# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Маленькое исследование антивирусов

## Geser

В обчем решил я сравнить антивирусы.
Взял я известного червячка Mydoom.a
Далее исследование производится при поможи сайта http://www.virustotal.com/
Итак, первая проверка:



> Scan results
>  File: I-Worm.Mydoom.a
>  Date: 07/16/2004 15:52:19
> ----
> BitDefender   7.0/20040716   found [[email protected]]
> ClamWin   devel-20040517/20040715   found [Trojan.SCO.A]
> eTrustAV-Inoc   4641/20040714   found [Win32/Mydoom.A.Worm]
> F-Prot   3.15/20040715   found [W32/Mydoom.A]
> Kaspersky   4.0.2.23/20040716   found [I-Worm.Mydoom.a]
> ...


Как и следовало ожифать все его знают.
Дальше весело. В оригинальном виде червь запакован одной из старых версий UPX.
Распакуем и повторим проверку.



> Scan results
>  File: Copy of Mydoom.exe
>  Date: 07/16/2004 15:31:33
> ----
> BitDefender   7.0/20040716   found [[email protected]]
> ClamWin   devel-20040517/20040715   found nothing
> eTrustAV-Inoc   4641/20040714   found nothing
> F-Prot   3.15/20040715   found nothing
> Kaspersky   4.0.2.23/20040716   found [I-Worm.Mydoom.a]
> ...


ClamWin devel-20040517,eTrustAV-Inoc 4641, F-Prot 3.15, McAfee 4377, Norman 5.70.10, Panda 7.02.00 не знают паковщиков.
Теперь запакуем его aspack



> Scan results
>  File: Mydoom aspack.exe
>  Date: 07/16/2004 15:31:52
> ----
> BitDefender   7.0/20040716   found [[email protected]]
> ClamWin   devel-20040517/20040715   found nothing
> eTrustAV-Inoc   4641/20040714   found nothing
> F-Prot   3.15/20040715   found nothing
> Kaspersky   4.0.2.23/20040716   found [I-Worm.Mydoom.a]
> ...


Итак, Symantec 8.0 и TrendMicro 7.000 с паковщиками тоже не дружат.

Теперь натравим на червячка AvSpoffer



> Scan results
>  File: Mydoom spoofed2.exe
>  Date: 07/16/2004 15:21:56
> ----
> BitDefender   7.0/20040716   found [[email protected]]
> ClamWin   devel-20040517/20040715   found nothing
> eTrustAV-Inoc   4641/20040714   found nothing
> F-Prot   3.15/20040715   found nothing
> Kaspersky   4.0.2.23/20040716   found [I-Worm.Mydoom.a]
> ...


Все кто его теперь не обнаружил не имеют эмулятора кода. Как видно большинство.

Ну и, как Вы понимаете, гвоздь нашей программы AvSpoffer и после этого aspack



> Scan results
>  File: Mydoom spoofed ASPack.exe
>  Date: 07/16/2004 18:13:03
> ----
> BitDefender   7.0/20040716   found [W[email protected]]
> ClamWin   devel-20040517/20040715   found nothing
> eTrustAV-Inoc   4641/20040715   found nothing
> F-Prot   3.15/20040716   found nothing
> Kaspersky   4.0.2.23/20040716   found [I-Worm.Mydoom.a]
> ...


Как видите, только 3 антивируса поймали червячка
*BitDefender 7.0, Kaspersky 4.0.2.23, и Sybari 7.5.1314*При чём Sybari не считается, поскольку просто включает в себя много движков, в том числе, если судить по названию вируса, Каспера.

Кстати, все модификации обнаруживаются и ДрВебом  :Smiley: 
Так что делайте выводы  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Zveroboy

> Кстати, все модификации обнаруживаются и ДрВебом


Абсолютно согласен!!!
Аналогичные тесты проводил с Netbus.
ДрВебу равных не было!

----------


## Geser

А вот результаты тестирования на диких троянчиках:

Scan results
 File: Dreamweaver_MX_CRAC0.exe
 Date: 09/05/2004 22:28:18
----
BitDefender   7.0/20040905   found [Backdoor.SDBot.Gen]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [Worm.P2P.SpyBot.gen]
McAfee   4389/20040901   found [W32/Spybot.worm.gen.m]
NOD32v2   1.861/20040904   found [Win32/SpyBot.AFI]
Norman   5.70.10/20040903   found [W32/Backdoor]
Panda   7.02.00/20040905   found [W32/Spybot.gen.worm]
Sybari   7.5.1314/20040905   found [Worm.P2P.SpyBot.gen]
Symantec   8.0/20040905   found [W32.Spybot.Worm]
TrendMicro   7.000/20040901   found nothing

Scan results
 File: trojan_construction_kit.exe
 Date: 09/05/2004 22:25:47
----
BitDefender   7.0/20040905   found [Win32.P2P.SpyBot.Gen]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [Worm.P2P.SpyBot.gen]
McAfee   4389/20040901   found [W32/Sdbot.worm.gen.j]
NOD32v2   1.861/20040904   found [Win32/SpyBot.ACP]
Norman   5.70.10/20040903   found [W32/HLLW.Gaobot_based.F]
Panda   7.02.00/20040905   found [Worm Generic]
Sybari   7.5.1314/20040905   found [W32/HLLW.Gaobot_based.]
Symantec   8.0/20040905   found [W32.Spybot.Worm]
TrendMicro   7.000/20040901   found nothing

Scan results
 File: halo-keygen.exe
 Date: 09/05/2004 22:26:17
----
BitDefender   7.0/20040905   found [Win32.P2P.SpyBot.Gen]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [Worm.P2P.SpyBot.gen]
McAfee   4389/20040901   found [W32/Spybot.worm.gen.a]
NOD32v2   1.861/20040904   found [probably unknown NewHeur_PE]
Norman   5.70.10/20040903   found [W32/Backdoor]
Panda   7.02.00/20040905   found nothing
Sybari   7.5.1314/20040905   found [W32/Spybot.worm.gen.a]
Symantec   8.0/20040905   found [W32.Spybot.Worm]
TrendMicro   7.000/20040901   found nothing

Scan results
 File: Counter-Strike CD Key-Generator.exe
 Date: 09/05/2004 21:56:47
----
BitDefender   7.0/20040905   found [Trojan.Downloader.Small.JF]
ClamWin   devel-20040822/20040905   found [Trojan.Downloader.Small.JF]
Kaspersky   4.0.2.24/20040905   found [TrojanDownloader.Win32.Small.jl]
McAfee   4389/20040901   found nothing
NOD32v2   1.861/20040904   found [Win32/TrojanDownloader.Small.JG]
Norman   5.70.10/20040903   found nothing
Panda   7.02.00/20040905   found [Trj/Downloader.EO]
Sybari   7.5.1314/20040905   found [Troj/Small-JG]
Symantec   8.0/20040905   found nothing
TrendMicro   7.000/20040901   found [TROJ_SMALL.CC]

