PDA

Просмотр полной версии : Надо ли добавлять в базу "пустышки"?



15.01.2005, 12:39
Пример:

File: unppc.exe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender BehavesLike:Trojan.StartPage (probable variant) (0.44 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web Trojan.StartPage.362 (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus No viruses found (0.67 seconds taken)
mks_vir No viruses found (0.29 seconds taken)
NOD32 No viruses found (0.50 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 26624 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\system\ppc.rem.

[ Changes to registry ]
* Deletes value "Guard" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run".
* Modifies value "Start Page"="about:blank" in key "HKLM\Software\Microsoft\Internet Explorer\Main".
* Modifies value "Start Page"="about:blank" in key "HKCU\Software\Microsoft\Internet Explorer\Main".

[ Process/window information ]
* Attemps to open regsvr32.exe /s /u C:\WINDOWS\system\ppc.dll. (0.60 seconds taken)

Geser
15.01.2005, 12:52
Не понял что такое "пустышка".

15.01.2005, 12:58
Не понял что такое "пустышка".


Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...

Я специально привел информацию из Sandbox:

Она прописывает about:blank в стартовую страницу.

Geser
15.01.2005, 13:10
Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...

Я специально привел информацию из Sandbox:

Она прописывает about:blank в стартовую страницу.

А зачем? Её об этом разве просили?:)

15.01.2005, 13:15
А зачем? Её об этом разве просили?:)


В принципе да. Это uninstall-ер от Trojan-Clicker.Win32.Delf.bc. Причем сам троян dr.web не находит :)


Dr.Web ® daemon for FreeBSD, version 4.32.2 (2004-11-01)
Copyright © Igor Daniloff, 1992-2004
Engine version: 4.32b
Total 64177 virus-finding records.
>ppc.dll - Ok

Ну полный дебилизм.

Geser
15.01.2005, 14:16
В принципе да. Это uninstall-ер от Trojan-Clicker.Win32.Delf.bc. Причем сам троян dr.web не находит :)Ну полный дебилизм.

Бывает. Значит надо его им послать :)

15.01.2005, 14:40
Значит надо его им послать
Ломает, но так как я VirusTotal использую, по идее должны получить...

15.01.2005, 14:49
Geser
А на основной вопрос то не ответил.... :)

Geser
15.01.2005, 15:07
Geser
А на основной вопрос то не ответил.... :)

Ну не хватает у них людей разбираться. Посмотрели что лезет в реестр и что-то там меняет, вот и добавили. Не трагедия.

15.01.2005, 15:15
Вопрос глубже, такого добра навалом везде.
Причем когда не профи начинают сравнивать антивирусы, то кричат - "а вот этот вирус не лечит", хотя иногда это и не вирус вообще. Это касается и поврежденных файлов и дропов и любого хлама. Получается надо добавлять всем или выкидываить этот мусор из всех....

Geser
15.01.2005, 15:21
Вопрос глубже, такого добра навалом везде.
Причем когда не профи начинают сравнивать антивирусы, то кричат - "а вот этот вирус не лечит", хотя иногда это и не вирус вообще. Это касается и поврежденных файлов и дропов и любого хлама. Получается надо добавлять всем или выкидываить этот мусор из всех....

Повреждённые файлы лучше детектить. Так меньше криков что мол пропускает. Дропперы ясное дело что нужно детектить. А остальное вопрос вкуса. Например, тот же анинсталлер. Если уж сам троян удалён, то зачем анинсталлер нужен на диске? Я за то что бы мусор удалять.

15.01.2005, 15:32
Но тогда его надо всем добавлять....
Просто вот например еще вариант:

VirTool.Magazine

Точно вообще никакого отношения к деструктивным программам не имеет....

Geser
15.01.2005, 15:34
Но тогда его надо всем добавлять....
Просто вот например еще вариант:

VirTool.Magazine

Точно вообще никакого отношения к деструктивным программам не имеет....

И детектируется только расширенными базами. Что очень хорошо для админов крупных сетей в разных фирмах. нефиг всякой фигнёй на работе заниматься. Или в университетах. Ну и т.д.

