Пойманное в сети ITW - статистика от MOCT'а

Printable View

Показывать 40 сообщений этой темы на одной странице

18.11.2006, 03:24
WaterFish

[quote=Ego1st]Всегда ненавидил такую позицию..[/quote]
Извините, но бред.
Со временем пройдёт. :)
Если люди, которые получают за что то деньги недорабатывают, то это их проблемы и их поклонников и клиентов, которые сделали свой выбор.
Если я отсылаю файлы, то это моё хобби.:)
Если человек не хочет их отсылать, то это его право.
Спасать мир труднее, чем это делает Крепкий Орешек. :)

На подобные темы можно много писАть.;)
18.11.2006, 11:48
MOCT

[QUOTE=Ego1st]Всегда ненавидил такую позицию..[/QUOTE]
Любители Касперского могут продолжать любить Касперского на его форуме. Лично у меня нет никаких причин помогать людям, которые не любят свою родную страну. Почему KIS для жителей России стоит 79$, а для жителей США - 69$ ? Вот пусть жители США и пополняют антивирусные базы Касперского.

А тут получается такое: мало того, что выискиеваешь недостатки в продукте, так надо еще и образцы заразы просто так высылать, да при этом переплачивать на 10$ больше, чем платит любой американец, зарплата которого больше зарплаты среднестатистического россиянина раз в 10-20!

На Западе поиск недостатков в ПО - это отдельный бизнес, приносящий работникам суммы денег более чем с тремя нулями. Касперский на этом явно экономит.

При этом на Касперского работают сотни людей, в задачу которых входит поиск нового вредоносного ПО, его анализ, добавление в базы и тестирование полученного продукта. Если они не в состоянии отработать получаемые деньги, то это не значит, что за них это должны бесплатно делать другие.

Бытовой пример. Если у меня есть дома коробка с электролампочками, то это не значит, что я должен ходить по городу и вкручивать их вместо перегоревших лампочек в светофорах. Да, я конечно двумя руками за безопасность на дорогах, удобство для водителей и пешеходов, но для этого есть специальные люди и службы.

Неизвестные образцы на меня не сыпятся с неба как манна небесная - их приходится искать, поштучно собирать, выпрашивать в конце концов. После этого нужно разобраться - а действительно ли это зараза, или какой-то мусор, поврежденный файл, крек и т.п. И это не банальная отсылка на virustotal, которая может ничего не дать в случае 0day-заразы. Не зависимо от того - хобби это или служебные дела - в это занятие вложены время и деньги.
18.11.2006, 15:34
Ego1st

[QUOTE=WaterFish]Извините, но бред.
Со временем пройдёт. :)
Если люди, которые получают за что то деньги недорабатывают, то это их проблемы и их поклонников и клиентов, которые сделали свой выбор.
Если я отсылаю файлы, то это моё хобби.:)
Если человек не хочет их отсылать, то это его право.
Спасать мир труднее, чем это делает Крепкий Орешек. :)

На подобные темы можно много писАть.;)[/QUOTE]

не пройдёт поверьте, пока будет такая позиция у людей, будет такое мнение как у вас... о безапасном передвижении в сети с помощью защитного ПО небудет никогда..
20.11.2006, 09:38
Alex_Goodwin

To MOST:
Вы передергиваете, сравнивая с лампочками. Давайте сравним с преступниками: У вас в подъезде живут 2 убийцы, но вы не сообщаете ни в милицию, ни в прокуратуру, ни в ФСБ, т.к. они все за это деньги получают. А то, что они бабушку соседку могут убить, так это ее проблемы.
Ну не нравится вам ЛК, шлите всем сразу, так будет чеснее ([email protected]). То, что вы даете образцы Олегу похвально, но авз не антивирус, т.к. нет постоянного монитора, нет поддержки распаковщиков, бессилен против файловых вирусов. одному написать антивирь просто не возможно. АВЗ - утилита только для профессионалов, это именно скальпель в руках опытного хирурга, а не топор в руках пользователей.
20.11.2006, 09:47
Alexey P.

Сами много отправили ?
Скажем, в сутки, в среднем за последний месяц ?
20.11.2006, 11:34
Alex_Goodwin

[quote=Alexey P.]Сами много отправили ?
Скажем, в сутки, в среднем за последний месяц ?[/quote]
Я не занимаюсь отловом профессионально, мах 2 зверя в сутки отправляю, кроме выходных. за месяц штук 15. Скромно, но как могу..
20.11.2006, 13:40
Alexey P.

Потому Вам и легче - труда в это вложено не так много.
20.11.2006, 14:27
Alexey P.

[QUOTE=DVi]Я бы сказал просто: сейчас антивирусники стали больше уделять внимание даунлоадерам, не доводя дело до детекта уже скачанного гада.
[/QUOTE]
Да, такое точно есть, и часто.
Смотришь загрузки недавно добавленного загрузчика - тащит недетектящиеся образцы, и не новые совсем - дата примерно совпадает с загрузчиком. Аналитики редко отрабатывают цепочку добросовестно, им бы представленные образцы окучить и ладушки.
[QUOTE]
Ведь сам по себе даунлоадер не страшен - бояться надо того, кого он принесет за собой.[/QUOTE]
Ну, не совсем так, конечно - он способен основательно достать, каждый раз восстанавливая убитую заразу :).
20.11.2006, 20:27
Зайцев Олег

[QUOTE=Ego1st]не пройдёт поверьте, пока будет такая позиция у людей, будет такое мнение как у вас... о безапасном передвижении в сети с помощью защитного ПО небудет никогда..[/QUOTE]
Позиция MOCT вполне понятна - если посмотреть на нее без эмоций, с чисто практической стороны. Человек вкладывает свой интеллект и свободное время, машинное время техники, трафик и т.п. в проведение мониторинга и отлов экспонатов. Возникает резонный вопрос - зачем ему в одностороннем порядке делиться образцами, которые от отловил с большим трудом ... тем более с производителями коммерческих продуктов ? Ведь AV вирлабы ни с кем не делятся отловленными экспонатами (исключения есть - существует внутренний закрытый обмен ITW, но это отдельная песня). Причем WEB-бот ("охотник") - это удовольствие недешевое, на единицу ITW зверья он изведет приличное количество трафика, а трафик как известно денег стоит ...
21.11.2006, 01:39
MOCT

Поймано в минувшие выходные. Только разновидности по CRC, без учета частоты встречаемости. 104 разных наименования вредоносных программ (по "Антивирусу Касперского") в 190 различных бинарных файлах.