Scan results
 File: Adobe PhotoShop 7.0 serial key.exe
 Date: 09/05/2004 21:52:53
----
BitDefender   7.0/20040905   found [TrojanDropper.Win32.Small.E]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [TrojanDropper.Win32.Small.e]
McAfee   4389/20040901   found [MultiDropper-BD]
NOD32v2   1.861/20040904   found [Win32/TrojanDropper.Small.E]
Norman   5.70.10/20040903   found [W32/Backdoor]
Panda   7.02.00/20040905   found nothing
Sybari   7.5.1314/20040905   found [MultiDropper-BD]
Symantec   8.0/20040905   found nothing
TrendMicro   7.000/20040901   found nothing

Scan results
 File: Battlefied1942 Pack4 (crack+bloodpatch) (20.exe
 Date: 09/05/2004 21:49:26
----
BitDefender   7.0/20040905   found [Win32.Worm.P2P.SdDrop.C]
ClamWin   devel-20040822/20040905   found [Worm.SdDrop.A]
Kaspersky   4.0.2.24/20040905   found [Worm.P2P.SdDrop.c]
McAfee   4389/20040901   found [W32/Sddrop.worm]
NOD32v2   1.861/20040904   found [Win32/Sddrop.C]
Norman   5.70.10/20040903   found [SDDrop.C]
Panda   7.02.00/20040905   found nothing
Sybari   7.5.1314/20040905   found [W32/KWBot-E]
Symantec   8.0/20040905   found [W32.Kwbot.F.Worm]
TrendMicro   7.000/20040901   found [WORM_SDDROP.C]

Scan results
 File: trojan.exe
 Date: 09/05/2004 21:40:41
----
BitDefender   7.0/20040905   found [Backdoor.Evilbot.B]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [Backdoor.Evilbot.a]
McAfee   4389/20040901   found [BackDoor-OG]
NOD32v2   1.861/20040904   found [Win32/Brat]
Norman   5.70.10/20040903   found nothing
Panda   7.02.00/20040905   found [Bck/Brat.A]
Sybari   7.5.1314/20040905   found [W32/Evilbot.]
Symantec   8.0/20040905   found nothing
TrendMicro   7.000/20040901   found nothing

Scan results
 File: NBA2003_crack.exe
 Date: 09/05/2004 21:39:12
----
BitDefender   7.0/20040905   found [Win32.P2P.SpyBot.Gen]
ClamWin   devel-20040822/20040905   found nothing
Kaspersky   4.0.2.24/20040905   found [Worm.P2P.SpyBot.gen]
McAfee   4389/20040901   found [W32/Spybot.worm.gen.a]
NOD32v2   1.861/20040904   found [probably unknown NewHeur_PE]
Norman   5.70.10/20040903   found [W32/Malware]
Panda   7.02.00/20040905   found [W32/Spybot.gen.worm]
Sybari   7.5.1314/20040905   found [Worm.P2P.SpyBot.gen]
Symantec   8.0/20040905   found nothing
TrendMicro   7.000/20040901   found nothing

DrWeb определил все.

----------


## userr

Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?

----------


## serge

> Такой вопрос:
> берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?


Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).

----------


## userr

> Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).


А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)

----------


## Geser

> А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)


Не бывает  :Smiley:

----------


## Dr.Xmas

> Не бывает


можно сделать, но это (проверка текущих процессов) очень ресурсоёмкий процесс. пользователь застрелится первым   :Wink:

----------


## maXmo

> А Спайдер не следит постоянно за активностью в памяти?


не помню, я писал про ето?


> Реализовано принудительное сканирование *файлов* запущенных процессов при старте SpIDer Guard и при подгрузке обновлений вирусной базы

----------


## Geser

Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы 

Scanner  Malware name  Time taken  
AntiVir  X  5.06 seconds  
Avast  X  7.62 seconds  
BitDefender  [email protected]  13.47 seconds  
ClamAV  X  7.49 seconds  
Dr.Web  Win32.HLLM.Beagle.18848  9.34 seconds  
F-Prot Antivirus  W32/[email protected]  0.71 seconds  
Kaspersky Anti-Virus  I-Worm.Bagle.at  6.59 seconds  
mks_vir  X  1.70 seconds  
NOD32  X  2.23 seconds  
Norman Virus Control  X  1.04 seconds

----------


## maXmo

а откуда такие времена проверки?

----------


## Geser

> а откуда такие времена проверки?


http://virusscan.jotti.dhs.org/

----------


## maXmo

не, *почему* такие астрономические величины?

----------


## Geser

> не, *почему* такие астрономические величины?


Там же параллельно могут несколько сканов выполняться.
Вот, забавно  :Smiley: 
Scanner  Malware name  Time taken  
AntiVir  Worm/Rbot.SK  1.30 seconds  
Avast  X  4.57 seconds  
BitDefender  X  2.86 seconds  
ClamAV  X  8.95 seconds  
Dr.Web  Win32.HLLW.MyBot  4.83 seconds  
F-Prot Antivirus  X  0.70 seconds  
Kaspersky Anti-Virus  X  4.74 seconds  
mks_vir  X  1.79 seconds  
NOD32  X  2.70 seconds  
Norman Virus Control  X  1.16 seconds

----------


## maXmo

санина поделка что ли? :-X

----------


## Geser

> санина поделка что ли? :-X


Не. Просто видно что есть троянчики которые ДрВеб знает, а каспер нет  :Smiley:

----------


## Alexey P.

> Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы 
> 
> Scanner  Malware name  Time taken  
> ClamAV  X  7.49 seconds  
> 
> Dr.Web  Win32.HLLM.Beagle.18848  9.34 seconds  
> F-Prot Antivirus  W32/[email protected]  0.71 seconds  
> Kaspersky Anti-Virus  I-Worm.Bagle.at  6.59 seconds


 Брехня. ClamAV этот вирь начал раньше дрвеба детектить. 
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
 virustotal хоть время обновления баз выводит, там более корректно все.

 Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.

----------


## Geser

> Брехня. ClamAV этот вирь начал раньше дрвеба детектить. 
> Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
>  virustotal хоть время обновления баз выводит, там более корректно все.
> 
>  Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.


Тогда выходит что некоторые антивирусы обновляются часто, а некоторые редко. Странно.

----------


## azza

> Брехня. ClamAV этот вирь начал раньше дрвеба детектить. 
> Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
>  virustotal хоть время обновления баз выводит, там более корректно все.
> 
>  Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.


