 no virus found 


*тест для Trojan.Win32.LowZones.ad*
AntiVir 6.32.0.6 10.11.2005 no virus found 
Avast 4.6.695.0 10.10.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.11.2005 no virus found 
*BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD 
*CAT-QuickHeal 8.00 10.11.2005 no virus found 
ClamAV devel-20050917 10.11.2005 no virus found 
*DrWeb 4.32b 10.11.2005 Trojan.LowZones 
*eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
*Fortinet 2.48.0.0 10.10.2005 suspicious 
F-Prot 3.16c 10.10.2005 security risk named W32/Lowzones.DR 
*Ikarus 0.2.59.0 10.10.2005 no virus found 
*Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad 
McAfee 4601 10.10.2005 Generic.ca 
*NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.10.2005 no virus found
-----
на сей раз VBA не заметил зверя, зато его изловил Касперский (причем не подозрение, а детекирование)
Fortinet судя по всему выдает подозрение на любой exe, содержащий в ресурсах или в хвосте другой exe. С одной стороны хорошо, а с другой - будут ложняки ... хотя на той-же утилите FileMon Sysinternals срабатывания он не дает - вероятно, ищется код, отвечающий за запуск извлеченного файла.

----------


## Зайцев Олег

*Тестовый пример  - микромодификация в зоне точки входа*
Условия теста - машинный код должен совпадать "команда в команду" с кодом зловредного файла. Для этого небольшой кусочек кода (а именно - первые несколько команд по точке входа) переносится в зону заголовка или нулей в хвосте секции кода, затем в начало файла записывается JMP на эти команды ... а команды дополняются JMP, ведущим обратно, на команду номер N исходного кода (первую неизмененную). 
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.11.2005 no virus found 
Avast 4.6.695.0 10.10.2005 no virus found 
AVG 718 10.10.2005 no virus found 
Avira 6.32.0.6 10.11.2005 no virus found 
*BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD* 
CAT-QuickHeal 8.00 10.11.2005 no virus found 
ClamAV devel-20050917 10.11.2005 no virus found 
*DrWeb 4.32b 10.11.2005 Trojan.LowZones* 
eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.11.2005 no virus found 
*Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad* 
McAfee 4601 10.10.2005 no virus found 
NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.11.2005 no virus found 
Как видно, BitDefender, DrWeb, Касперского таким фокусом не пронять - эмулятор отработал как положено, зверь пойман ... поменяем условия опыта - все аналогично, но меняются первые байты функции WinMain

*Тестовый пример  - микромодификация WinMain*
*AntiVir 6.32.0.6 10.11.2005 TR/LowZones.AD 
Avast 4.6.695.0 10.10.2005 Win32:Trojan-gen. {VC} 
*AVG 718 10.10.2005 no virus found 
*Avira 6.32.0.6 10.11.2005 TR/LowZones.AD 
*BitDefender 7.2 10.11.2005 no virus found 
*CAT-QuickHeal 8.00 10.11.2005 Trojan.LowZones.ad 
*ClamAV devel-20050917 10.11.2005 no virus found 
*DrWeb 4.32b 10.11.2005 Trojan.LowZones 
*eTrust-Iris 7.1.194.0 10.10.2005 no virus found 
eTrust-Vet 11.9.1.0 10.11.2005 no virus found 
Fortinet 2.48.0.0 10.10.2005 no virus found 
F-Prot 3.16c 10.10.2005 no virus found 
Ikarus 0.2.59.0 10.10.2005 no virus found 
Kaspersky 4.0.2.24 10.11.2005 no virus found 
McAfee 4601 10.10.2005 no virus found 
NOD32v2 1.1249 10.11.2005 no virus found 
Norman 5.70.10 10.11.2005 no virus found 
Panda 8.02.00 10.10.2005 no virus found 
Sophos 3.98.0 10.11.2005 no virus found 
Symantec 8.0 10.10.2005 no virus found 
TheHacker 5.8.2.121 10.10.2005 no virus found 
VBA32 3.10.4 10.10.2005 no virus found 
------
т.е. получается, что микромодификация кода (причем замечу, не замена команд, а банальный перенос двух-трех команд оказывает такое сильное влияние ....). При этом очень важный момент - код совпадает команда в команду, не считая JMP.