Trojan-Dropper.Win32.Agent.azk - 5
Trojan-Dropper.Win32.Agent.ata
Trojan-Dropper.Win32.Agent.ays
Trojan-Dropper.Win32.Small.auc
Trojan-Dropper.Win32.Pakes
Trojan-Downloader.Win32.Small.cwq - 2
Trojan-Downloader.Win32.Small.on
Trojan-Downloader.Win32.Small.ddy
Trojan-Downloader.Win32.Small.ddp - 4
Trojan-Downloader.Win32.Small.crc
Trojan-Downloader.Win32.Small.cib
Trojan-Downloader.Win32.Small.bkg
Trojan-Downloader.Win32.Small.dht
Trojan-Downloader.Win32.Small.cpt
Trojan-Downloader.Win32.Small.coy
Trojan-Downloader.Win32.Small.dzd
Trojan-Downloader.Win32.Small.dzd
Trojan-Downloader.Win32.Small.cxx
Trojan-Downloader.Win32.Small.bmm
Trojan-Downloader.Win32.Small.ccm
Trojan-Downloader.Win32.Small.awa - 2
Trojan-Downloader.Win32.Small.dgk
Trojan-Downloader.Win32.Small.dex
Trojan-Downloader.Win32.Small.ctf
Trojan-Downloader.Win32.Small.dhj
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Tiny.eo - 4
Trojan-Downloader.Win32.Tiny.bm - 2
Trojan-Downloader.Win32.INService.gen - 14
Trojan-Downloader.Win32.Zlob.aui
Trojan-Downloader.Win32.Zlob.axr - 3
Trojan-Downloader.Win32.Zlob.ada
Trojan-Downloader.Win32.Zlob.axl
Trojan-Downloader.Win32.Zlob.axj - 8
Trojan-Downloader.Win32.Zlob.axo - 17
Trojan-Downloader.Win32.Zlob.axt
Trojan-Downloader.Win32.Harnig.dk - 2
Trojan-Downloader.Win32.Bagle.y
Trojan-Downloader.Win32.Obfuscated.n - 3
Trojan-Downloader.Win32.Agent.bbn
Trojan-Downloader.Win32.Agent.ip
Trojan-Downloader.Win32.Agent.aqk
Trojan-Downloader.Win32.Delf.awg - 8
Trojan-Downloader.Win32.Delf.bci
Trojan-Downloader.Win32.Delf.aco
Trojan-Downloader.Win32.PurityScan.co
Trojan-Downloader.Win32.CWS.af
Trojan-Spy.Win32.BZub.eh - 2
Trojan-Spy.Win32.BZub.fz - 3
Trojan-Spy.Win32.BZub.fh
Trojan-Spy.Win32.Goldun.nr
Trojan-Spy.Win32.Iespy.ad
Trojan-Proxy.Win32.Cimuz.bw
Trojan-Proxy.Win32.Wopla.ac
Trojan-Proxy.Win32.Agent.ji
Trojan-Proxy.Win32.Agent.jl
Trojan-Proxy.Win32.Small.bo
Trojan-Proxy.Win32.Xorpix.ar - 3
Trojan-Proxy.Win32.Horst.nm
Trojan-Proxy.Win32.Horst.ns
Trojan-Proxy.Win32.Dlena.al
Trojan-Proxy.Win32.Dlena.ai
Email-Worm.Win32.Warezov.et
Email-Worm.Win32.Bagle.gi
Email-Worm.Win32.Scano.bk
Email-Worm.Win32.Scano.bd
IM-Worm.Win32.Qucan.h
IM-Worm.Win32.Qucan.l
Packed.Win32.Klone.g
not-a-virus.AdWare.Win32.SurfSide.ax
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.Softomate.u
not-a-virus.AdWare.Win32.Virtumonde.dr
not-a-virus.AdWare.Win32.FunWeb.e - 2
not-a-virus.AdWare.Win32.HotBar.bj
not-a-virus.AdWare.Win32.DownloadWare.a
not-a-virus.Downloader.Win32.WinFixer.o - 7
not-a-virus.Downloader.Win32.PopCap.a
not-a-virus.RiskTool.Win32.PsKill.j
not-virus.Hoax.Win32.Renos.gc
Trojan.Win32.Pakes - 8
Trojan.Win32.Agent.ws
Trojan.Win32.Agent.oh
Trojan.Win32.Agent.rx - 2
Trojan.Win32.Dialer.lm
Trojan.Win32.Dialer.qy
Trojan.Win32.Dialer.ay - 3
Trojan.Win32.Kolweb.j
Trojan.Win32.Qhost.iu
Trojan.Win32.Spabot.ai
Trojan.Win32.Diamin.ez
Trojan.Win32.LipGame.bh
Trojan.WinREG.AntiFireWall.a
Trojan-Clicker.Win32.Agent.hz
Trojan-Clicker.Win32.Costrat.l
Trojan-Clicker.Win32.Costrat.n
Trojan-Clicker.Win32.Costrat.s
Trojan-Clicker.Win32.Small.kj
Backdoor.Win32.Padodor.ax
Backdoor.Win32.Agent.tk
Backdoor.Win32.Agent.fo
Backdoor.Win32.SdBot.awk - 2
Trojan-PSW.Win32.LdPinch.azf - 2
Trojan-PSW.Win32.Sinowal.bh

Лидер - семейство Zlob, в первую очередь .axo - 17 разновидностей. На втором месте - INService - 14 разновидностей.