Всё объясняется гораздо проще. Ты отправляешь вирус Кламу. Там он быстро проверяется у jotti. Если ДрВеб,  Каспер, или другой антивирь вирус детектят, тебе следует ответ, что вирус известный, а тем временем сигнатура добавляется в базу.  :Smiley:

----------


## Geser

File:  iinstall.exe  
Status:  INFECTED/MALWARE  
Packers detected:  UPX 

AntiVir  TR/Dldr.IstBar.FY.2 (1.24 seconds taken) 
Avast  No viruses found (4.59 seconds taken) 
BitDefender  No viruses found (3.22 seconds taken) 
ClamAV  No viruses found (3.08 seconds taken) 
Dr.Web  Trojan.Isbar.92 (4.67 seconds taken) 
F-Prot Antivirus  No viruses found (0.43 seconds taken) 
Kaspersky Anti-Virus  TrojanDownloader.Win32.IstBar.gen (4.48 seconds taken) 
mks_vir  No viruses found (1.95 seconds taken) 
NOD32  No viruses found (2.93 seconds taken) 
Norman Virus Control  No viruses found (4.72 seconds taken)

----------


## Geser

Ещё интересные результаты:

Упаковка Stealth PE

File: hxdef100.exe 
Status: INFECTED/MALWARE 
Packers detected: PE_PATCH 

AntiVir BDS/Hacdef.084 (1.25 seconds taken) 
Avast No viruses found (4.60 seconds taken) 
BitDefender No viruses found (2.80 seconds taken) 
ClamAV Trojan.Hackdef.084-prog (2.91 seconds taken) 
Dr.Web BackDoor.HackDef.84 (6.86 seconds taken) 
F-Prot Antivirus No viruses found (0.38 seconds taken) 
Kaspersky Anti-Virus Backdoor.HacDef.084 (4.29 seconds taken) 
mks_vir Trojan.Hacdef.084 (1.37 seconds taken) 
NOD32 No viruses found (2.36 seconds taken) 
Norman Virus Control No viruses found (4.01 seconds taken)

Даже если сделать как советует автор, иупаковать сначала UPX, а потом Hide PE, то:
File: hxdef100bak.exe 
Status: INFECTED/MALWARE 
Packers detected: None 

AntiVir No viruses found (1.29 seconds taken) 
Avast No viruses found (4.63 seconds taken) 
BitDefender No viruses found (6.12 seconds taken) 
ClamAV Trojan.Hackdef.084-prog (3.06 seconds taken) 
Dr.Web BackDoor.HackDef.84 (4.88 seconds taken) 
F-Prot Antivirus No viruses found (0.58 seconds taken) 
Kaspersky Anti-Virus Backdoor.Win32.HacDef.084 (4.36 seconds taken) 
mks_vir No viruses found (2.12 seconds taken) 
NOD32 No viruses found (3.39 seconds taken) 
Norman Virus Control No viruses found (7.94 seconds taken) 

Паковщик, как видно не определяется, а вот троян определяется хорошими антивирусами  :Wink: 

Теперь UPX, а потом Stealth PE 

File: hxdef100.exe 
Status: INFECTED/MALWARE 
Packers detected: PE_PATCH 

AntiVir No viruses found (1.97 seconds taken) 
Avast No viruses found (4.60 seconds taken) 
BitDefender No viruses found (4.05 seconds taken) 
ClamAV No viruses found (3.00 seconds taken) 
*Dr.Web BackDoor.HackDef.84*  (4.80 seconds taken) 
F-Prot Antivirus No viruses found (0.64 seconds taken) 
*Kaspersky Anti-Virus Backdoor.Win32.HacDef.084*  (4.87 seconds taken) 
mks_vir No viruses found (2.20 seconds taken) 
NOD32 No viruses found (3.05 seconds taken) 
Norman Virus Control No viruses found (10.24 seconds taken) 

Такие вот дела  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Вот ещё о скорости реакции антивирусных фирм. 2 дня назад запостил на Вирустотал троянчик. А они, как известно, разсылают новые вирусы антивирусным фирмам. Сегорня проверил кто уже детектит его:

Antivirus Version Update Result 
BitDefender 7.0 11.13.2004 Backdoor.Small.BQ 
ClamWin devel-20041018 11.11.2004 - 
eTrust-Iris 7.1.194.0 11.13.2004 - 
F-Prot 3.15b 11.12.2004 - 
Kaspersky 4.0.2.24 11.13.2004 Backdoor.Win32.Small.bq 
NOD32v2 1.922 11.12.2004 Win32/Small.BQ 
Norman 5.70.10 11.12.2004 - 
Panda 7.02.00 11.13.2004 - 
Sybari 7.5.1314 11.13.2004 Backdoor.Win32.Small.bq 
Symantec 8.0 11.12.2004 W32.Scard 

Norman, Panda, ClamWin, eTrust-Iris, F-Prot так и не добавили дроян в базы.

----------


## Geser

Results of a file scan
This is the report of the scanning done over "qwe4820.dll" file that VirusTotal processed on 11/27/2004 at 10:56:08.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Backdoor.Agent.EH 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Agent.eh 
NOD32v2 1.935 11.26.2004 Win32/Agent.EH 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Bck/Agent.BU 
Sybari 7.5.1314 11.27.2004 Backdoor.Win32.Agent.eh 
Symantec 8.0 11.26.2004 - 



Results of a file scan
This is the report of the scanning done over "SCardSer.exe" file that VirusTotal processed on 11/27/2004 at 10:57:16.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Backdoor.Small.BQ 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk named W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Small.bq 
NOD32v2 1.935 11.26.2004 Win32/Small.BQ 
Norman 5.70.10 11.25.2004 Golten.A 
Panda 7.02.00 11.26.2004 Bck/Cudgy.A 
Sybari 7.5.1314 11.27.2004 W32/Mofei-F 
Symantec 8.0 11.26.2004 W32.Scard 



Results of a file scan
This is the report of the scanning done over "3_1_._s" file that VirusTotal processed on 11/27/2004 at 12:12:02.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 JS.Trojan.Seeker.S 
ClamWin devel-20041018 11.26.2004 Trojan.JS.Startpage.C 
eTrust-Iris 7.1.194.0 11.27.2004 JScript/VMException.Exploit.Troj 
F-Prot 3.15b 11.24.2004 JS/Seeker 
Kaspersky 4.0.2.24 11.27.2004 Trojan.JS.Fav 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 JS/IEstart.gen.c 
Symantec 8.0 11.26.2004 JS.Exception.Exploit 



Results of a file scan
This is the report of the scanning done over "5-2-145-58_1_._xe" file that VirusTotal processed on 11/27/2004 at 12:12:59.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Application.Dialer.Kirk 
ClamWin devel-20041018 11.26.2004 Dialer-153 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 - 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Dialer.Gen 
Sybari 7.5.1314 11.27.2004 Dial/190-A 
Symantec 8.0 11.26.2004 - 



Results of a file scan
This is the report of the scanning done over "8MSO-Patch-0035.exe.safe" file that VirusTotal processed on 11/27/2004 at 12:14:30.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 - 
ClamWin devel-20041018 11.26.2004 Lirva-B 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 - 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 - 
Symantec 8.0 11.26.2004 - 