Xen
16.01.2005, 00:20
вот представь, подхватил ты какую-нибудь хрень, скажем, тот же homepage replacer. Ну ладно, лезешь на эту пагу, внизу мелкими буковками написано "Uninstall", жмешь на линку, начинает качаться анинсталлер, но... не тут то было!

Воют сирены, мигают проблесковые маячки, антивирус орет - No pasaran, обнаружен вирус и хрен вы его скачаете!

Причем на сам replacer может орать, а может и не орать, причем даже если может орать, то вполне может не справлятся с удалением =)

Так что думайте сами, решайте сами.

P.S. описанная ситуация наблюдалась пару раз лично =)

Geser
16.01.2005, 00:27
вот представь, подхватил ты какую-нибудь хрень, скажем, тот же homepage replacer. Ну ладно, лезешь на эту пагу, внизу мелкими буковками написано "Uninstall", жмешь на линку, начинает качаться анинсталлер, но... не тут то было!


Анинсталлер дропает ещё парочку троянов тебе на комп :)

Dr.Xmas
16.01.2005, 00:30
Реально ничего плохого эта программа не делает, в принципе наоборот только хорошее...

Я специально привел информацию из Sandbox:

Она прописывает about:blank в стартовую страницу.

Вируслаб Касперского вставили его как Trojan.Win32.StartPage.tk

Xen
16.01.2005, 00:31
Да не... это как то не принято. Вообще сейчас ведущие коммерческие поисковые системы ввели правила для своих рефов о недопустимости использования спайваря без возможности его удаления из Add/Remove Programs. Так что во многих случаях можно рекомендовать несчастным жертвам в первую очередь заглядывать именно туда. Хотя, конечно, остались и беспредельщики в плане спайваря, причем даже я содрогаюсь, бывает, от того количества всякой хрени, которые выкачивают их лоадеры ;-)

Зайцев Олег
16.01.2005, 00:40
... Вообще сейчас ведущие коммерческие поисковые системы ввели правила для своих рефов о недопустимости использования спайваря без возможности его удаления из Add/Remove Programs ...
И самое смешное - некая пакость может или имень неработающий анинсталлер, или просто работает в невидимом для юзера режиме - как он догадается, что анинсталлить ? :)

Зайцев Олег
16.01.2005, 00:51
File: unppc.exe
Status: INFECTED/MALWARE
Packers detected: UPX

Для того, чтобы услышать наше мнение об этом "звере" (или не звере) нужно заархивировать его с паролем virus и отправить на [email protected]. Тогда мы проведем его анализ - будет еще одно мнение ...

Minos
16.01.2005, 09:59
Обнаруживать эти "безобидные" программы надо, тем более в сканере. Однако выделить их в отдельную группу "not-virus", что бы пользователь в каждом конкретном случае сам решал, удалять или нет. Хороший антивирус не должен принимать все решения за пользователя, а только предоставлять ему весь перечень возможностей для борьбы с инфекцией.

Xen
16.01.2005, 10:26
Эт точно. Мне известны случаи, когда только анинсталл, идущий "в комплекте" и мог избавить от спайваря, в том время как антивирусы пасовали перед простейшими методами защиты (кросс-процесс контроль и т.д.).

16.01.2005, 10:48
Для того, чтобы услышать наше мнение об этом "звере" (или не звере) нужно заархивировать его с паролем virus и отправить на [email protected]. Тогда мы проведем его анализ - будет еще одно мнение ...


Программами типа IDA, Soft-Ice я в принципе и сам умею пользоваться :) Я задал вопрос не для проведения анализа файла, а для того чтобы выяснить имеет ли смысл добавлять подобные файлы в антивирусные программы. Причем не только первой кто обнаружил (или уже добавил), но и последующим (чтобы пользователи не кричали, что их антивирус не находит вирусы, которые другие программы обнаруживают).