----------


## Geser

> т.е. получается, что микромодификация кода (причем замечу, не замена команд, а банальный перенос первых двух команд оказывает такое сильное влияние ....)


Давольно странно. А точно ошибки нет? Троян остался рабочим после модификации?

----------


## Зайцев Олег

> Давольно странно. А точно ошибки нет? Троян остался рабочим после модификации?


Я его естественно не поленился запустить - все заботает как часы, к сожалению ... подопытный, кстати, натащил кучу троянов - сейчас их ловить буду  :Smiley:

----------


## Geser

> Я его естественно не поленился запустить - все заботает как часы


Мда, очень печально. А вроде у всех эмуляторы кода есть. Не понятно что они эмулируют  :Smiley:

----------


## Зайцев Олег

> Мда, очень печально. А вроде у всех эмуляторы кода есть. Не понятно что они эмулируют


Я нашел причину  :Smiley:  в ходе манипуляции я перенес не первые две команды по точке входа, а первые команды функции WinMain ... Вот отсюда и реакция ... (они просто ищутся по сигнатуре, год то там шаблонный). Но дела это не меняет - логика кода не изменилась, она осталась байт-в байт как у оригинала, появляется два лишних JMP.

----------


## Гость

Дабы освежить затухающий тред...

Тест N1 . Программа на C. Просто качает и запускает. Что собственно хорошо видно в логе Norman Sandbox  :Smiley: 

AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
*BitDefender  Found BehavesLike:Trojan.Downloader (probable variant)*
ClamAV  Found nothing 
Dr.Web Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
*NOD32  Found probably unknown NewHeur_PE (probable variant)* 
*Norman Virus Control  Found Sandbox: W32/Downloader; [ General information ]*



> * File length: 24576 bytes.
> 
> [ Changes to filesystem ]
> * Creates file C:\file.com.
> 
> [ Network services ]
> * Downloads file from http:\\www.( -skip- ).com\file.gif as c:\file.com.
> 
> [ Security issues ]
> ...


UNA  Found nothing 
VBA32  Found nothing

----------


## Гость

Тест N2. То же самое, только на asm

AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
*BitDefender  Found BehavesLike:Trojan.Downloader (probable variant)* 
ClamAV  Found nothing 
*Dr.Web  Found DLOADER.Trojan (probable variant) * 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
*NOD32  Found probably unknown NewHeur_PE (probable variant) * 
*Norman Virus Control  Found Sandbox: W32/Downloader; [ General information ]*



> * File length: 16384 bytes.
> 
> [ Changes to filesystem ]
> * Creates file C:\file.com.
> 
> [ Network services ]
> * Downloads file from http:\\www.( -skip- ).com\file.gif as c:\file.com.
> 
> [ Security issues ]
> ...


UNA  Found nothing 
*VBA32  Found Win32.Trojan.Downloader (http:\\www.( -skip- ).com\file.gif) (probable variant) *

----------


## Гость

Тест N3. К тест1 добавилось, прописывание в автозагрузку (на С)


AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
*BitDefender  Found BehavesLike:Trojan.Downloader (probable variant) * 
ClamAV  Found nothing 
*Dr.Web  Found DLOADER.Trojan (probable variant) * 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
*NOD32  Found probably unknown NewHeur_PE (probable variant) * 
*Norman Virus Control  Found Sandbox: W32/Downloader; [ General information ]*



> * File length: 24576 bytes.
> 
> [ Changes to filesystem ]
> * Creates file C:\file.com.
> 
> [ Changes to registry ]
> * Creates value "Test"="c:\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Ru  n".
> 
> [ Network services ]
> ...


UNA  Found nothing 
VBA32  Found nothing 

И снова Norman это иллюстрирует  :Wink:

----------


## Гость

Тест N3. Все то же самое, только добавлена задержка около 3 минут
перед началом скачивания.


AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
*Dr.Web  Found DLOADER.Trojan (probable variant) * 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
*Norman Virus Control  Found Sandbox: W32/Downloader; [ General information ]*



> * File length: 24576 bytes.
> 
> [ Changes to filesystem ]
> * Creates file C:\file.com.
> 
> [ Changes to registry ]
> * Creates value "Test"="c:\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Ru  n".
> 
> [ Network services ]
> ...


UNA  Found nothing 
VBA32  Found nothing 

И с этим Norman легко справился

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Mamont

На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.

----------


## Iceman

> На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.