Results of a file scan
This is the report of the scanning done over "38server.ex" file that VirusTotal processed on 11/27/2004 at 12:24:51.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Downloader.Apher.Gen 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 - 
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Apher.070 
Norman 5.70.10 11.25.2004 Slacke.A 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 Win32.DlFeer 
Symantec 8.0 11.26.2004 - 



Results of a file scan
This is the report of the scanning done over "actalert.ex" file that VirusTotal processed on 11/27/2004 at 12:30:44.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Downloader.Dyfuca.CR 
ClamWin devel-20041018 11.26.2004 Trojan.Dyfuca-17 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk named W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Dyfuca.cr 
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Dyfica.CR 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Spyware/Dyfuca 
Sybari 7.5.1314 11.27.2004 Trojan.DL.Dyfuca.AS 
Symantec 8.0 11.26.2004 - 



Results of a file scan
This is the report of the scanning done over "actalert.ex" file that VirusTotal processed on 11/27/2004 at 12:30:44.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Downloader.Dyfuca.CR 
ClamWin devel-20041018 11.26.2004 Trojan.Dyfuca-17 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk named W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Dyfuca.cr 
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Dyfica.CR 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Spyware/Dyfuca 
Sybari 7.5.1314 11.27.2004 Trojan.DL.Dyfuca.AS 
Symantec 8.0 11.26.2004 - 


Results of a file scan
This is the report of the scanning done over "conscorr.ex" file that VirusTotal processed on 11/27/2004 at 12:34:42.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Downloader.Stubby.C 
ClamWin devel-20041018 11.26.2004 Trojan.Stubby.113 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk named W32/Stubby.B 
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.Stubby.c 
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.Stubby.C 
Norman 5.70.10 11.25.2004 W32/Stubby.C 
Panda 7.02.00 11.26.2004 Adware/IPInsight 
Sybari 7.5.1314 11.27.2004 Trojan.DL.Stubby.B 
Symantec 8.0 11.26.2004 - 


Results of a file scan
This is the report of the scanning done over "dmstwe.ex" file that VirusTotal processed on 11/27/2004 at 12:37:22.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 - 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 Win32/Cudgy.B.Trojan 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 Trojan-Downloader.Win32.Small.aao 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 Win32/Cudgy.B.Trojan 
Symantec 8.0 11.26.2004 W32.Scard 


Results of a file scan
This is the report of the scanning done over "eplrr9.dll" file that VirusTotal processed on 11/27/2004 at 12:38:47.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.StartPage.OX 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 Win32/StartPage.JZ.DLL.Trojan 
F-Prot 3.15b 11.24.2004 security risk named W32/Startpage.FU 
Kaspersky 4.0.2.24 11.27.2004 Trojan.Win32.StartPage.ox 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 Win32.Startpage.JZ 
Symantec 8.0 11.26.2004 Trojan.StartPage 



Results of a file scan
This is the report of the scanning done over "FCPAGOFC.CPA" file that VirusTotal processed on 11/27/2004 at 12:39:48.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Win32.Hybris.plugin 
ClamWin devel-20041018 11.26.2004 W95.Hybris.PI.000 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk or a "backdoor" program 
Kaspersky 4.0.2.24 11.27.2004 I-Worm.Hybris.plugin 
NOD32v2 1.935 11.26.2004 Win32/Hybris.plugin 
Norman 5.70.10 11.25.2004 Hybris.Plugin 
Panda 7.02.00 11.26.2004 W32/Hybris.Plugin 
Sybari 7.5.1314 11.27.2004 I-Worm.Hybris.plugin 
Symantec 8.0 11.26.2004 W95.Hybris.Plugin 



Results of a file scan
This is the report of the scanning done over "FOTORAR._XE" file that VirusTotal processed on 11/27/2004 at 12:41:41.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Backdoor.Death.26.C 
ClamWin devel-20041018 11.26.2004 Exploit.JPEG.Comment.F0 
eTrust-Iris 7.1.194.0 11.27.2004 Backdoor/Death Server family 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Death.26.c 
NOD32v2 1.935 11.26.2004 Win32/Death.26.C 
Norman 5.70.10 11.25.2004 W32/Death.2_6C 
Panda 7.02.00 11.26.2004 Bck/Death.26.C 
Sybari 7.5.1314 11.27.2004 BackDoor-FP.svr 
Symantec 8.0 11.26.2004 Backdoor.Death 


Results of a file scan
This is the report of the scanning done over "gngb4ng.ex" file that VirusTotal processed on 11/27/2004 at 12:43:54.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Dropper.Small.GT 
ClamWin devel-20041018 11.26.2004 Trojan.Dropper.Small-8 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 dropper for W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 TrojanDropper.Win32.Small.gt 
NOD32v2 1.935 11.26.2004 Win32/TrojanDropper.Small.GT 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Adware/NetPals 
Sybari 7.5.1314 11.27.2004 TrojanDropper.Win32.Small.gt 
Symantec 8.0 11.26.2004 - 



This is the report of the scanning done over "hot_pleasure._xe" file that VirusTotal processed on 11/27/2004 at 12:51:39.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Dialer.PornDialer.AJ 
ClamWin devel-20041018 11.26.2004 - 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 - 
NOD32v2 1.935 11.26.2004 - 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Dialer.Gen 
Sybari 7.5.1314 11.27.2004 Dial/SiteIcon-A 
Symantec 8.0 11.26.2004 - 



This is the report of the scanning done over "iinstall.ex" file that VirusTotal processed on 11/27/2004 at 12:53:08.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Trojan.Downloader.ISTbar.ST 
ClamWin devel-20041018 11.26.2004 Trojan.Downloader.Istbar-47 
eTrust-Iris 7.1.194.0 11.27.2004 Win32/IstBar.Downloader.Trojan 
F-Prot 3.15b 11.24.2004 security risk named W32/[email protected] 
Kaspersky 4.0.2.24 11.27.2004 TrojanDownloader.Win32.IstBar.gen 
NOD32v2 1.935 11.26.2004 Win32/TrojanDownloader.IstBar.NAN 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 Spyware/ISTbar 
Sybari 7.5.1314 11.27.2004 Trojan.DL.IstBar.BJ1 
Symantec 8.0 11.26.2004 - 


This is the report of the scanning done over "JELMBLJE.ELM" file that VirusTotal processed on 11/27/2004 at 12:55:54.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 I_Worm.Hybris.A.Plugin 
ClamWin devel-20041018 11.26.2004 W95.Hybris.PI.001 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 security risk or a "backdoor" program 
Kaspersky 4.0.2.24 11.27.2004 I-Worm.Hybris.plugin 
NOD32v2 1.935 11.26.2004 Win32/Hybris.plugin 
Norman 5.70.10 11.25.2004 Hybris.Plugin 
Panda 7.02.00 11.26.2004 W32/Hybris.Plugin 
Sybari 7.5.1314 11.27.2004 Hybris.Plugi 
Symantec 8.0 11.26.2004 W95.Hybris.Plugin 



