Оффтоп из "Исследование антивирусов"

Интересно на virustotal nod32 обновляется beta базами? Проверив сейчас файл, увидел версю баз 4652, хотя на ПК последняя доступная версия после принудительного запуска обновления - 4651

а вот ещё один удивительный факт из жизни VT... решил вот приурочить к выходу очередных промежуточных итогов тестирования, как из них следует McAfee+Artemis один из лидеров
но ! вот есть файл, который на вирустотале детектится артемисом

[URL="http://www.virustotal.com/ru/analisis/3f36cf53d21c4e74ab3373f39eb859f5d885d197fbf348007d79c23e5df116e2-1259687463"]http://www.virustotal.com/ru/analisis/3f36cf53d21c4e74ab3373f39eb859f5d885d197fbf348007d79c23e5df116e2-1259687463[/URL]
однако если отправить его в McAfee Lab оказывается что макафиии "видит" этот файл в первый раз !! т.е. неизвестен компании абсолютно ))))

[IMG]http://s43.radikal.ru/i102/0912/51/2a0e5f2a4bf3.jpg[/IMG]

из скрина выше видим что файл отправлен на человеческий анализ... соответственно и реальный домашний продукт макафии с включенным артемисом (у меня) этот файл не детектит ! (и таких файлов штук 20 было)
как такое возможно ?

[QUOTE='notenuf;522535']однако если отправить его в McAfee Lab оказывается что макафиии "видит" этот файл в первый раз !! [/QUOTE]Правильно, ведь артемис это некое подобие эвристики. (И он, если я не ошибаюсь, работает только в сканере по требованию)

Еще Artemis срабатывает при запуске файла

нет артемис вроде не эвристика и работает в любых сканерах... вот к примеру настоящий артемис:
[IMG]http://i068.radikal.ru/0912/8e/3ed5026a81f4.jpg[/IMG]

а вот так он выглядит в McAfee Labs

[IMG]http://i053.radikal.ru/0912/c5/8dfca5fd8501.jpg[/IMG]

а вирустотал видимо использует какойто очень особенный артемис )) или макафии использует вирустотал "в темную" для своих маркетинговых целей обманывая пользователей... так что верить результатам McAfee+Artemis на VT как-то не получается больше...

Artemis - облочная технология, которая детектит странные файлы, путем проверки их на своих серверах online.

обычно когда я натыкаюсь на предполагаемый вирус
я его рассылаю по вирусным лабораториям

примерный список такой

[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]
[email][email protected][/email]


=====================

например за сегодня....новые выловил


virus5.exe - Trojan-Dropper.Win32.Agent.bkqu
setup.exe - Trojan-Dropper.Win32.Agent.bkqr
crac.exe - Trojan-Dropper.Win32.Agent.bkqs
patch.exe - Trojan-Dropper.Win32.Agent.bkqt
setup.exe - Trojan-Dropper.Win32.Agent.bkqr
setup(3).exe - Trojan-Dropper.Win32.Agent.bkqs


p.s. я так и не понял - когда файл нашли с вирусом
вы по лабораториям его рассылаете?

Ну можно и так, если у вирлабов не стоит вильтр на множественные адреса в поле СС :)
[QUOTE]Можно отправлять подозрительные файлы одновременно всем вендорам, очень удобно: [email][email protected][/email]
Отправлять следует в zip-архиве с паролем "infected" (без кавычек)[/QUOTE]

[QUOTE=gjf;559061]Ну можно и так, если у вирлабов не стоит вильтр на множественные адреса в поле СС :)[/QUOTE]

на самом деле сначала так слал - как вы написали на один адрес,
но что то не заметил что добавляют оперативно лаборатории новые вирусы

потом взял список с этого сайте, проверил на валидность
+ выкинул что недоставляються и теперь так шлю

вроде как оперативно получается
- только вот на гугле больше 25 таких писем в день не пошлешь ;-( банят на 24 часа

Подскажите пожалуйста :)))

Где мне взять инсталлятор вирусов, которые сейчас считаются самыми крутыми ?

Я хотел бы поставить эти вирусы к себе на компьютер :)

И на лучших, так сказать, представителях - оттачивать технологию обнаружения и нейтрализации вирусов. Желательно таких, которых пока ни одна антивирусная программа не ловит.

Подскажите где взять ?

Идите в интернет и нажимайте на все ссылки подряд, соглашайтесь на установку всего, что IE попросит.

[B]uuu99950[/B], [QUOTE]Я я специально лазаю по порносайтам в надежде, что кто-нибудь где-нибудь все-таки начнет меня заражать ![/QUOTE]
Прикинь, я родакам такую отмазку тоже кидал. Нипамагает.
Если серьезно, дайте объявление в газету. Типа: "Отлов вирусов лучшим в городе (области, республике) специалистом!" Почти бесплатно (акция!!!). Кстати, срабатывает.
Рыба есть ... ой... про это я уже говорил.