Позволю себе возразить - это не так :Smiley:

----------


## Geser

> На основании проведённых Олегом тестов можно сделать вывод, что наилучшим эвристиком обладает Dr.Web 4.33. В нём стопроцентное обнаружение реального вируса сочетается с минимальным числом ложных срабатываний на имитаторах.


А это не имитаторы. Это настоящие троян даунлоадеры и дроперы  :Smiley:  А то что их написал Олег а не реальный вирусописатель ничего не меняет.

----------


## Geser

Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.

----------


## Iceman

> Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.


Это с какого момента? Я как-то пробовал - не особо...

----------


## Geser

> Это с какого момента? Я как-то пробовал - не особо...


http://forum.kaspersky.com/index.php?showtopic=5274

----------


## Sanja

For Gaser:
Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.

Эвристик кава независит от версии... если они его улучшат то он будет лучше и в 2006 и в 5.0 и в 3.0  :Smiley: 

Движок в базах - гениально!

----------


## Iceman

Т.е., не так давно... Ясно, надо будет попробовать.

----------


## Sanja

Вобще как стало известно они работают над "этим" только я пока точно незнаю это - что - жвристик или создание полноценного Code Emulatora (Norman Sandbox / BitDefender Hive)

----------


## Geser

> For Gaser:
> Кстати, в КАВ/КИС 2006 тоже улучшили эвристик. Скоро узнаю по делу он ругается или ложняк.
> 
> Эвристик кава независит от версии... если они его улучшат то он будет лучше и в 2006 и в 5.0 и в 3.0 
> 
> Движок в базах - гениально!


Факт в том что старые версии на этот файл не ругаются
Кстати, возможно что тормоза КАВ именно результат движка в базах

----------


## Гость

Нет ибо базы в памяти.. а там у всех скорость одна....

тормоза - в попутках распаковки всего подрять и залезанья в дебри файла

вроде такого изврата  :Smiley: 

Spoolsac.zip\spoolsac.exe/PE_Patch/MewBundle/MEW/PCShrink is infected with Backdoor.Win32.Agent.on

----------


## Geser

> Нет ибо базы в памяти.. а там у всех скорость одна....
> 
> тормоза - в попутках распаковки всего подрять и залезанья в дебри файла
> 
> вроде такого изврата 
> 
> Spoolsac.zip\spoolsac.exe/PE_Patch/MewBundle/MEW/PCShrink is infected with Backdoor.Win32.Agent.on


Может я не прав, но по моему, если движок компелируется сразу его можно лучше оптимизировать чем когда он собирается из написанных в разное время частей. А большинство файлов на диске ничем не сжаты. Так что от распаковок особо тормоза не должны проявляться.

----------


## Гоша7

Здравствуйте! Я обычный человек, не професионал в антивирусных программах, увидевши этот диалог, ужаснулся, ведь у меня уже как два года DRWEB 432 стоял,сейчас поменял на 4.33.В связке с ним Ad-Aware SE Professional + Agnitum .
Ну думаю заразы немеряно у меня. Быстренько установил  BitDefender8,
обновил антивирусные базы и запустил сканер....
Я сидел 51 минуту, как на иголках....
Просканировав системный с программами диск С ....
BitDefender8 не обнаружил ни одной заразы!!!
а вот Бранндмауэр и вирусный щит так тормозят машину, что мама не горюй!!!!(я не забыл конечно своего Веба отключить на время тестирования).
Я в нете с утра до вечера, по разным сайтам хожу, где заразы много,
хочу сказать, что лучше Веба, для обычного пользователя нет!!!!
Отлавливает всё! МОЛОДЕЦ! И главное машину не тормозит!

----------


## Зайцев Олег

> Здравствуйте! Я обычный человек, не професионал в антивирусных программах ...


Ну и как это открытие связано с темой обсуждения ?!

----------


## Гоша7

Открытия ни какого, извиняйте если что, я просто по тестам  посмотрел, 
что BitDefender  практически всё в Ваших опытах находит, а Веб пропускает, ...
и просто так сказать высказал свою точку зрения, что Веб лучший!
Так как за два года ничего не пропустил.

----------


## RiC

> и просто так сказать высказал свою точку зрения, что Веб лучший!
> Так как за два года ничего не пропустил.