Results of a file scan
This is the report of the scanning done over "keygen._xe" file that VirusTotal processed on 11/27/2004 at 12:59:21.
Antivirus Version Update Result 
BitDefender 7.0 11.26.2004 Backdoor.Delf.SL 
ClamWin devel-20041018 11.26.2004 Exploit.JPEG.Comment.F0 
eTrust-Iris 7.1.194.0 11.27.2004 - 
F-Prot 3.15b 11.24.2004 - 
Kaspersky 4.0.2.24 11.27.2004 Backdoor.Win32.Delf.sl 
NOD32v2 1.935 11.26.2004 probably unknown NewHeur_PE 
Norman 5.70.10 11.25.2004 - 
Panda 7.02.00 11.26.2004 - 
Sybari 7.5.1314 11.27.2004 Backdoor.Win32.Delf.sl 
Symantec 8.0 11.26.2004 Backdoor.Trojan

----------


## maXmo

на вирустотале каспер без дополнительных баз, а кое-каких зверей он именно туда пихает.

----------


## Alexey P.

> на вирустотале каспер без дополнительных баз, а кое-каких зверей он именно туда пихает.


 Да, как раз порнозвонилки, которые в этом тесте не обнаружены, имхо, у него в расширенных.

----------


## Geser

Сважие примеры.
Проверка 4 файлов выловленных на компе

This is the report of the scanning done over "qrvgczjo.exe" file that VirusTotal processed on 12/11/2004 at 12:08:28.
Antivirus Version Update Result 
AntiVir 6.29.0.4 12.10.2004 - 
BitDefender 7.0 12.11.2004 - 
ClamWin devel-20041205 12.10.2004 - 
DrWeb 4.32b 12.11.2004 - 
eTrust-Iris 7.1.194.0 12.11.2004 - 
eTrust-Vet 11.7.0.0 12.10.2004 - 
F-Prot 3.15b 12.10.2004 - 
Kaspersky 4.0.2.24 12.11.2004 Trojan-Dropper.Win32.Small.nn 
NOD32v2 1.945 12.11.2004 - 
Norman 5.70.10 12.10.2004 - 
Panda 7.02.00 12.10.2004 Trj/Dropper.AG 
Sybari 7.5.1314 12.11.2004 Trojan-Dropper.Win32.Small.nn 
Symantec 8.0 12.10.2004 - 



Results of a file scan
This is the report of the scanning done over "eplrr3.dll" file that VirusTotal processed on 12/11/2004 at 12:10:11.
Antivirus Version Update Result 
AntiVir 6.29.0.4 12.10.2004 TR/Proxy.Small.AH.1 
BitDefender 7.0 12.11.2004 Trojan.Proxy.Small.AH 
ClamWin devel-20041205 12.10.2004 - 
DrWeb 4.32b 12.11.2004 Trojan.Proxy.140 
eTrust-Iris 7.1.194.0 12.11.2004 - 
eTrust-Vet 11.7.0.0 12.10.2004 - 
F-Prot 3.15b 12.10.2004 security risk named W32/ProxyAgent.N 
Kaspersky 4.0.2.24 12.11.2004 Trojan-Proxy.Win32.Small.ah 
NOD32v2 1.945 12.11.2004 - 
Norman 5.70.10 12.10.2004 - 
Panda 7.02.00 12.10.2004 - 
Sybari 7.5.1314 12.11.2004 Trojan-Proxy.Win32.Small.ah 
Symantec 8.0 12.10.2004 - 


Results of a file scan
This is the report of the scanning done over "ntosv.dll" file that VirusTotal processed on 12/11/2004 at 12:12:18.
Antivirus Version Update Result 
AntiVir 6.29.0.4 12.10.2004 TR/Drop.Small.NN.1 
BitDefender 7.0 12.11.2004 - 
ClamWin devel-20041205 12.10.2004 - 
DrWeb 4.32b 12.11.2004 - 
eTrust-Iris 7.1.194.0 12.11.2004 - 
eTrust-Vet 11.7.0.0 12.10.2004 - 
F-Prot 3.15b 12.10.2004 - 
Kaspersky 4.0.2.24 12.11.2004 - 
NOD32v2 1.945 12.11.2004 - 
Norman 5.70.10 12.10.2004 - 
Panda 7.02.00 12.10.2004 - 
Sybari 7.5.1314 12.11.2004 - 
Symantec 8.0 12.10.2004 - 


Results of a file scan
This is the report of the scanning done over "cmd32._xe" file that VirusTotal processed on 12/11/2004 at 12:17:16.
Antivirus Version Update Result 
AntiVir 6.29.0.4 12.10.2004 TR/Dldr.Delf.CB 
BitDefender 7.0 12.11.2004 BehavesLike:Trojan.Downloader 
ClamWin devel-20041205 12.10.2004 - 
DrWeb 4.32b 12.11.2004 Trojan.DownLoader.970 
eTrust-Iris 7.1.194.0 12.11.2004 - 
eTrust-Vet 11.7.0.0 12.10.2004 - 
F-Prot 3.15b 12.10.2004 - 
Kaspersky 4.0.2.24 12.11.2004 Trojan-Downloader.Win32.Agent.fm 
NOD32v2 1.945 12.11.2004 Win32/TrojanDownloader.Small.PL 
Norman 5.70.10 12.10.2004 W32/Downloader 
Panda 7.02.00 12.10.2004 - 
Sybari 7.5.1314 12.11.2004 W32/Downloade 
Symantec 8.0 12.10.2004 - 



Как видно Symantec 8.0 и eTrust не поймали вообще ничего, т.е. худший из возможных результатов. КАспер дал лучший результат, 3 из 4.