Какое дружное ложное срабатывание.. испугались упаковщика? :smile:

Файл [B]innounp.exe[/B] получен 2010.01.17 22:14:55 (UTC)
Результат: [B][COLOR="Red"]31[/COLOR][/B]/41 (75.61%)


[QUOTE]Антивирус Версия Обновление Результат
a-squared 4.5.0.50 2010.01.17 Virus.Win32.Trojan!IK
AhnLab-V3 5.0.0.2 2010.01.16 Packed/Upack
[B]AntiVir 7.9.1.142 2010.01.17 -[/B]
Antiy-AVL 2.0.3.7 2010.01.12 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.01.16 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2010.01.17 Win32:Trojan-gen
AVG 9.0.0.730 2010.01.17 Generic10.XFN
BitDefender 7.2 2010.01.17 Trojan.Generic.1661336
CAT-QuickHeal 10.00 2010.01.16 (Suspicious) - DNAScan
ClamAV 0.94.1 2010.01.17 PUA.Packed.Upack39
Comodo 3616 2010.01.17 Heur.Packed.Unknown
[B]DrWeb 5.0.1.12222 2010.01.17 -[/B]
eSafe 7.0.17.0 2010.01.17 Win32.Infostealer.ga
[B]eTrust-Vet 35.2.7240 2010.01.15 -[/B]
F-Prot 4.5.1.85 2010.01.17 W32/Heuristic-210!Eldorado
F-Secure 9.0.15370.0 2010.01.17 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.01.16 W32/Agent.GM!tr
GData 19 2010.01.17 Trojan.Generic.1661336
Ikarus T3.1.1.80.0 2010.01.17 Virus.Win32.Trojan
[B]Jiangmin 13.0.900 2010.01.17 -[/B]
K7AntiVirus 7.10.949 2010.01.16 Trojan.Win32.Malware.1
[B]Kaspersky 7.0.0.125 2010.01.17 -[/B]
McAfee 5864 2010.01.17 Generic.dx
McAfee+Artemis 5864 2010.01.17 Generic.dx
McAfee-GW-Edition 6.8.5 2010.01.17 Heuristic.LooksLike.Win32.Dropper.B
[B]Microsoft 1.5302 2010.01.17 -[/B]
NOD32 4780 2010.01.17 probably a variant of Win32/Agent
Norman 6.04.03 2010.01.17 W32/Packed_Upack.A
nProtect 2009.1.8.0 2010.01.17 Trojan/W32.Agent.94564
Panda 10.0.2.2 2010.01.17 Trj/Lineage.BZE
PCTools 7.0.3.5 2010.01.17 Trojan-PSW.Gampass
Prevx 3.0 2010.01.17 Medium Risk Malware
[B]Rising 22.30.06.04 2010.01.17 -[/B]
Sophos 4.49.0 2010.01.17 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.17 Trojan.Win32.Packer.Upack0.3.9 (v)
Symantec 20091.2.0.41 2010.01.17 Infostealer.Gampass
TheHacker 6.5.0.6.154 2010.01.17 W32/Behav-Heuristic-060
[B]TrendMicro 9.120.0.1004 2010.01.17 -
VBA32 3.12.12.1 2010.01.17 -
ViRobot 2010.1.16.2140 2010.01.16 -[/B]
VirusBuster 5.0.21.0 2010.01.17 Packed/Upack[/QUOTE]

Дополнительная информация
File size: 94564 bytes
MD5...: 8a93c3415a3ebc7cf4ebd5ace6cb062d

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Засомневалась, отослала касперу в техподдержку, ответ четкий:
[QUOTE]innounp.exe
Вредоносный код в файле не обнаружен.[/QUOTE]

[B]Юльча[/B], ну я файл, конечно, не вижу, но в списке ВирусТотала одни эвристики и пакеры - ни одного прямого срабатывания.
Если считаете, что ответ ошибочный - Вам [URL="http://www.kaspersky.ru/opinion?chapter=207367590"]сюда[/URL].

я считаю ответ поддержки каспера верным (файл отданный на детект - это распаковщик inno setup), но забавно смотреть на кол-во среагировавших антивирусов =)

или на "ложные" срабатывания в этой теме антивирусы не исследуют?

Вопрос - почему на VT используются далеко не самые последние версии некоторых антивирусных сканеров? Например, там используются КАВ 7, Авира 7, Битдефендер 7). Почему не все вендоры предоставляют актуальные версии?

[B]Matias[/B], А это и не нужно, думаю тут 2 варианта
1) Нет никаких различий с новыми версиями.
2) Вендоры не хотят, чтобы их новые методы использовались злоумышленниками для обхода детекта.

[QUOTE=Surfer;565749][B]Matias[/B], А это и не нужно, думаю тут 2 варианта
1) Нет никаких различий с новыми версиями.[/QUOTE]
Да не совсем. Могу найти тему на оффоруме Касперского, где товарищ приводит случай удачного лечения заражённого Virut'ом файла с помощью 7-й версии и неудачного того же файла - с помощью 9-й.
[QUOTE=Surfer;565749]2) Вендоры не хотят, чтобы их новые методы использовались злоумышленниками для обхода детекта.[/QUOTE]
А вот это на правду похоже. Но в таком случае Matias прав.

[QUOTE=gjf;565754]Да не совсем. Могу найти тему на оффоруме Касперского, где товарищ приводит случай удачного лечения заражённого Virut'ом файла с помощью 7-й версии и неудачного того же файла - с помощью 9-й.

А вот это на правду похоже. Но в таком случае Matias прав.[/QUOTE]
Я говорю, что либо-либо. В чем он прав ? Те, кто зарабатывает профессионально на этом вирустотал не нужен, ибо с него идет рассылка вендорам, они пользуются платными аналогами.

[QUOTE='Surfer;565760']ибо с него идет рассылка вендорам[/QUOTE]
Ой что то я сомневаюсь в этом - по крайней мере нод добавляет в базу только после прямой засылки.