На первом месте по типу вредоносной программы как всегда стоят Downloader'ы. На второе место выходят Proxy и за ними Clicker.

Снова появились CWS, много распространяется Trojan-Spy.Win32.BZub.*, все больше версий Trojan-Clicker.Win32.Costrat.*.

Trojan-Downloader.Win32.Small.cwq распространяется совместно с Trojan-Dropper.Win32.Agent.azk, а Trojan-Clicker.Win32.Costrat.s - с Trojan-PSW.Win32.Sinowal.bh

Представители антивирусных компаний могут обращаться за образцами.

p.s. Также поймано несколько десятков новых(!) недетектируемых вредоносных программ: новый ABox installer, новые кликеры, новое творчество от создателей Pinch, кучка дропперов и шпионов. Подробности завтра.
22.11.2006, 22:03
MOCT

Анонс :)

Минувшие день был "рыбным". После отсева совсем мусора получилось 2200 (!) уникальных файлов. "Касперским" детектируется только 1850 файлов. Остальные придется разбирать вручную.
22.11.2006, 22:17
RiC

[QUOTE=MOCT]Остальные придется разбирать вручную.[/QUOTE]
Если для разбора ешё пару-тройку "нормальных" AV добавить, то ручной работы поубавится Imho,
Я бы остатки ещё Bit`у подсунул, Web'у и VBA, у них с эвристикой неплохо, заодно сразу можно будет выловить 90% того, что требует повышенного внимания, ну а остальное придётся уже руками.
22.11.2006, 22:28
MOCT

[QUOTE=RiC]Если для разбора ешё пару-тройку "нормальных" AV добавить, то ручной работы поубавится Imho,
Я бы остатки ещё Bit`у подсунул, Web'у и VBA, у них с эвристикой неплохо, заодно сразу можно будет выловить 90% того, что требует повышенного внимания, ну а остальное придётся уже руками.[/QUOTE]
Уважаемый RiC! Ну нет у меня Веба и Бита. :(
А DrWeb сейчас сильно поднялся, уважаю. Базы очень пухлые, причем довольно оперативно. Вот только имена дают однотипные, так что разновидности нифига не разберешь - то ли одно и то же перепакованное, то ли разные версии трояна. Поэтому все равно придется ручками.
22.11.2006, 22:35
RiC

[QUOTE=MOCT]Уважаемый RiC! Ну нет у меня Веба и Бита. :([/QUOTE]
Bit бесплатный сканер раздаёт, Web фактически тоже - в виде CureIt, или "Beta".

[QUOTE=MOCT]Поэтому все равно придется ручками.[/QUOTE]
Оно и так ручками и так, всё-равно проще из частично отсортированного выбирать.
22.11.2006, 22:42
MOCT

[QUOTE=RiC]Bit бесплатный сканер раздаёт, Web фактически тоже - в виде CureIt, или "Beta".[/QUOTE]
CureIt мне все файлы выкурит ;-)
на самом деле, установка еще одного АВ пока не планируется.
23.11.2006, 02:01
MOCT

Всего найдено 1845 вредоносных программ 78 наименований.

Список найденного:

Backdoor.Win32.Medbot.az - 1
Backdoor.Win32.Small.ml - 1
Email-Worm.Win32.Scano.bd - 1
Email-Worm.Win32.Warezov.et - 1
Email-Worm.Win32.Warezov.ex - 1
Email-Worm.Win32.Warezov.gc - 1
Net-Worm.Win32.Padobot.m - 1
Packed.Win32.Klone.g - 1
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Clicker.Win32.Costrat.r - 1
Trojan-Clicker.Win32.Qabar.a - 1
Trojan-Clicker.Win32.Small.kj - 1
Trojan-Downloader.Win32.Agent.aqk - 1
Trojan-Downloader.Win32.Delf.awg - 5
Trojan-Downloader.Win32.Dyfuca.dt - 1
Trojan-Downloader.Win32.Harnig.dk - 1
Trojan-Downloader.Win32.INService.gen - 1722
Trojan-Downloader.Win32.IstBar.gen - 1
Trojan-Downloader.Win32.Obfuscated.as - 1
Trojan-Downloader.Win32.Obfuscated.n - 2
Trojan-Downloader.Win32.Pakes - 1
Trojan-Downloader.Win32.Small.byx - 1
Trojan-Downloader.Win32.Small.coy - 1
Trojan-Downloader.Win32.Small.cpt - 1
Trojan-Downloader.Win32.Small.cwq - 1
Trojan-Downloader.Win32.Small.cxx - 1
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.dex - 1
Trojan-Downloader.Win32.Small.dht - 1
Trojan-Downloader.Win32.Small.dzd - 1
Trojan-Downloader.Win32.Tibs.ir - 2
Trojan-Downloader.Win32.Tiny.bm - 3
Trojan-Downloader.Win32.Tiny.eo - 1
Trojan-Downloader.Win32.Zlob.aui - 2
Trojan-Downloader.Win32.Zlob.axv - 2
Trojan-Downloader.Win32.Zlob.axx - 7
Trojan-Downloader.Win32.Zlob.axz - 10
Trojan-Downloader.Win32.Zlob.ayo - 1
Trojan-Dropper.Win32.Agent.ata - 1
Trojan-Dropper.Win32.Agent.azk - 3
Trojan-Dropper.Win32.Delf.abq - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-PSW.Win32.Hangame.cl - 3
Trojan-PSW.Win32.LdPinch.azf - 1
Trojan-Proxy.Win32.Agent.ji - 2
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Horst.os - 1
Trojan-Proxy.Win32.Ranky.gen - 1
Trojan-Proxy.Win32.Small.bo - 1
Trojan-Proxy.Win32.Wopla.ac - 2
Trojan-Proxy.Win32.Xorpix.ar - 2
Trojan-Spy.Win32.BZub.fz - 4
Trojan-Spy.Win32.Goldun.nr - 1
Trojan-Spy.Win32.Small.ak - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.abn - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.rx - 2
Trojan.Win32.Dialer.qi - 1
Trojan.Win32.Dialer.qu - 1
Trojan.Win32.Dialer.qy - 1
Trojan.Win32.Diamin.ez - 1
Trojan.Win32.LipGame.bi - 1
Trojan.Win32.Pakes - 3
Trojan.Win32.Qhost.iu - 1
Trojan.Win32.Spabot.ai - 1
Trojan.WinREG.AntiFireWall.a - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.BetterInternet.f - 1
not-a-virus.AdWare.Win32.FunWeb.e - 1
not-a-virus.AdWare.Win32.HotBar.bj - 2
not-a-virus.AdWare.Win32.SurfSide.ax - 1
not-a-virus.AdWare.Win32.Virtumonde.dr - 1
not-a-virus.Dialer.Win32.PlayGames.l - 1
not-a-virus.Downloader.Win32.PopCap.a - 1
not-a-virus.Downloader.Win32.WinFixer.l - 1
not-a-virus.Downloader.Win32.WinFixer.m - 1
not-a-virus.Downloader.Win32.WinFixer.o - 5