Xen
16.01.2005, 11:08
Если уже кто-то из конкурентов занес в базу - хрен с ним, детектить можно, но не как вирус... ну или ввести в своем продукте категорию рискваре. А если никто на бинарник не ругается, то смысла заносить в свои-то базы такие вещи нет, раз уж они ничего обидного для юзера не делают. Если делают - другое дело... ИМХО =)

Зайцев Олег
16.01.2005, 11:21
Программами типа IDA, Soft-Ice я в принципе и сам умею пользоваться :)

Исходя их описания поведения этой программы в начале темы я в этом и не сомневался :) А просил я его прислать вот почему - просто чтобы мы могли провести анализ и сформировать свои мнения о файле (и потом сравнить их).
А вообще (говоря глобально) поднят интересный вопрос ... он кстати касается еще и отнесения объекта к категогии (часто один и тот-же файл Касперский считает AdWare и детектит расширенными базами, DrWeb - трояном; ... или наоборот). Второй момент - а как быть с такими вещами, как скажем inf файлы или ключи реестра? Сам по себе тот-же inf файл в 99% случаев опасности для ПК не несет, но он появляется скажем в процессе установки некоего TrojanDownloader. С одной стороны на него можно плюнуть. С другой - это лишний мусор на компьютере и его стоит удалить при лечении. С третьей - очень часто сам TrojanDownloader радикально изменяется и не детектируется, а inf файл неизменен - его обнаружение привлечет внимание опытного админа.
Лично мое мнение - в базы вносить нужно все, что может хоть как-то нести опасность. Только нужно это толково класифицировать и дать возможность настройки реакции антивируса на каждую категорию - а еще лучше, на каждый объект в отдельности.

16.01.2005, 11:43
Исходя их описания поведения этой программы в начале темы я в этом и не сомневался :)

Это твое право... Вот кусочек кода (подтверждающий что записывается не ссылка на какой-либо сайт, а about:blank) наслаждайтесь:


UPX0:0040A6B2 mov esi, offset aAboutBlank ; "about:blank"
UPX0:0040A6B7 mov edi, offset Data
UPX0:0040A6BC mov ecx, 40h
UPX0:0040A6C1 rep movsd
UPX0:0040A6C3 push offset dwDisposition ; lpdwDisposition
UPX0:0040A6C8 push ebx ; phkResult
UPX0:0040A6C9 push 0 ; lpSecurityAttributes
UPX0:0040A6CB push 0F003Fh ; samDesired
UPX0:0040A6D0 push 0 ; dwOptions
UPX0:0040A6D2 push 0 ; lpClass
UPX0:0040A6D4 push 0 ; Reserved
UPX0:0040A6D6 push offset aSoftwareMicr_0 ; lpSubKey
UPX0:0040A6DB push 80000002h ; hKey
UPX0:0040A6E0 call RegCreateKeyExA
UPX0:0040A6E5 push 32h ; cbData
UPX0:0040A6E7 push offset Data ; lpData
UPX0:0040A6EC push 1 ; dwType
UPX0:0040A6EE push 0 ; Reserved
UPX0:0040A6F0 push offset aStartPage ; lpValueName
UPX0:0040A6F5 mov eax, [ebx]
UPX0:0040A6F7 push eax ; hKey
UPX0:0040A6F8 call RegSetValueExA
UPX0:0040A6FD mov eax, [ebx]
UPX0:0040A6FF push eax
UPX0:0040A700 call RegCloseKey_0



А просил я его прислать вот почему - просто чтобы мы могли провести анализ и сформировать свои мнения о файле (и потом сравнить их).

Во-первых я не понимаю кто это "мы" (сразу извиняюсь если я со своим уставом в чужой монастырь), во-вторых я еще раз повторяю мне не интересен анализ этого файла. Путь это будет некий мифический файл, который делает то что написал в первом посте.



А вообще (говоря глобально) поднят интересный вопрос ... он кстати касается еще и отнесения объекта к категогии (часто один и тот-же файл Касперский считает AdWare и детектит расширенными базами, DrWeb - трояном; ... или наоборот). Второй момент - а как быть с такими вещами, как скажем inf файлы или ключи реестра? Сам по себе тот-же inf файл в 99% случаев опасности для ПК не несет, но он появляется скажем в процессе установки некоего TrojanDownloader. С одной стороны на него можно плюнуть. С другой - это лишний мусор на компьютере и его стоит удалить при лечении. С третьей - очень часто сам TrojanDownloader радикально изменяется и не детектируется, а inf файл неизменен - его обнаружение привлечет внимание опытного админа.
Лично мое мнение - в базы вносить нужно все, что может хоть как-то нести опасность. Только нужно это толково класифицировать и дать возможность настройки реакции антивируса на каждую категорию - а еще лучше, на каждый объект в отдельности.