----------


## Geser

Только что выловил свежий троян Trojan-Dropper

This is the report of the scanning done over "x.chm" file that VirusTotal processed on 12/17/2004 at 16:41:39.
Antivirus Version Update Result 
AntiVir 6.29.0.5 12.17.2004 - 
BitDefender 7.0 12.17.2004 Exploit.Html.Codebase.Exec.Gen 
ClamWin devel-20041205 12.17.2004 - 
DrWeb 4.32b 12.17.2004 - 
eTrust-Iris 7.1.194.0 12.17.2004 - 
eTrust-Vet 11.7.0.0 12.17.2004 - 
F-Prot 3.15b 12.17.2004 - 
Kaspersky 4.0.2.24 12.17.2004 Trojan-Dropper.Win32.Small.oo 
NOD32v2 1.951 12.17.2004 - 
Norman 5.70.10 12.16.2004 - 
Panda 7.02.00 12.17.2004 - 
Sybari 7.5.1314 12.17.2004 Trojan-Dropper.Win32.Small.oo 
Symantec 8.0 12.16.2004 -

----------


## Geser

Проверка последних 3 выловленных зверей:
Service load:  0%        100%  

File:  eplrr3.#ll  
Status:  INFECTED/MALWARE  
Packers detected:  None 

AntiVir  TR/Proxy.Small.AH.1 (0.14 seconds taken) 
Avast  No viruses found (1.51 seconds taken) 
BitDefender  Trojan.Proxy.Corpse.A (0.34 seconds taken) 
ClamAV  No viruses found (0.41 seconds taken) 
Dr.Web  Trojan.Proxy.164 (0.53 seconds taken) 
F-Prot Antivirus  No viruses found (0.07 seconds taken) 
Kaspersky Anti-Virus  Trojan-Proxy.Win32.Small.ah (0.64 seconds taken) 
mks_vir  Trojan.Proxy.Small.Ah.Gen (0.20 seconds taken) 
NOD32  Win32/TrojanProxy.Small.NAA (0.37 seconds taken) 
Norman Virus Control  No viruses found (0.45 seconds taken) 

File:  ibs.#xe  
Status:  INFECTED/MALWARE 
Packers detected:  UPX 

AntiVir  No viruses found (0.15 seconds taken) 
Avast  No viruses found (1.51 seconds taken) 
BitDefender  Trojan.HideDial.B (0.35 seconds taken) 
ClamAV  No viruses found (0.40 seconds taken) 
Dr.Web  Trojan.DownLoader.1360 (0.53 seconds taken) 
F-Prot Antivirus  No viruses found (0.08 seconds taken) 
Kaspersky Anti-Virus  not-a-virus :Stick Out Tongue: orn-Downloader.Win32.TibSystems (0.66 seconds taken) 
mks_vir  No viruses found (0.26 seconds taken) 
NOD32  probably unknown NewHeur_PE (probable variant) (0.47 seconds taken) 

File:  winhost.exe  
Status:  INFECTED/MALWARE 
Packers detected:  UPX 

AntiVir  No viruses found (0.43 seconds taken) 
Avast  No viruses found (3.01 seconds taken) 
BitDefender  No viruses found (1.14 seconds taken) 
ClamAV  No viruses found (0.45 seconds taken) 
Dr.Web  No viruses found (0.59 seconds taken) 
F-Prot Antivirus  No viruses found (0.10 seconds taken) 
Kaspersky Anti-Virus  Trojan.Win32.Delf.hf (0.76 seconds taken) 
mks_vir  No viruses found (0.40 seconds taken) 
NOD32  No viruses found (0.76 seconds taken) 
Norman Virus Control  No viruses found (1.97 seconds taken)

----------


## Geser

This is the report of the scanning done over "__1064" file that VirusTotal processed on 01/12/2005 at 21:06:24.
Antivirus Version Update Result 
AntiVir 6.29.0.5 01.12.2005 - 
BitDefender 7.0 01.12.2005 BehavesLike:Trojan.ShellReg 
ClamAV devel-20041205 01.11.2005 - 
DrWeb 4.32b 01.12.2005 Win32.RAHack 
eTrust-Iris 7.1.194.0 01.12.2005 - 
eTrust-Vet 11.7.0.0 01.12.2005 - 
F-Prot 3.16a 01.12.2005 could be infected with an unknown virus 
Kaspersky 4.0.2.24 01.12.2005 Backdoor.Win32.Agent.go 
NOD32v2 1.969 01.12.2005 Win32/Agent.GO 
Norman 5.70.10 01.11.2005 W32/RAdmin.2_0B 
Panda 8.02.00 01.12.2005 - 
Sybari 7.5.1314 01.12.2005 Backdoor.Win32.Agent.go 
Symantec 8.0 01.12.2005 -

----------


## Geser

This is the report of the scanning done over "__1055" file that VirusTotal processed on 01/12/2005 at 21:12:09.
Antivirus Version Update Result 
AntiVir 6.29.0.5 01.12.2005 - 
BitDefender 7.0 01.12.2005 Dialer.ZZ 
ClamAV devel-20041205 01.11.2005 Trojan.Downloader.Small-216 
DrWeb 4.32b 01.12.2005 Trojan.DownLoader.1412 
eTrust-Iris 7.1.194.0 01.12.2005 - 
eTrust-Vet 11.7.0.0 01.12.2005 - 
F-Prot 3.16a 01.12.2005 - 
Kaspersky 4.0.2.24 01.12.2005 Trojan-Downloader.Win32.Small.agi 
NOD32v2 1.969 01.12.2005 - 
Norman 5.70.10 01.11.2005 - 
Panda 8.02.00 01.12.2005 - 
Sybari 7.5.1314 01.12.2005 Trojan-Downloader.Win32.Small.agi 
Symantec 8.0 01.12.2005 -

----------


## Geser

This is the report of the scanning done over "CRSS.EX" file that VirusTotal processed on 01/15/2005 at 12:22:45.
Antivirus Version Update Result 
AntiVir 6.29.0.7 01.14.2005 TR/PSW.LdPinch.is 
AVG 718 01.14.2005 - 
BitDefender 7.0 01.15.2005 - 
ClamAV devel-20041205 01.14.2005 Trojan.LdPinch-19 
DrWeb 4.32b 01.14.2005 BackDoor.Pinched 
eTrust-Iris 7.1.194.0 01.15.2005 - 
eTrust-Vet 11.7.0.0 01.14.2005 - 
F-Prot 3.16a 01.14.2005 - 
Kaspersky 4.0.2.24 01.15.2005 Trojan-PSW.Win32.LdPinch.is 
NOD32v2 1.971 01.14.2005 probably unknown NewHeur_PE 
Norman 5.70.10 01.14.2005 - 
Panda 8.02.00 01.14.2005 Trj/LdPinch.BJ 
Sybari 7.5.1314 01.15.2005 Trojan-PSW.Win32.PdPinch.gen 
Symantec 8.0 01.14.2005 PWSteal.Ldpinch

----------

*Geser*
А ты не мог бы проверить с использованием MKS_VIR, или выслать на меня - я проверю...

----------


## Geser

> *Geser*
> А ты не мог бы проверить с использованием MKS_VIR, или выслать на меня - я проверю...


В следующий раз постараюсь.