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.INService.gen - 1722
2. Trojan-Downloader.Win32.Zlob.axz - 10
3. Trojan-Downloader.Win32.Zlob.axx - 7
4. not-a-virus.Downloader.Win32.WinFixer.o - 5
5. Trojan-Downloader.Win32.Delf.awg - 5
6. Trojan-Spy.Win32.BZub.fz - 4
7. Trojan-PSW.Win32.Hangame.cl - 3
8. Trojan-Downloader.Win32.Tiny.bm - 3
9. Trojan-Downloader.Win32.Small.ddp - 3
10. Trojan-Dropper.Win32.Agent.azk - 3
11. Trojan.Win32.Pakes - 3
12. not-a-virus.AdWare.Win32.BetterInternet.au - 2
13. Trojan-Proxy.Win32.Xorpix.ar - 2
14. Trojan.Win32.Agent.rx - 2
15. Trojan-Downloader.Win32.Zlob.axv - 2
16. Trojan-Downloader.Win32.Zlob.aui - 2
17. not-a-virus.AdWare.Win32.HotBar.bj - 2
18. Trojan-Proxy.Win32.Wopla.ac - 2
19. Trojan-Downloader.Win32.Tibs.ir - 2
20. Trojan-Downloader.Win32.Obfuscated.n - 2
21. Trojan-Proxy.Win32.Agent.ji - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 26
2. Trojan - 13
3. Trojan-Proxy - 7
4. AdWare - 6
5. Trojan-Dropper - 4
6. Trojan-Clicker - 4
7. Email-Worm - 4
8. Downloader - 4
9. Trojan-Spy - 3
10. Backdoor - 2
11. Trojan-PSW - 2
12. Net-Worm - 1
13. Packed - 1
14. Dialer - 1

TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 9
2. Trojan-Downloader.Win32.Zlob - 5
3. Trojan.Win32.Agent - 4
4. Email-Worm.Win32.Warezov - 3
5. Trojan.Win32.Dialer - 3
6. not-a-virus.Downloader.Win32.WinFixer - 3
7. Trojan-Downloader.Win32.Tiny - 2
8. Trojan-Proxy.Win32.Agent - 2
9. Trojan-Dropper.Win32.Agent - 2
10. not-a-virus.AdWare.Win32.BetterInternet - 2
11. Trojan-Downloader.Win32.Obfuscated - 2
12. Trojan-Clicker.Win32.Costrat - 2

Авторы INService открыли для себя прелести автоматической генерации отдаваемых сервером файлов, поэтому идентификаторы в этих троянах всегда разные. Теперь количество различных INService.gen означает количество зафиксированных загрузок вредоносного файла.

p.s. написал софтинку, которая мне теперь такие отчеты о найденном генерирует. жить становится все проще и проще ;)
23.11.2006, 08:53
Зайцев Олег

[QUOTE=MOCT]Минувшие день был "рыбным". После отсева совсем мусора получилось 2200 (!) уникальных файлов. "Касперским" детектируется только 1850 файлов. Остальные придется разбирать вручную.[/QUOTE]
А если не секрет - какой объем трафика ушел на эту охоту ? Т.е. каков получился КПД (отношение звери/трафик)
23.11.2006, 14:33
MOCT

[QUOTE=Зайцев Олег]А если не секрет - какой объем трафика ушел на эту охоту ? Т.е. каков получился КПД (отношение звери/трафик)[/QUOTE]
Никто это не отслеживает. Приходящие файлы тут же проверяются по CRC и если такой файл уже имеется, то удаляется.
Поэтому могу сказать только по остаткам, т.е. по файлам с уникальными CRC:
на 56мб детектируемых троянов приходится 7,5мб чистых файлов и 22 мб недетектируемых троянов
(вот дожили - троянов на вес считаем!)

