Сравнение возможностей детектирования упакованных вирусов в различных антивирусных пр

Большинство ведущих производителей антивирусов в описании своих продуктов заявляют о поддержке основных упаковщиков и архиваторов, таких как ZIP, RAR и так далее. Некоторые из них заявляют о поддержке огромного числа упаковщиков и архиваторов, например, Лаборатория Касперского утверждает о поддержке в общей сложности более 1200 различных версий.

В связи с этим, интересно было бы проверить, как же реально обстоят дела с детектированием упакованных вирусов. Ведь ни для кого не секрет, что почти все вредоносные программы, так или иначе, упакованы. Часто один и тот же вирус упаковывается десятками разных упаковщиков (бывает даже несколькими одновременно), что позволяет ему проникать в корпоративные сети, несмотря на их защищенность антивирусом уже на уровне шлюза.

Представим себе ситуацию, когда уже известный всем вирус упаковывается других упаковщиком. Если новый упаковщик не поддерживается вашим антивирусом, то он легко пройдет сквозь защиту и потребуется время, пока антивирусная компания добавит в базу данных новую сигнатуру, способную детектировать по-новому упакованный вирус. В случае поддержки упаковщика, антивирус его сразу же обнаружит, благодаря чему не потребуется дожидаться реакции антивирусной компании на новую угрозу и соответствующего обновления антивирусных баз.

Подобные возможности антивируса, согласитесь, являются крайне необходимыми при современных темпах роста количества различных вирусов и их версий (одного только червя MyDooom было обнаружено несколько десятков версий). Чтобы проверить какой из антивирусов справляется с задачей детектирования упакованных вирусов, обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.
далее [url]http://www.anti-malware.ru/index.phtml?part=compare&anid=packs[/url]

К примеру, антивирус Antivir.
Берем из дистрибутива антивирусной утилиты Олега Зайцева файл avz.exe и проверяем - тишина, чист.
Как известно, он сжат UPX-ом... А знает ли его Antivir?
Распаковываем avz.exe и проверяем несжатый вариант - тревога!
Эвристик заподозрил Trojan.Keylogger!
Почему эвристик молчал на сжатом файле?
Неужели не знает столь распространенный упаковщик?

Kaspersky - 86%
BitDefender - 67%
Sophos - 57%
Trend Micro и McAfee - 55%
Dr.Web - 48%

Более менее как и предпологалось. Те антивирусы которыми стоит пользоваться. Правда не понятно что с НОД. Вроде он должен детектить тоже. У них же вроде универсальный распаковщик. Может с настройками что-то не то

У нода - не универсальный распаковщик а универсалный материльник на все что нестандартно :)

Кста я болтал с перцами из КАВа.. по поваду универсального распаковщика... в результату выяснилость такое - такой эмулятор - распаковшик есть но использоют они его только внутри компании т.к в реальных условиях он
1. более тормозной
2. на самом деле никакой не универсальный т.к надо указывать гле находится оригинальный Ентри-Поинт иначе эмулировать бесконечно будет.

[QUOTE=Sanja]У нода - не универсальный распаковщик а универсалный материльник на все что нестандартно :)
Кста я болтал с перцами из КАВа.. по поваду универсального распаковщика... в результату выяснилость такое - такой эмулятор - распаковшик есть но использоют они его только внутри компании т.к в реальных условиях он
1. более тормозной
2. на самом деле никакой не универсальный т.к надо указывать гле находится оригинальный Ентри-Поинт иначе эмулировать бесконечно будет.[/QUOTE]
Нод не пользую, но для домохозяина:) он показывает неплохие результаты. Так что с точки зрения маркетинга, его "универсальный" распаковщик весьма неплох.:)

>yoda’s Crypter
>yoda’s Protector

Ну-да... поддержка пакера... насмешили :-))

Известно всем здесь присутствующим, что касперски не поддерживает пакер и криптор, а детектирует по сигнатуре на пакер\криптор.

Про on-access scanners.
RAR SFX и ZIP SFX, кстати, детектируются процедурами проверки файла по контенту как архивы и не распаковываются, как правило. Так что то, что внутри, вполне будет детектироваться.

Другое дело, если бинарник такой заразить.

Опять же вопрос об адекватности тестирования... к сожалению делитантов много :-(

[QUOTE=umask]>yoda’s Crypter
>yoda’s Protector
Ну-да... поддержка пакера... насмешили :-))
Известно всем здесь присутствующим, что касперски не поддерживает пакер и криптор, а детектирует по сигнатуре на пакер\криптор.[/QUOTE]
Насколько мне известно не совсем так. В основном поддержвается, и для огромного числа пакеров/криптеров есть распаковка, в том числе для некоторых версий yoda. ХОтя для некоторых действительно детектится сам криптер. НУ это лучше чем ничего.

Не верю!(с)
Лично проверял NOD32.
AsPack, FSG, UPX (не всегда), Yoda Crypter v1.2 - знает 100%
Некоторые другие крипторы распаковывает (не спрашивайте как :) ) использую эвристику.

[QUOTE=kvit]Не верю!(с)
Лично проверял NOD32.
AsPack, FSG, UPX (не всегда), Yoda Crypter v1.2 - знает 100%
Некоторые другие крипторы распаковывает (не спрашивайте как :) ) использую эвристику.[/QUOTE]

Так в тесте версии какие?
И когда тест проводился видели?

я NOD тестировал в тоже самое время (даже раньше)! Плюс продолжаю постоянно за ним приглядывать. Если бы мне выслали образцы, мог бы протестировать на engine 2004 и 2005 года отдельно.

[QUOTE=SDA]обратимся к результатам недавнего сравнительного теста, опубликованного специалистами IBM Virus CERT в октябре 2005 года.
далее [url]http://www.anti-malware.ru/index.phtml?part=compare&anid=packs[/url][/QUOTE]
Сам тест проводился в июне 2005 года, в сравнении участвовал Dr.Web 4.32b. Так что немного неактуально. 4.33 знает побольше пакеров.