----------

MKS_VIR можно вот тут проверять:
http://virusscan.jotti.dhs.org/

----------


## Geser

Только что поймал за хвост живого трояна. Скацак кряк к одной проге. Вот такая картина:
Results of a file scan
This is the report of the scanning done over "damn_tds-3320._xe" file that VirusTotal processed on 02/07/2005 at 19:19:47 (GMT+1).
Antivirus Version Update Result 
AntiVir 6.29.0.11 02.07.2005 no virus found 
AVG 718 02.07.2005 no virus found 
BitDefender 7.0 02.07.2005 no virus found 
ClamAV devel-20050130 02.04.2005 no virus found 
DrWeb 4.32b 02.07.2005 Trojan.KillFiles.47557 
eTrust-Iris 7.1.194.0 02.06.2005 no virus found 
eTrust-Vet 11.7.0.0 02.07.2005 no virus found 
F-Prot 3.16a 02.05.2005 no virus found 
Kaspersky 4.0.2.24 02.07.2005 Trojan-Dropper.Win32.Small.sd 
NOD32v2 1.992 02.05.2005 no virus found 
Norman 5.70.10 02.03.2005 no virus found 
Panda 8.02.00 02.07.2005 no virus found 
Sybari 7.5.1314 02.07.2005 Trojan-Dropper.Win32.Small.sd 
Symantec 8.0 02.06.2005 no virus found 

Service load:  0%        100%  

File:  damn_tds-3320.#xe  
Status:  INFECTED/MALWARE  
Packers detected:  UPX, ASPACK, FSG 

AntiVir  No viruses found (0.25 seconds taken) 
Avast  Win32:Trojan-gen. (1.59 seconds taken) 
AVG Antivirus  No viruses found (3.61 seconds taken) 
BitDefender  No viruses found (0.74 seconds taken) 
ClamAV  No viruses found (0.42 seconds taken) 
Dr.Web  Trojan.KillFiles.47557 (0.57 seconds taken) 
F-Prot Antivirus  No viruses found (0.75 seconds taken) 
Fortinet  No viruses found (0.53 seconds taken) 
Kaspersky Anti-Virus  Trojan-Dropper.Win32.Small.sd (0.71 seconds taken) 
mks_vir  No viruses found (0.37 seconds taken) 
NOD32  No viruses found (0.58 seconds taken) 
Norman Virus Control  No viruses found (1.56 seconds taken) 

Кстати, ВБА его поределяет  :Smiley:  Похоже пора вносить ВБА в список рекомендуемых  :Smiley: 

Кстати, зашел на http://virusscan.jotti.dhs.org/ и увидел еще одну картину:

Scanner  Malware name  Time taken  
AntiVir  X  0.23 seconds  
Avast  X  1.51 seconds  
AVG Antivirus  X  0.84 seconds  
BitDefender  X  0.38 seconds  
ClamAV  X  0.42 seconds  
Dr.Web  BackDoor.HackDef.84  0.57 seconds  
F-Prot Antivirus  X  0.47 seconds  
Fortinet  X  0.43 seconds  
Kaspersky Anti-Virus  Backdoor.Win32.HacDef.084  0.73 seconds  
mks_vir  X  0.22 seconds  
NOD32  X  0.52 seconds  
Norman Virus Control  X  1.06 seconds  

Как говорится, думайте сами, решайте сами  :Smiley:

----------


## Geser

Results of a file scan
This is the report of the scanning done over "ipreg32.dll" file that VirusTotal processed on 02/07/2005 at 20:14:04 (GMT+1).
Antivirus Version Update Result 
AntiVir 6.29.0.11 02.07.2005 no virus found 
AVG 718 02.07.2005 no virus found 
BitDefender 7.0 02.07.2005 no virus found 
ClamAV devel-20050130 02.04.2005 no virus found 
DrWeb 4.32b 02.07.2005 no virus found 
eTrust-Iris 7.1.194.0 02.06.2005 Win32/SillyDL.DQ!DLL!Trojan 
eTrust-Vet 11.7.0.0 02.07.2005 Win32.SillyDl.DQ 
F-Prot 3.16a 02.05.2005 no virus found 
Kaspersky 4.0.2.24 02.07.2005 Trojan-Downloader.Win32.Domcom.b 
NOD32v2 1.992 02.05.2005 Win32/TrojanDownloader.Domcom.A 
Norman 5.70.10 02.03.2005 no virus found 
Panda 8.02.00 02.07.2005 Spyware/Iehelp 
Sybari 7.5.1314 02.07.2005 Downloader-TW 
Symantec 8.0 02.06.2005 no virus found

----------


## Andrey

Ну и что? Не сегодня - завтра добавят.
В сети по 200-300 штук malware в день появляется, а AV конторы пока телепатов не держат  :Wink: .

----------


## Geser

> Ну и что? Не сегодня - завтра добавят.
> В сети по 200-300 штук malware в день появляется, а AV конторы пока телепатов не держат .


Так всё дело в том, кто быстрее работает  :Smiley: 
А некоторые и через месяц не добавят, не только завтра. Проверял и не только я.

----------


## Geser

Results of a file scan
This is the report of the scanning done over "hhnt._xe" file that VirusTotal processed on 02/08/2005 at 22:27:13 (GMT+1).
Antivirus Version Update Result 
AntiVir 6.29.0.11 02.08.2005 TR/StartPage.of 
AVG 718 02.07.2005 no virus found 
BitDefender 7.0 02.08.2005 no virus found 
ClamAV devel-20050130 02.08.2005 no virus found 
DrWeb 4.32b 02.08.2005 Trojan.DownLoader.1340 
eTrust-Iris 7.1.194.0 02.08.2005 no virus found 
eTrust-Vet 11.7.0.0 02.08.2005 no virus found 
Fortinet 2.51 02.08.2005 no virus found 
F-Prot 3.16a 02.08.2005 no virus found 
Kaspersky 4.0.2.24 02.08.2005 Trojan.Win32.Qhost.al 
NOD32v2 1.993 02.07.2005 no virus found 
Norman 5.70.10 02.07.2005 no virus found 
Panda 8.02.00 02.08.2005 Trj/StartPage.OF 
Sybari 7.5.1314 02.08.2005 Trojan.Qhost.I 
Symantec 8.0 02.08.2005 no virus found 

Results of a file scan
This is the report of the scanning done over "ysbactivex.dll" file that VirusTotal processed on 02/08/2005 at 22:29:51 (GMT+1).
Antivirus Version Update Result 
AntiVir 6.29.0.11 02.08.2005 no virus found 
AVG 718 02.07.2005 no virus found 
BitDefender 7.0 02.08.2005 no virus found 
ClamAV devel-20050130 02.08.2005 Trojan.Downloader.Istbar-59 
DrWeb 4.32b 02.08.2005 no virus found 
eTrust-Iris 7.1.194.0 02.08.2005 no virus found 
eTrust-Vet 11.7.0.0 02.08.2005 no virus found 
Fortinet 2.51 02.08.2005 no virus found 
F-Prot 3.16a 02.08.2005 no virus found 
Kaspersky 4.0.2.24 02.08.2005 Trojan-Downloader.Win32.IstBar.gz 
NOD32v2 1.993 02.07.2005 no virus found 
Norman 5.70.10 02.07.2005 no virus found 
Panda 8.02.00 02.08.2005 Spyware/YourSiteBar 
Sybari 7.5.1314 02.08.2005 Trojan-Downloader.Win32.IstBar.gz 
Symantec 8.0 02.08.2005 no virus found 