Этот тест почти ничего ни говорит о качестве антивируса для конечного пользователя, 
для конечного пользователя качеством является *стабильность/полнота баз/Время реакции supporta на новую заразу*
с этим у Web`a всё более/менее нормально на тек. момент  :Smiley:  
Но я бы не сказал что он лучший, но явно не худьший выбор для пользователя.
Так-же как и Касперский, имеет на тек. момент успехи в этом тесте явно ниже среднего  :Smiley:

----------


## azza

:Idea: 
*Гоша7*
Проголосовал?
 :Smiley:

----------


## Зайцев Олег

> Этот тест почти ничего ни говорит о качестве антивируса для конечного пользователя, 
> для конечного пользователя качеством является *стабильность/полнота баз/Время реакции supporta на новую заразу*
> с этим у Web`a всё более/менее нормально на тек. момент  
> Но я бы не сказал что он лучший, но явно не худьший выбор для пользователя.
> Так-же как и Касперский, имеет на тек. момент успехи в этом тесте явно ниже среднего


Дак вот о чем и речь - тестируется эвристик, причем в достаточно узких направлениях. Делать по этому тесту глобальные выводы естественно нельзя...

----------


## Зайцев Олег

В дополнение теста http://virusinfo.info/showpost.php?p=56927&postcount=31 я провел еще один тест - тот-же дроппер, но теперь "зверь" в ресурсе зашифрован при помощи элементарного XOR 55.
Результат:
AntiVir 6.32.0.6 10.14.2005 no virus found 
Avast 4.6.695.0 10.14.2005 no virus found 
AVG 718 10.13.2005 no virus found 
Avira 6.32.0.6 10.14.2005 no virus found 
*BitDefender 7.2 10.14.2005 Dropped:Trojan.Lowzones.AD* 
CAT-QuickHeal 8.00 10.14.2005 no virus found 
ClamAV devel-20050917 10.14.2005 no virus found 
DrWeb 4.32b 10.14.2005 no virus found 
eTrust-Iris 7.1.194.0 10.14.2005 no virus found 
eTrust-Vet 11.9.1.0 10.14.2005 no virus found 
*Fortinet 2.48.0.0 10.14.2005 suspicious* 
F-Prot 3.16c 10.14.2005 no virus found 
Ikarus 0.2.59.0 10.13.2005 no virus found 
Kaspersky 4.0.2.24 10.14.2005 no virus found 
McAfee 4604 10.13.2005 no virus found 
NOD32v2 1.1254 10.14.2005 no virus found 
Norman 5.70.10 10.14.2005 no virus found 
Panda 8.02.00 10.14.2005 no virus found 
Sophos 3.98.0 10.14.2005 no virus found 
Symantec 8.0 10.13.2005 no virus found 
TheHacker 5.8.2.123 10.13.2005 no virus found 
VBA32 3.10.4 10.13.2005 no virus found
интересно, как его Bitbefender изловил - полная эмуляция машинного кода что-ли ... ?!
Выкидываю код запуска зловреда:
Antivirus Version Update Result 
AntiVir 6.32.0.6 10.14.2005 no virus found 
Avast 4.6.695.0 10.14.2005 no virus found 
AVG 718 10.13.2005 no virus found 
Avira 6.32.0.6 10.14.2005 no virus found 
*BitDefender 7.2 10.14.2005 Dropped:Trojan.Lowzones.AD* 
CAT-QuickHeal 8.00 10.14.2005 no virus found 
ClamAV devel-20050917 10.14.2005 no virus found 
DrWeb 4.32b 10.14.2005 no virus found 
eTrust-Iris 7.1.194.0 10.14.2005 no virus found 
eTrust-Vet 11.9.1.0 10.14.2005 no virus found 
*Fortinet 2.48.0.0 10.14.2005 suspicious* 
F-Prot 3.16c 10.14.2005 no virus found 
Ikarus 0.2.59.0 10.13.2005 no virus found 
Kaspersky 4.0.2.24 10.14.2005 no virus found 
McAfee 4604 10.13.2005 no virus found 
NOD32v2 1.1254 10.14.2005 no virus found 
Norman 5.70.10 10.14.2005 no virus found 
Panda 8.02.00 10.14.2005 no virus found 
Sophos 3.98.0 10.14.2005 no virus found 
Symantec 8.0 10.13.2005 no virus found 
TheHacker 5.8.2.123 10.13.2005 no virus found 
VBA32 3.10.4 10.13.2005 no virus found
Выкидываю запуск, дешифрацию и сохранение (в этом случае просто считывается зашифрованный код из ресурса и все): 
AntiVir 6.32.0.6 10.14.2005 no virus found 
Avast 4.6.695.0 10.14.2005 no virus found 
AVG 718 10.13.2005 no virus found 
Avira 6.32.0.6 10.14.2005 no virus found 
BitDefender 7.2 10.14.2005 no virus found 
CAT-QuickHeal 8.00 10.14.2005 no virus found 
ClamAV devel-20050917 10.14.2005 no virus found 
DrWeb 4.32b 10.14.2005 no virus found 
eTrust-Iris 7.1.194.0 10.14.2005 no virus found 
eTrust-Vet 11.9.1.0 10.14.2005 no virus found 
Fortinet 2.48.0.0 10.14.2005 suspicious 
F-Prot 3.16c 10.14.2005 no virus found 
Ikarus 0.2.59.0 10.13.2005 no virus found 
Kaspersky 4.0.2.24 10.14.2005 no virus found 
McAfee 4604 10.13.2005 no virus found 
NOD32v2 1.1254 10.14.2005 no virus found 
Norman 5.70.10 10.14.2005 no virus found 
Panda 8.02.00 10.14.2005 no virus found 
Sophos 3.98.0 10.14.2005 no virus found 
Symantec 8.0 10.13.2005 no virus found 
TheHacker 5.8.2.123 10.13.2005 no virus found 
VBA32 3.10.4 10.13.2005 no virus found
Т.е. получается, что отлов "зверя" просходил по анализу буфера, который формировал дешифратор