В принципе фильтры можно подкрутить, но что-то сможет проскользнуть мимо, поэтому пусть лучше будут излишества.

Если вопрос о трафике задавался с финансовой точки зрения, то с этим у нас проблем нет ;)
23.11.2006, 14:53
Зайцев Олег

[quote=MOCT]
Если вопрос о трафике задавался с финансовой точки зрения, то с этим у нас проблем нет ;)[/quote]
Вопрос больше с точки зрения КПД (отношение суммарного объема трафика к объему наловленных троянов без повторов). Я подобную систему отлова зловредов построил 4 года назад, но потом на нее плюнул из-за большого расхода трафика (у нас в Смоленске трафик стоит больших денег :(, каналы тормозные - поэтому ввиду низкого КПД подобная технология у меня к примеру применяется нечасто)
23.11.2006, 17:45
MOCT

[quote=Зайцев Олег]Вопрос больше с точки зрения КПД (отношение суммарного объема трафика к объему наловленных троянов без повторов). Я подобную систему отлова зловредов построил 4 года назад, но потом на нее плюнул из-за большого расхода трафика (у нас в Смоленске трафик стоит больших денег :(, каналы тормозные - поэтому ввиду низкого КПД подобная технология у меня к примеру применяется нечасто)[/quote]
Пора осваивать новые технологии ;) Все на самом деле дешевле, чем может показаться первоначально. Насколько могу судить, файлы найденные мной и вами различаются по составу. Можно наладить более плотное и плодотворное сотрудничество. ;-)
24.11.2006, 23:00
MOCT

Вести с полей

Сегодня статистика такая (по просьбе Олега Зайцева в новом формате):

Всего зарегистрировано 355 заражений вредоносными программами общим объемом 11.2мб.
Из них 200 штук - уникальные образцы (по CRC) общим объемом 6.28мб.
Таким образом уникальные образцы составляют 56.3% от количества или 56% от трафика. Итоговый КПД - 56%.
27.11.2006, 16:15
MOCT

Статистика работы за последние сутки.

Пропускная способность: 15-30 гб/час
Общее время работы: 21 час
Обработанный объем информации: 520 гб
Отловлено вредоносных PE-файлов: 891 штука объемом 32,5 мб, в том числе 375 уникальных объемом 18,12 мб. (42% от общего числа, что говорит о лавинообразном распространении одного и того же вредоносного файла, т.е. мини-эпидемии)
Детектируется "Антивирусом Касперского": 336 штук
Остались недетектируемыми: 39 штук ( > 10% )
27.11.2006, 17:30
MOCT

Всего найдено 333 вредоносных программы 137 наименований.

Список найденного:

Backdoor.Win32.Agent.abk - 1
Backdoor.Win32.Agent.tk - 1
Backdoor.Win32.Haxdoor.kl - 1
Backdoor.Win32.Padodor.ax - 1
Backdoor.Win32.SdBot.awk - 1
Backdoor.Win32.Small.ls - 1
Email-Worm.Win32.Bagle.gl - 1
Email-Worm.Win32.Banwarum.f - 24
Email-Worm.Win32.Glowa.g - 1
Email-Worm.Win32.Scano.bk - 1
Email-Worm.Win32.Warezov.et - 2
Email-Worm.Win32.Warezov.ex - 1
Email-Worm.Win32.Warezov.gc - 1
Email-Worm.Win32.Warezov.gj - 1
IM-Worm.Win32.Qucan.h - 1
IM-Worm.Win32.Qucan.n - 2
Packed.Win32.Klone.g - 1
Rootkit.Win32.Agent.cj - 3
SpamTool.Win32.Agent.t - 1
Trojan-Clicker.Win32.Agent.hz - 1
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Clicker.Win32.Small.cc - 4
Trojan-Clicker.Win32.Small.kj - 3
Trojan-Clicker.Win32.VB.qf - 1
Trojan-Clicker.Win32.XLite.c - 1
Trojan-Downloader.Win32.Agent.avz - 1
Trojan-Downloader.Win32.Agent.bbp - 1
Trojan-Downloader.Win32.CWS.af - 1
Trojan-Downloader.Win32.Delf.akd - 1
Trojan-Downloader.Win32.Delf.anx - 1
Trojan-Downloader.Win32.Delf.awg - 3
Trojan-Downloader.Win32.Delf.bcc - 1
Trojan-Downloader.Win32.Dyfuca.x - 1
Trojan-Downloader.Win32.Harnig.dk - 1
Trojan-Downloader.Win32.INService.gen - 15
Trojan-Downloader.Win32.IstBar.gen - 1
Trojan-Downloader.Win32.Mediket.dn - 1
Trojan-Downloader.Win32.Obfuscated.n - 3
Trojan-Downloader.Win32.Small.ase - 1
Trojan-Downloader.Win32.Small.bmm - 1
Trojan-Downloader.Win32.Small.buy - 1
Trojan-Downloader.Win32.Small.bzm - 1
Trojan-Downloader.Win32.Small.cib - 3
Trojan-Downloader.Win32.Small.coy - 1
Trojan-Downloader.Win32.Small.cpt - 1
Trojan-Downloader.Win32.Small.crc - 1
Trojan-Downloader.Win32.Small.cwq - 1
Trojan-Downloader.Win32.Small.cxx - 1
Trojan-Downloader.Win32.Small.cyn - 1
Trojan-Downloader.Win32.Small.dam - 35
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.dex - 3
Trojan-Downloader.Win32.Small.dgk - 1
Trojan-Downloader.Win32.Small.dht - 1
Trojan-Downloader.Win32.Small.dod - 1
Trojan-Downloader.Win32.Small.doq - 1
Trojan-Downloader.Win32.Small.dxx - 1
Trojan-Downloader.Win32.Small.dzd - 1
Trojan-Downloader.Win32.Small.dzl - 1
Trojan-Downloader.Win32.Small.dzz - 1
Trojan-Downloader.Win32.Small.eaj - 1
Trojan-Downloader.Win32.Small.on - 1
Trojan-Downloader.Win32.Tibs.iw - 1
Trojan-Downloader.Win32.Tiny.bm - 7
Trojan-Downloader.Win32.Tiny.eo - 3
Trojan-Downloader.Win32.Zlob.aki - 1
Trojan-Downloader.Win32.Zlob.anj - 23
Trojan-Downloader.Win32.Zlob.aqe - 1
Trojan-Downloader.Win32.Zlob.aui - 1
Trojan-Downloader.Win32.Zlob.axx - 1
Trojan-Downloader.Win32.Zlob.ayn - 2
Trojan-Downloader.Win32.Zlob.ayp - 2
Trojan-Downloader.Win32.Zlob.ayr - 11
Trojan-Downloader.Win32.Zlob.ayz - 1
Trojan-Downloader.Win32.Zlob.aza - 4
Trojan-Downloader.Win32.Zlob.azp - 6
Trojan-Downloader.Win32.Zlob.azq - 1
Trojan-Downloader.Win32.Zlob.azr - 4
Trojan-Downloader.Win32.Zlob.baf - 2
Trojan-Downloader.Win32.Zlob.bak - 9
Trojan-Downloader.Win32.Zlob.bal - 11
Trojan-Downloader.Win32.Zlob.bam - 1
Trojan-Downloader.Win32.Zlob.ban - 3
Trojan-Dropper.Win32.Agent.ays - 1
Trojan-Dropper.Win32.Agent.azk - 1
Trojan-Dropper.Win32.Agent.azn - 4
Trojan-Dropper.Win32.Agent.ol - 2
Trojan-Dropper.Win32.Delf.rc - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-PSW.Win32.Delf.lx - 1
Trojan-PSW.Win32.LdPinch.azf - 1
Trojan-PSW.Win32.Lmir.bfa - 1
Trojan-PSW.Win32.Mefs.h - 1
Trojan-PSW.Win32.Nilage.awa - 1
Trojan-PSW.Win32.QQRob.jo - 1
Trojan-Proxy.Win32.Agent.ji - 2
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Agent.lg - 1
Trojan-Proxy.Win32.Agent.lh - 1
Trojan-Proxy.Win32.Cimuz.bw - 1
Trojan-Proxy.Win32.Dlena.ai - 1
Trojan-Proxy.Win32.Dlena.ao - 1
Trojan-Proxy.Win32.Dlena.ap - 1
Trojan-Proxy.Win32.Horst.pk - 1
Trojan-Proxy.Win32.Ranky.gen - 1
Trojan-Proxy.Win32.Small.bo - 1
Trojan-Proxy.Win32.Wopla.ad - 1
Trojan-Proxy.Win32.Xorpix.ar - 1
Trojan-Spy.Win32.BZub.fh - 1
Trojan-Spy.Win32.BZub.fz - 6
Trojan-Spy.Win32.Goldun.np - 1
Trojan-Spy.Win32.Goldun.nr - 1
Trojan-Spy.Win32.Small.ak - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.abf - 1
Trojan.Win32.Agent.abn - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.rx - 10
Trojan.Win32.Agent.ws - 1
Trojan.Win32.Agent.yr - 1
Trojan.Win32.Dialer.lm - 1
Trojan.Win32.Dialer.qy - 1
Trojan.Win32.LipGame.bi - 1
Trojan.Win32.Pakes - 2
Trojan.Win32.Small.kp - 1
Trojan.Win32.Spabot.ai - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 1
not-a-virus.AdWare.Win32.FunWeb.e - 2
not-a-virus.AdWare.Win32.SideFind - 1
not-a-virus.Downloader.Win32.WinFixer.m - 1
not-a-virus.Downloader.Win32.WinFixer.o - 10
not-a-virus.NetTool.Win32.Scan.b - 1
not-a-virus.Porn-Dialer.Win32.DialWeb - 1
not-a-virus.Porn-Dialer.Win32.GBDialer.i - 4
not-a-virus.RiskTool.Win32.PsKill.j - 1
not-virus.Hoax.Win32.Renos.eo - 1

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.Small.dam - 35
2. Email-Worm.Win32.Banwarum.f - 24
3. Trojan-Downloader.Win32.Zlob.anj - 23
4. Trojan-Downloader.Win32.INService.gen - 15
5. Trojan-Downloader.Win32.Zlob.bal - 11
6. Trojan-Downloader.Win32.Zlob.ayr - 11
7. not-a-virus.Downloader.Win32.WinFixer.o - 10
8. Trojan.Win32.Agent.rx - 10
9. Trojan-Downloader.Win32.Zlob.bak - 9
10. Trojan-Downloader.Win32.Tiny.bm - 7
11. Trojan-Downloader.Win32.Zlob.azp - 6
12. Trojan-Spy.Win32.BZub.fz - 6
13. Trojan-Downloader.Win32.Zlob.azr - 4
14. not-a-virus.Porn-Dialer.Win32.GBDialer.i - 4
15. Trojan-Downloader.Win32.Zlob.aza - 4
16. Trojan-Dropper.Win32.Agent.azn - 4
17. Trojan-Clicker.Win32.Small.cc - 4
18. Trojan-Downloader.Win32.Small.ddp - 3
19. Rootkit.Win32.Agent.cj - 3
20. Trojan-Downloader.Win32.Tiny.eo - 3
21. Trojan-Downloader.Win32.Small.cib - 3
22. Trojan-Downloader.Win32.Obfuscated.n - 3
23. Trojan-Downloader.Win32.Small.dex - 3
24. Trojan-Clicker.Win32.Small.kj - 3
25. Trojan-Downloader.Win32.Zlob.ban - 3
26. Trojan-Downloader.Win32.Delf.awg - 3
27. Trojan-Downloader.Win32.Zlob.baf - 2
28. not-a-virus.AdWare.Win32.FunWeb.e - 2
29. IM-Worm.Win32.Qucan.n - 2
30. Trojan.Win32.Pakes - 2
31. Email-Worm.Win32.Warezov.et - 2
32. Trojan-Dropper.Win32.Agent.ol - 2
33. Trojan-Proxy.Win32.Agent.ji - 2
34. Trojan-Downloader.Win32.Zlob.ayp - 2
35. Trojan-Downloader.Win32.Zlob.ayn - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 58
2. Trojan-Proxy - 13
3. Trojan - 13
4. Email-Worm - 8
5. Trojan-PSW - 6
6. Backdoor - 6
7. Trojan-Dropper - 6
8. Trojan-Clicker - 6
9. Trojan-Spy - 5
10. AdWare - 3
11. IM-Worm - 2
12. Downloader - 2
13. Porn-Dialer - 2
14. Packed - 1
15. SpamTool - 1
16. Rootkit - 1
17. NetTool - 1
18. RiskTool - 1
19. not-virus - 1