А вот это уже по теме, но тогда и другие антивирусы не должны кичиться ("мы не наращиваем размер бызы всякой ерундой") и добавлять то что добавил конкурент.

И базы бы я разделил по степени опастности (постепенно к этому приходят), я думаю администратору большой сети интересует одно (возможно даже не один вариант), а обычного пользователя другое.

Minos
16.01.2005, 14:49
В отношении различной классификации вредоносного кода, то это дело каждого вендора создавать правила по которым относят зверье к определенному типу, это конечно не совсем удобно, но от этого пока ни куда не деться.

По поводу составных частей однозначно, антивирус должен удалять троянов со всеми "потрохами", а не ограничиваться только исполняемыми файлами. Результаты выдирания трояна "с мясом" часто можно наблюдать в разделе Помогите :(. Тут только сложность в том, что необходимо либо включать полную детекцию ВСЕХ файлов, в результате получаем монстра тормознутие KAV, либо, в случае обнаружения вируса, производить поиск "типовых" файлов по всей машине( как минимум в системной области).

Зайцев Олег
16.01.2005, 16:02
По поводу составных частей однозначно, антивирус должен удалять троянов со всеми "потрохами", а не ограничиваться только исполняемыми файлами. Результаты выдирания трояна "с мясом" часто можно наблюдать в разделе Помогите :(. Тут только сложность в том, что необходимо либо включать полную детекцию ВСЕХ файлов, в результате получаем монстра тормознутие KAV, либо, в случае обнаружения вируса, производить поиск "типовых" файлов по всей машине( как минимум в системной области).

Тут я на все 100% согласен - и тогда получается, что для для лечения троянов и SpyWare нужно придумывать спецсредства, которые при удалении трояна выполнят некий микрокод лечения, который произведет "зачистку" системы. Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз. Пример - у меня в AVZ средний размер скрипта лечения получился в среднем 500 байт (из них 90% - имена удаляемых ключей реестра и файлов файлов). Сжатие ZIP дает 250 байт на скрипт, сжатие по моему спец-алгоритму (адаптированному для скрипта) - около 80-100 байт. Т.е. на 10000 вредоносных объектов получаем около 1 мб скриптов лечения. И это еще при условии, что одна команда скрипта превращается в 2 байта P-кода.
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.

Minos
16.01.2005, 16:22
Тут я на все 100% согласен - и тогда получается, что для для лечения троянов и SpyWare нужно придумывать спецсредства, которые при удалении трояна выполнят некий микрокод лечения, который произведет "зачистку" системы. Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз. Пример - у меня в AVZ средний размер скрипта лечения получился в среднем 500 байт (из них 90% - имена удаляемых ключей реестра и файлов файлов). Сжатие ZIP дает 250 байт на скрипт, сжатие по моему спец-алгоритму (адаптированному для скрипта) - около 80-100 байт. Т.е. на 10000 вредоносных объектов получаем около 1 мб скриптов лечения. И это еще при условии, что одна команда скрипта превращается в 2 байта P-кода.
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.

Полностью согласен, надо иметь две базы, одну для обнаружения опасных исполняемых файлов, другую для полной зачистки системы. В основную базу включать правила обнаружения всех известных вирусов, а алгоритмы зачистки эпидемеопасных. В расширенную базу записывать алгоритмы лечения для всех вирусов, но делать ее не локальной, а сетевой.
Например есть машина с заражением Netsky.XX и TrojanDroper.XX. Netsky удаляется со всеми запчастями основной базой, а TrojanDroper.XX обнаруживается основной базой, удаляются его опасные эллементы, но для полной зачистки предлагается пользователю соединиться с расширенной базой и скачать нужную запись.
Записи можно будет кешировать на локальной машине по мере надобности, так же можно дать возможность пользователю скачивать необходимые записи из расширенных баз. Это теоретически позволит снизить трафик. Такая конструкция теоретически позволит держать в локальной сети только одну машину с базами для полного лечения, а остальные будут обращаться к ней по мере надобности.