Results of a file scan
This is the report of the scanning done over "ppc.dll" file that VirusTotal processed on 02/08/2005 at 22:31:34 (GMT+1).
Antivirus Version Update Result 
AntiVir 6.29.0.11 02.08.2005 TR/Click.Delf.BC 
AVG 718 02.07.2005 no virus found 
BitDefender 7.0 02.08.2005 Trojan.Clicker.Delf.BC 
ClamAV devel-20050130 02.08.2005 no virus found 
DrWeb 4.32b 02.08.2005 no virus found 
eTrust-Iris 7.1.194.0 02.08.2005 no virus found 
eTrust-Vet 11.7.0.0 02.08.2005 no virus found 
Fortinet 2.51 02.08.2005 no virus found 
F-Prot 3.16a 02.08.2005 no virus found 
Kaspersky 4.0.2.24 02.08.2005 Trojan-Clicker.Win32.Delf.bc 
NOD32v2 1.993 02.07.2005 no virus found 
Norman 5.70.10 02.07.2005 no virus found 
Panda 8.02.00 02.08.2005 no virus found 
Sybari 7.5.1314 02.08.2005 Trojan-Clicker.Win32.Delf.bc 
Symantec 8.0 02.08.2005 no virus found

----------


## jack

Интересный результат сканирования файла зараженного 
Email-Worm.Win32.Bagle.pac после простого архивирования в WinRare. Symantec меня все больше и больше разочаровывает.

Antivirus Version Update Result 
AntiVir 6.30.0.5 03.07.2005 no virus found 
AVG 718 03.04.2005 I-Worm/Bagle.BX 
BitDefender 7.0 03.06.2005 [email protected] 
ClamAV devel-20050130 03.06.2005 Worm.Bagle.BA-RAR 
DrWeb 4.32b 03.07.2005 Win32.HLLM.Beagle.33792 
eTrust-Iris 7.1.194.0 03.06.2005 no virus found 
eTrust-Vet 11.7.0.0 03.07.2005 no virus found 
Fortinet 2.51 03.05.2005 W32/Mitglieder.CD.gen-tr 
F-Prot 3.16a 03.07.2005 security risk named W32/Mitglieder.gen 
Ikarus 2.32 03.06.2005 no virus found 
Kaspersky 4.0.2.24 03.07.2005 Email-Worm.Win32.Bagle.pac 
NOD32v2 1.1019 03.06.2005 Win32/Bagle.BA 
Norman 5.70.10 03.07.2005 no virus found 
Panda 8.02.00 03.06.2005 Trj/Mitglieder.BO 
Sybari 7.5.1314 03.07.2005 Win32.Glieder.S 
Symantec 8.0 03.07.2005 no virus found

----------


## Geser

> Интересный результат сканирования файла зараженного 
> Email-Worm.Win32.Bagle.pac после простого архивирования в WinRare. Symantec меня все больше и больше разочаровывает.
> 
> Antivirus Version Update Result 
> AntiVir 6.30.0.5 03.07.2005 no virus found 
> AVG 718 03.04.2005 I-Worm/Bagle.BX 
> BitDefender 7.0 03.06.2005 [email protected] 
> ClamAV devel-20050130 03.06.2005 Worm.Bagle.BA-RAR 
> DrWeb 4.32b 03.07.2005 Win32.HLLM.Beagle.33792 
> ...


Не вижу ничего неожиданного.
Лидеры DrWeb, Kaspersky, BitDefender знают его, как и положено. Norman вообще пародия на антивирус, как и Symantec и eTrust. Ikarus вообще что за чудо? :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## jack

Дело в том что, перед архивацией все антивирусы кроме Normana знали его, включая Ikarus :Smiley:

----------


## Geser

> Дело в том что, перед архивацией все антивирусы кроме Normana знали его, включая Ikarus


А, я протормозил  :Smiley: 
WinRar наверное последней версии (новая какая-нить вышла?)? Видимо не все добавили еще поддержку. Либо не все антивирусы настроены на сканирование архивов.

----------


## jack

Да нет, версия 2.9 :Smiley:

----------


## Geser

> Да нет, версия 2.9


Странно. Семантек конечно дрянь, но я не думаю что они не умеют распаковывать rar.

----------


## jack

Продолжая поиски вирусов и сравнение антивирусов, я обнаружил сайт где много старых вирусов можно скачать.
http://www.nvkz.kuzbass.net/as/
Я много потестировал на virustotal.Большинство, конечно, обнаружилось. 
Но не все. Первичные выводы :
Ikarus, или не умеет или не настроен сканировать архивы, т.к. он не определил ни одного вируса
NOD32 - не обнаружил около 5%.А на многие ругался привычно
an unknown  virus....
был также обнаружен вирус, который не детектится ни Касперским ни Вебом.Высылаю на анализ.
This is a report processed by VirusTotal on 03/11/2005 at 23:59:45 (CET) after scanning the file "CASCPHAN.ZIP" file.
Antivirus Version Update Result 
AntiVir 6.30.0.5 03.11.2005 1701/1704-Cascade 
AVG 718 03.11.2005 no virus found 
BitDefender 7.0 03.11.2005 Tenbytes.1554.A 
ClamAV devel-20050307 03.10.2005 Gen.1701.1704 Cascade Related 
DrWeb 4.32b 03.11.2005 no virus found 
eTrust-Iris 7.1.194.0 03.11.2005 no virus found 
eTrust-Vet 11.7.0.0 03.11.2005 Casc Phantom 
Fortinet 2.51 03.11.2005 no virus found 
F-Prot 3.16a 03.11.2005 no virus found 
Ikarus 2.32 03.11.2005 no virus found 
Kaspersky 4.0.2.24 03.11.2005 no virus found 
McAfee 4445 03.11.2005 Cascade.dr 
NOD32v2 1.1024 03.11.2005 no virus found 
Norman 5.70.10 03.10.2005 no virus found 
Panda 8.02.00 03.11.2005 no virus found 
Sybari 7.5.1314 03.11.2005 Casc Phantom 
Symantec 8.0 03.11.2005 no virus found

----------

Ну вот ещё один недели 2 назад как выловил -
Scanner ***Malware name ***
AntiVir ***X ***
Avast ***X ***
AVG Antivirus ***X ***
BitDefender ***X ***
ClamAV ***X ***
Dr.Web ***BackDoor.Dumaru ***
F-Prot Antivirus ***X ***
Fortinet ***W32/Dumaru.fam-mm ***
Kaspersky Anti-Virus ***X ***
mks_vir ***Win32 ***
NOD32 ***probably unknown NewHeur_PE ***
Norman Virus Control ***Sandbox: W32/Malware

----------

