Тестирование эвристики современных антивирусных пакетов - TrojanDownloader

У меня возникла новая идея тестрования - проврить эвристику существующих антивирей. Методика - на разных языках (C, Delphi, Asm) я реализую код трояна. Сделать это элементарно, путем анализа существующих зверей и создания типового примера. Естетсвенно, это имитатор, но рабочий.
Условия теста
1. Никакой нестандартной реализации - лобовой подход
2. Никакой навестной маскировки кода - нет архивации, криптования .... Базовые тесты не содержат маскировки или защиты от отладчика - такие тесты будут проводиться отдельно
3. Вся программа состоит [U]только из зловредного кода[/U] - он немедленно получает управление при старте, и после его выполнения никакого кода в программе нет. Особенность программ в том, что они не выводят видимых окон, не выдают запросов и никак не взаимодействуют с пользователем.
---------
100% объективности конечно нет, но тем не менее примеры написаны на основе анализа известных TrojanDownloader
---------
Несмотря на то, что демонстрационные примеры естественно не являются вредоносными, они тем не менее могут послужить в качестве базы для создания зловредного ПО, что попадает под статью 273 ч.1 УК РФ. Поэтому исходный код и сами образцы закрыты для распространения, исключения - AV компании, продукты которых участвовали в тесте.

[B]Итак, тест номер 1.[/B]
GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
Результат:
Antivirus Version Update Result
AntiVir 6.32.0.6 10.09.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.09.2005 no virus found
[B]BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.07.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
NOD32v2 1.1247 10.10.2005 no virus found
Norman 5.70.10 10.07.2005 no virus found
Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.09.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.09.2005 no virus found

[B]Тест номер 2.[/B]
GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через urlmon (URLDownloadToFile)
Результат:
Antivirus Version Update Result
AntiVir 6.32.0.6 10.09.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.09.2005 no virus found
[B]BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.07.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably a variant of Win32/TrojanDownloader.Dadobra.EB
[/B]Norman 5.70.10 10.07.2005 no virus found
Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.09.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.09.2005 no virus found

Весьма интересно. Сейчас веселуха начнётся.....

[B]Тест номер 3.[/B]
Программа на Delphi 7, консольное приложение, работает через urlmon (URLDownloadToFile) (14 кб).
[B]AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
[/B]Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
[B]Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
[B]F-Prot 3.16c 10.10.2005 could be infected with an unknown virus
[/B]Ikarus 0.2.59.0 10.07.2005 no virus found
[B]Kaspersky 4.0.2.24 10.10.2005 Trojan-Downloader.Win32.Small.gen
[/B]McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 10.07.2005 W32/Downloader
[/B]Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
[B]VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader ([/B][B]--[/B][B] тут был URL --) [/B]
---------
Что интересно - VBA опказал в скобках, c какого URL загружается файл

[B]Тест номер 4.[/B]
Консольное приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
Результат:
[B]AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
[/B]Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
[B]Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.07.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 10.07.2005 W32/Downloader
[/B]Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
[B]VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader ([/B][B]--[/B][B] здесь был URL --) [/B]
----

[QUOTE=Зайцев Олег]Тест номер 4.
DrWeb 4.32b 10.02.2005 no virus found
----[/QUOTE]
Олег проверь [url=ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe]CureIt`ом[/url] 4.33 там эвристик свежий :) интересно ...

В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
В 4.33 он появился, было бы интересно его проверить.

Итак, предварительный вердикт достаточно очивиден ... а теперь берем образец номер три и применяем небольшую маскировку - динамическую загрузку urlmon:
Antivirus Version Update Result
AntiVir 6.32.0.6 10.09.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.09.2005 no virus found
[B]BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
[B]F-Prot 3.16c 10.10.2005 could be infected with an unknown virus
[/B]Ikarus 0.2.59.0 10.07.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 10.07.2005 W32/Downloader
[/B]Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
[B]VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader ([/B][B]--[/B][B] тут был URL --)
[/B]
Итак, уже 5 :) было 8 штук ...
Усиливаю маскировку (вместо лобовых констант с именами DLL и функции применяется строка, собираемая из фрагментов - даже без всякой шифровки):
AntiVir 6.32.0.6 10.09.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.09.2005 no virus found
[B]BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
[B]F-Prot 3.16c 10.10.2005 could be infected with an unknown virus [/B]
[B]Ikarus 0.2.59.0 10.07.2005 Backdoor.Win32.G_Door.T [/B]
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 10.07.2005 W32/Downloader [/B]
Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
[B]VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (--тут выводится URL--)[/B]
Интересно, что Ikarus это заметил, причем выдал не подозрение, а именно срабатывание ...
Про VBA интересно, повторяю тест специально для него - разбиваю константу с URL на несколько частей, в динамике собираю - показывает VBA эту строку правильно, значит, имеет место эмулятор...