----------


## Geser

BitDefender показывает хорошие результаты. Учитывая что текущая версия 9, и по утверждениям разработчиков в ней много усовершенствований. Жалко с ними сложно пообщаться

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> BitDefender показывает хорошие результаты. Учитывая что текущая версия 9, и по утверждениям разработчиков в ней много усовершенствований. Жалко с ними сложно пообщаться


да, я как-то не ожидал такой реакции ... зашифрованный зверь, да еще в неизвестном для типе дроппера. Другое удивительно - почему Sanbox у Norman молчит - он же вроде как обязан отреагировать.
Я повторил опыт с последним образцом на http://virusscan.jotti.org/ :
AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
*BitDefender  Found Dropped:Trojan.Lowzones.AD * 
ClamAV  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing !!!
UNA  Found nothing 
VBA32  Found nothing 
Вот это странно ...

----------


## Geser

Norman вообще странный зверь  :Smiley:  И Sanbox у него срабатывает совсем не часто

----------


## Гость

> Может я не прав, но по моему, если движок компелируется сразу его можно лучше оптимизировать чем когда он собирается из написанных в разное время частей. А большинство файлов на диске ничем не сжаты. Так что от распаковок особо тормоза не должны проявляться.


Ты неправ  :Smiley:

----------


## Sanja

Gaser, Oleg
http://forum.kaspersky.com/index.php?showtopic=5311&hl=

 :Smiley:

----------


## ASMax

Хотелось бы узнать результаты тестирования антивирусных программ, работающих по проактивному принципу, а не реактивному. Например Proventia от ISS и Safe'n'Sec от Protection Technology.

----------


## Surfer56

> Хотелось бы узнать результаты тестирования антивирусных программ, работающих по проактивному принципу, а не реактивному. Например Proventia от ISS и Safe'n'Sec от Protection Technology.


Это точно , или например Panda True Prevent 2006 (говорят , что ловит всё)
*Зайцев Олег*
А почему в 10.2005 использовался старый каспер , тогда уже был 5.0

----------


## Зайцев Олег

> Это точно , или например Panda True Prevent 2006 (говорят , что ловит всё)
> *Зайцев Олег*
> А почему в 10.2005 использовался старый каспер , тогда уже был 5.0


Panda True Prevent я тестировал - честно скажу, разочарование полнейшее ... вся "супертехнология" построена на двух десятках перехватов UserMode, которые обходятся элементарнейшим образом. После этого Panda теряет контроль над системой и приложение может делать что угодно. 
В тестах применялся тот KAV, что имеется на Virustotal ... но это не играет роли, т.к. дивжек у них по сути размещен в базе.

----------