Alexey P.
16.01.2005, 16:38
Эт точно. Мне известны случаи, когда только анинсталл, идущий "в комплекте" и мог избавить от спайваря, в том время как антивирусы пасовали перед простейшими методами защиты (кросс-процесс контроль и т.д.).

Не всегда их и детектят.
На этот, к примеру, никто не бросается:
comunidad.ciudad.com.ar/argentina/capital_federal/yosoyelmencho/download/Remover2.0.exe

Хотя в паре с ним там лежит BackDoor.LWitch.60 (DrWeb)
(и BackDoor.LWitch.61)

Зайцев Олег
16.01.2005, 17:19
Не всегда их и детектят.
На этот, к примеру, никто не бросается:
comunidad.ciudad.com.ar/argentina/capital_federal/yosoyelmencho/download/Remover2.0.exe

Хотя в паре с ним там лежит BackDoor.LWitch.60 (DrWeb)
(и BackDoor.LWitch.61)

Это часто бывает ... или еще пример - я видел десятки раз, что бывает при запуске иного анинтсаллера - он открывает страницы "разработчиков", там предлагается заполнить некие формы, лезут всякие pop-up окна и разное зверье ...

Насчет хранения расширенной части базы в сети я уже думаю - даже в том-же AVZ базу можно разделить на две части - сигнатуры для сканера + скрипты для лечения. Следовательно обновлять вторую часть можно существенно реже и по мере надобности.

16.01.2005, 18:27
Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз.
...
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.


Начал с одного, а потом сам себя и опроверг :)

При правильном построении базы, тот же монитор не обязан хранить скрипт лечения в памяти, достаточно забирать с диска по мере необходимости (что в реальной жизни не часто и надо). Да и вообще можно из монитора выкинуть анализ не вредоносных программ, а оставить эту обязаность на сканере (ну это ты и написал). Но это все технология реализация (в принципе она никого не должна волновать), главное что надо удалять все что имело отношение к вирусам, троянам... Да и вообще я бы на месте какого-нибудь производителя разработал критерий опастности вируса/программы и сделал из этого стандарт, а уж захотят его использовать другие или нет, время покажет. Пока они сами для себя не определили, мой пример это показывает (uninstall от трояна, считают трояном).

Geser
16.01.2005, 20:19
А если сделать что бы перед удалением любого файла автоматически искались и удалялись все ссылки на него в реестре это не уменьшит размер баз для лечения? И вообще, по моему, стоит всегда так делать.

Зайцев Олег
16.01.2005, 20:33
А если сделать что бы перед удалением любого файла автоматически искались и удалялись все ссылки на него в реестре это не уменьшит размер баз для лечения? И вообще, по моему, стоит всегда так делать.

Логично - и это реально реализуемо следующее:
1. Удаление ключей автозапуска
2. Удаление регистрации класса (это можно делать за счет вызовы DLLUnregisterServer, но не для всех классов - многие трояны в ответ на Unregister реагируют мягко говоря неадекватно)

Geser
16.01.2005, 20:41
2. Удаление регистрации класса (это можно делать за счет вызовы DLLUnregisterServer, но не для всех классов - многие трояны в ответ на Unregister реагируют мягко говоря неадекватно)

А прямым удалернием записей в реестре нельзя это сделать?

Зайцев Олег
16.01.2005, 20:42
... Пока они сами для себя не определили, мой пример это показывает (uninstall от трояна, считают трояном).

Этот факт в свое время привел к написанию мной утилиты AVZ :) (в результате у меня оказались развязаны руки в плане того, что считать вредоносным, а что нет, и что как лечить).
Еще больший бардак, имхо, обстоит в проведении грани "троян" - "spyware" - "adware" - тут четких границ вообще нет. Пример тому - Spy.WinAd (который по сути является трояном - он же удаляет autoexec.bat) - большинство антивирусных компаний считают его AdWare или вообще чистым объектом и не лечат (или лечат только расширенными базами).
Я пытался формулировать критерии - вот пример - http://virusinfo.info/index.php?board=31;action=display;threadid=222. Но даже в момент написания я видел, что моя классификация противоречива...