[QUOTE=AndreyKa]В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
В 4.33 он появился, было бы интересно его проверить.[/QUOTE]
Вне конкурса обязательно проверю - по всем образцам

DrWeb Cure-IT 4.33 ... Сработал только на "тестовый пример номер 3", сообщение "Probably DLOADER.Trojan"

Ну, и наконец "на закуску" тесто номер 5 - применение простейшего антиотладкика (повторюсь - простейшего, без всяких там аппаратных штучек или экзотических приемов !):
Antivirus Version Update Result
AntiVir 6.32.0.6 10.09.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.06.2005 no virus found
Avira 6.32.0.6 10.09.2005 no virus found
BitDefender 7.2 10.10.2005 no virus found
CAT-QuickHeal 8.00 10.09.2005 no virus found
ClamAV devel-20050917 10.09.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.07.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
NOD32v2 1.1247 10.10.2005 no virus found
Norman 5.70.10 10.07.2005 no virus found
Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.09.2005 no virus found
DrWeb Cure-IT 4.33 10.02.2005 - ничего не нашел
----
Выводы из этого, думаю, делать не надо :) Они и так налицо. Общий вердикт - по данной категории в пяти тестах лидеры BitDefender, NOD32, Norman и VBA (перечисление в алфивитном порядке). KAV и DrWEB словили только по одному образцу (кстати, у KAV неправильно на virustotal выводится сообщение - при сканировании локальным KAV он сказал "подозрение на ..."

Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления. :)

Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.

PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..

[quote=RiC]Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления. :)

Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.

PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..[/quote]
в примерах код оченнь характреный - скрытная загрузка exe файла с прошитого прямо в теле exe адреса и его немедленный запуск через ShellExecute. Загрузка исполняемого файла ведется прямо в колень диска... причем в опять же в скрытном режиме, с признаком SW_HIDE.
А с дистаннции я никого не выкидывал, пускай будут все для полноты картины ...

[B]Тест номер 6.[/B]
Microsoft C, аналог теста 4 - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами. Консольное приложение, выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его немедленный запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
AntiVir 6.32.0.6 10.10.2005 no virus found
Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.10.2005 no virus found
[B]BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.10.2005 no virus found
ClamAV devel-20050917 10.10.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
[/B]Norman 5.70.10 10.07.2005 W32/Downloader
Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.09.2005 no virus found

[B]Тест номер 7.[/B]
Microsoft C, консольное приложение, аналог теста 3 (URLDownloadToFile) - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами.
[B]AntiVir 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader
[/B]Avast 4.6.695.0 10.08.2005 no virus found
AVG 718 10.10.2005 no virus found
[B]Avira 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader
BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
[/B]CAT-QuickHeal 8.00 10.10.2005 no virus found
ClamAV devel-20050917 10.10.2005 no virus found
DrWeb 4.32b 10.02.2005 no virus found
eTrust-Iris 7.1.194.0 10.09.2005 no virus found
eTrust-Vet 11.9.1.0 10.10.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.10.2005 no virus found
McAfee 4600 10.07.2005 no virus found
[B]NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 10.07.2005 W32/Downloader
[/B]Panda 8.02.00 10.09.2005 no virus found
Sophos 3.98.0 10.10.2005 no virus found
Symantec 8.0 10.09.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.09.2005 no virus found

По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.

[QUOTE=Зайцев Олег]По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.[/QUOTE]
Так это... видна рука "мастера" (в трансляции с Delphi на C)! :) Шютка... Теперь уже даже интересно, что будет с ассемблерным вариантом. :)

Долбануцца. RiC прав, код слишком уж неспецифичный, например, один мой апдейтер делает совершенно то же самое, что и сэмплы, разве что, сохраняет файлик в %TEMP% или ExtractFilePath(ParamStr(0))... Олег и aintrust, можете выложить сурс сэмплов в студию? Очччень любопытно...

В свою очередь обещаю подготовить собственную серию тестов. Ну а пока остается резюмировать, что эвристика упомянутых продуктов на современном этапе способна отлавливать только самые примитивные варианты спайваря... в лучшем случае. В худшем - просто домогает админов ложными срабатываниями =))

А АВЗ? Он может такое поймать?