PDA

Просмотр полной версии : Проверка эвристических механизмов при помощи программных закладок.



Andrey
08.12.2004, 23:10
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.

http://www.stocona.ru/download/bugs.html

Проверка антивируса Kaspersky Personal 5.0
http://www.stocona.ru/download/files/TestKaspersky.zip

Проверка антивируса Norton Antivirus 2004
http://www.stocona.ru/download/files/TestSymantec.zip

Проверка антивируса Dr.Web for Windows (v. 4.31b)
http://www.stocona.ru/download/files/TestDrWeb.zip

Проверка антивируса Panda Antivirus Titanium 2004 (3.00.00)
http://www.stocona.ru/download/files/TestPandaAntivirus.zip

Проверка антивируса NOD32 Anti-virus Program (v. 2.0)
http://www.stocona.ru/download/files/TestNOD32.zip

Тестовая программа для проверки эвристических механизмов антивирусов Change_normal_dot
http://www.stocona.ru/download/files/Change_normal_dot.zip

Тестовая программа для проверки эвристических механизмов антивирусов TestForKav
http://www.stocona.ru/download/files/testKAV.zip

HATTIFNATTOR
09.12.2004, 19:59
_www.stocona.ru/download/files/TestKaspersky.zip

"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."

KAV 4.5.0.94 определяет оба. Как Macro.Source.

Участковый
09.12.2004, 20:45
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.

По-моему, не более чем попытка рекламы своего продукта.

Andrey
09.12.2004, 21:38
_www.stocona.ru/download/files/TestKaspersky.zip

"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."

KAV 4.0.5.94 определяет оба. Как Macro.Source.

А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.

Geser
09.12.2004, 23:40
А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.

Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.

Andrey
14.01.2005, 13:08
Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.

Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (http://www.finjan.com/SecurityLab/SecurityTestingCenter/) в свои базы. :'(

Geser
14.01.2005, 13:16
Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (http://www.finjan.com/SecurityLab/SecurityTestingCenter/) в свои базы. :'(


Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.

Andrey
14.01.2005, 13:27
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.

Geser
14.01.2005, 13:32
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.


То что детектить макросы так как это делают сейчас не очень умно я согласен. Но сейчас по умолчанию во всех приложениях офиса макросы отключены, так что макровирусам распространяться очень сложно. Потому о них почти ничего и не слышно.

kps
14.01.2005, 20:42
Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.


Совершенно верно. Если детектить, то детектить по сигнатуре не зависимо от расширения, даже если нет расширения.
Кстати, переименовывать файл не всегда обязательно, чтобы его запустить, во многих случаях прокатит файлик, который делает например следующее: WinExec ('С:\VirusName.txt', SW_HIDE);
Думаю, сигнатуру для него тоже нет смысла писать, ведь WinExec стандартная функция.