PDA

Просмотр полной версии : Norman Virus Control



Geser
06.11.2004, 16:30
Я часто пользуюсь вот этим сайтом http://virusscan.jotti.dhs.org/ что бы посмотреть как разные антивирусы знают различные вирусы. Так вот, из всех антивирусов присутствующих в списке Norman Virus Control определяет меньше всех вирусов и троянов.
Не ставьте себе этот антивирус! Это не антивирус, а одна видимость.

File: istsvc.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.IstBa.II.04 (1.47 seconds taken)
Avast Win32:Istbar-Q (4.59 seconds taken)
BitDefender Trojan.Downloader.IstBar.FR (2.60 seconds taken)
ClamAV Trojan.Downloader.Istbar-36 (3.17 seconds taken)
Dr.Web Trojan.Isbar.87 (4.77 seconds taken)
F-Prot Antivirus W32/Istbar.AN@dl (0.59 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.IstBar.fr (4.46 seconds taken)
mks_vir Trojan.Downloader.Istbar.Fr (1.42 seconds taken)
NOD32 Win32/TrojanDownloader.IstBar.FR (3.12 seconds taken)
Norman Virus Control No viruses found (4.04 seconds taken)

File: MulDist.ocx
Status: INFECTED/MALWARE
Packers detected: None

AntiVir TR/Dldr.Dyfuca.X (1.86 seconds taken)
Avast Win32:DyfucDldr-J (4.59 seconds taken)
BitDefender Trojan.Downloader.Dyfuca.X (2.60 seconds taken)
ClamAV Trojan.Dyfuca-8 (3.18 seconds taken)
Dr.Web Trojan.Dyfuca (4.62 seconds taken)
F-Prot Antivirus W32/Dyfuca.U (0.37 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.Dyfuca.x (4.29 seconds taken)
mks_vir Trojan.Downloader.Dyfuca.X (1.37 seconds taken)
NOD32 Win32/TrojanDownloader.Dyfica.X (2.29 seconds taken)
Norman Virus Control No viruses found (1.05 seconds taken)

File: saristar.dll
Status: INFECTED/MALWARE
Packers detected: None

AntiVir No viruses found (1.29 seconds taken)
Avast No viruses found (7.62 seconds taken)
BitDefender Trojan.Downloader.Small.Gen (probable variant) (3.24 seconds taken)
ClamAV No viruses found (3.58 seconds taken)
Dr.Web Trojan.Sarb (5.46 seconds taken)
F-Prot Antivirus W32/Qdialer.Z (0.60 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Dialer.eh (5.23 seconds taken)
mks_vir Dialer.Eh (1.53 seconds taken)
NOD32 Win32/Dialer.EH (2.31 seconds taken)
Norman Virus Control No viruses found (1.44 seconds taken)

11.01.2005, 18:29
Но вот пример как он определяет Trojan.StartPage.365 (Trojan-Downloader.Win32.Delf.gz ):

Sandbox: W32/Downloader; [ General information ]

* File length: 14848 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\ibs.exe.
* Creates file C:\misb.exe.

[ Changes to registry ]
* Creates value "Ibs"="C:\WINDOWS\ibs.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run".

[ Network services ]
* Opens URL: :http:directplugin.com/dialers/125189.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...). (1.20 seconds taken)

Это в режиме SandBox (есть у него такая виртуальная машина).

Geser
11.01.2005, 18:40
Ну и?

11.01.2005, 18:56
Ну и?


Анализатор у него хитрый какой-то, вот он и заинтересовал...
Но качать и подробнее смотреть ломает...

Geser
11.01.2005, 19:07
Анализатор неплохой, но этим анализатором все файлы на диске не провериш :)

13.01.2005, 08:23
Анализатор неплохой, но этим анализатором все файлы на диске не провериш :)


Так смысл не в проверки всех файлов, а только новых и подозрительных. Правда такой развернутый анализ мне удалось получить на еденицах, на остальные молчал, как и антивирус, так и "навороченный" анализатор...

13.01.2005, 09:04
Посмотрел сейчас Virus Bulletin у них есть и 100% результаты (Result summary: 25 passes / 11 fails), но вот такая фраза меня смутила:


When running the on-access scanner over the infected test sets, the number of files detected was at variance each time with the previous occasion

Мутные в общем какие-то ребята...

Andrey
14.01.2005, 12:48
Norman использует, так называемый метод "песочница" (запуск программы на виртуальном PC). И хотя порой он и помогает находит новые вирусы, в целом данный метод пока слабоват. Так-что резонно пользоваться сигнатурным поиском + эвристический анализ.

AntiVir TR/Dldr.Small.VN (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Downloader.Small.VN (0.34 seconds taken)
ClamAV Trojan.Downloader.Small-230 (0.43 seconds taken)
Dr.Web Trojan.DownLoader.970 (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.vn (0.65 seconds taken)
mks_vir Trojan.Downloader.Small.Vn (0.21 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control Sandbox: W32/Downloader; [ General information ]

* Creating several executable files on hard-drive.
* File length: 7168 bytes.

[ Changes to filesystem ]
* Creates file 4.dat.
* Creates file 3.dat.
* Creates file 5.dat.
* Creates file C:\WINDOWS\SYSTEM\intron.exe.
* Creates file C:\WINDOWS\SYSTEM\ir.exe.
* Creates file C:\WINDOWS\SYSTEM\windos.exe.

[ Network services ]
* Opens URL: http://www.??????.biz/adverts/progs/home.exe.
* Opens URL: http://www.??????.biz/adverts/progs/winlogon.exe.
* Opens URL: http://www.??????.biz/adverts/progs/services.exe.

[ Security issues ]
* Starting downloaded file - potential security problem. (0.60 seconds taken)