TOP по встречаемости семейств :

1. Trojan-Downloader.Win32.Small - 24
2. Trojan-Downloader.Win32.Zlob - 18
3. Trojan.Win32.Agent - 7
4. Email-Worm.Win32.Warezov - 4
5. Trojan-Downloader.Win32.Delf - 4
6. Trojan-Proxy.Win32.Agent - 4
7. Trojan-Dropper.Win32.Agent - 4
8. Trojan-Proxy.Win32.Dlena - 3
9. Trojan-Spy.Win32.Goldun - 2
10. Trojan-Spy.Win32.BZub - 2
11. Trojan-Clicker.Win32.Small - 2
12. Backdoor.Win32.Agent - 2
13. Trojan-Downloader.Win32.Agent - 2
14. Trojan-Downloader.Win32.Tiny - 2
15. Trojan.Win32.Dialer - 2
16. IM-Worm.Win32.Qucan - 2
17. not-a-virus.Downloader.Win32.WinFixer - 2
03.12.2006, 02:20
MOCT

Накопилась кучка ITW-заразы, которая на момент обнаружения не детектировалась "Антивирусом Касперского", а через неделю-другую стала детектироваться. Статистика по этой заразе приведена ниже.

Всего найдено 86 вредоносных программ 43 наименований.

Список найденного:

Backdoor.Win32.Agent.aex - 1
Backdoor.Win32.Small.ls - 1
Email-Worm.Win32.Banwarum.f - 31
IM-Worm.Win32.Sohanad.e - 1
Packed.Win32.Klone.j - 1
Trojan-Downloader.Win32.Agent.uj - 1
Trojan-Downloader.Win32.Banload.bpy - 1
Trojan-Downloader.Win32.Cryptic.dp - 1
Trojan-Downloader.Win32.Femad.gen - 1
Trojan-Downloader.Win32.Small.cyn - 4
Trojan-Downloader.Win32.Small.dex - 1
Trojan-Downloader.Win32.Small.dzl - 1
Trojan-Downloader.Win32.Small.eaw - 1
Trojan-Downloader.Win32.Small.ebf - 1
Trojan-Downloader.Win32.Tiny.bm - 1
Trojan-Downloader.Win32.VB.ann - 1
Trojan-Downloader.Win32.Zlob.azj - 1
Trojan-Downloader.Win32.Zlob.bbo - 4
Trojan-Dropper.Win32.Agent.ata - 2
Trojan-Dropper.Win32.Agent.azn - 1
Trojan-Dropper.Win32.Small.auj - 3
Trojan-PSW.Win32.LdPinch.bek - 1
Trojan-PSW.Win32.LdPinch.beq - 1
Trojan-PSW.Win32.Nilage.avn - 1
Trojan-PSW.Win32.OnLineGames.bv - 1
Trojan-PSW.Win32.VB.jy - 1
Trojan-Proxy.Win32.Agent.lp - 1
Trojan-Proxy.Win32.Dlena.am - 1
Trojan-Proxy.Win32.Dlena.an - 1
Trojan-Proxy.Win32.Dlena.ap - 1
Trojan-Proxy.Win32.Dlena.aq - 1
Trojan-Proxy.Win32.Horst.ls - 1
Trojan-Proxy.Win32.Horst.pk - 1
Trojan-Proxy.Win32.Horst.pq - 1
Trojan-Proxy.Win32.Lager.eq - 3
Trojan-Spy.Win32.EmailSpy.e - 1
Trojan-Spy.Win32.Goldun.nw - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.ws - 2
Trojan.Win32.BHO.d - 2
Trojan.Win32.BHO.o - 1
Trojan.Win32.HideProc.g - 1
Trojan.Win32.Pakes - 1

TOP по количеству разновидностей:

1. Email-Worm.Win32.Banwarum.f - 31
2. Trojan-Downloader.Win32.Small.cyn - 4
3. Trojan-Downloader.Win32.Zlob.bbo - 4
4. Trojan-Proxy.Win32.Lager.eq - 3
5. Trojan-Dropper.Win32.Small.auj - 3
6. Trojan-Dropper.Win32.Agent.ata - 2
7. Trojan.Win32.BHO.d - 2
8. Trojan.Win32.Agent.ws - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 13
2. Trojan-Proxy - 9
3. Trojan - 6
4. Trojan-PSW - 5
5. Trojan-Dropper - 3
6. Trojan-Spy - 2
7. Backdoor - 2
8. IM-Worm - 1
9. Packed - 1
10. Email-Worm - 1

TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 5
2. Trojan-Proxy.Win32.Dlena - 4
3. Trojan-Proxy.Win32.Horst - 3
4. Trojan-Downloader.Win32.Zlob - 2
5. Trojan-PSW.Win32.LdPinch - 2
6. Trojan-Dropper.Win32.Agent - 2
7. Trojan.Win32.BHO - 2
8. Trojan.Win32.Agent - 2
03.12.2006, 14:35
rav

Кстати, давно хотел спросить- какова, в среднем, доля недетектируемых антивирусами зловредов в общем потоке и какова общая тенденция увеличения (или уменьшения) этой доли в процентном соотношении (если не секрет, конечно)?
03.12.2006, 16:57
MOCT

[QUOTE=rav]Кстати, давно хотел спросить- какова, в среднем, доля недетектируемых антивирусами зловредов в общем потоке и какова общая тенденция увеличения (или уменьшения) этой доли в процентном соотношении (если не секрет, конечно)?[/QUOTE]
Секрета никакого нет.
Но вопрос сложный: как оценивать эту долю? Кол-во недетектируемых к кол-ву детектируемых? На момент обнаружения или через какой-то срок?

Специально такая статистика мной не велась. Если встречается ITW недетектируемая вредоносная программа, которая уже встречалась мне вчера, позавчера, неделю назад и т.д., то она отдельно не откладывается и в списки недетектируемых не попадает.

Предлагаю расклад по вредоносным программам, которые попали в сети вместе с детектируемыми, данные на которых публиковались 23 и 27 ноября и которые с тех пор так и не стали детектироваться (т.е. не считая тех, которые опубликованы сегодня). В этом рейтинге не учитываются подбрасываемые на диск или выкачиваемые из сети вредоносные файлы - только те, что именно попались используемым мной методом.

В отдельную группу также выношу 27 разновидностей китайской программы CNNIC, поскольку нет единого мнения относительно ее вредоносности и ни одну имеющуюся разновидность (в том числе помимо этих 27 файлов) не детектирует "Антивирус Касперского".

Среди недетектируемого осталось 38 образцов вредоносных программ, среди которых (группировка по числу разновидностей):
dropper: 1+1+1+1+1(Goldun)+1+1=7
trojan: 2+1(LowZones)+1=4
clicker: 1=1
dialer: 1+1+1=3
downloader: 2+1+1+1+1+3(winfixer)+3+1+1+1+2=17
proxy: 1+1=2
spy: 1+2(BZub)=3
psw: 1(LdPinch)=1

Отдельно есть папка с 25 файлами, до разбора которых и отнесения к конкретному семейству руки просто не доходят.

Общая тенденция - кол-во недетектируемых зловредов постоянно увеличивается. Продолжают встречаться недетектируемые зловреды, которые впервые попались еще более месяца назад, но до сих пор не попали в АВ базы. При этом каждый раз добавляется около 50 новых недетектируемых зловредов. Таким образом все это накапливается и суммируется и общее кол-во недетектируемых, но активных зловредов, растет.

Замечена нехорошая тенденция при которой подбрасываемый дроппером файл детектируется АВ, а сам дроппер остается недетектируемым. В итоге мы получаем ситуации, когда на компьютере, уже отключенном от сети, антивирус ежедневно обнаруживает и удаляет одни и те же троянские программы, но первопричина ему остается неизвестна. Такими обращениями забит раздел "Помогите!" и тесты зловредов ITW это подтверждают.

Также у АВ имеются проблемы с распознаванием упаковщиков. Иногда троян, зажатый банальным UPX не детектируется, и начинает обнаруживаться после распаковки с помощью самого UPX. (upx.exe -d file.exe). Таким образом троян в дикой природе невидим для АВ.

Если интересует более серьезная аналитика, с математическими выкладками и графиками, с образцами зловредов - обращайтесь. Возможно все ;-)
03.12.2006, 17:04
Geser

Конечно интересно. Только проблема с выбором антивируса. Если выбрать один КАВ то представители ЛК начнут жаловаться на дескридитацию продукта. Мол входит один КАв ничего из нового не ловит. НУжно уж тогда, как мимимум 3-4 антивируса.
03.12.2006, 17:26
MOCT

[QUOTE=Geser]Конечно интересно. Только проблема с выбором антивируса. Если выбрать один КАВ то представители ЛК начнут жаловаться на дескридитацию продукта.
[/QUOTE]
А чего его дескредитировать? Он сам себя дескредитировал, причем давно, всерьез и надолго. При этом никакого стороннего участия уже не требуется. Как говорится, "с такими друзьями и врагов не надо"

[QUOTE=Geser]
Мол входит один КАв ничего из нового не ловит. НУжно уж тогда, как мимимум 3-4 антивируса.[/QUOTE]
1. у меня нет лицензий (кроме VBA32)
2. мне жалко захламлять компьютер хвостами от 4 АВ, которые как зараза пропишутся в потаенные ветки реестра и будут мешать спокойной работе.
3. результаты других АВ выглядят еще печальнее.

Когда аналогичные тесты проводились в мае с участием 4 АВ (KAV, VBA32, AVZ, McAfee), то больше "КАВ" не нашел никто. Через полгода AVZ вышел на уровень "КАВ". McAfee в тот раз нашел только 50% от найденного "КАВ".
03.12.2006, 18:35
Geser

А если сделать виртуальный и все проверки на нём?
03.12.2006, 20:07
MOCT

[QUOTE=Geser]А если сделать виртуальный и все проверки на нём?[/QUOTE]
В настоящий момент все эти проверки и так отнимают порядочно времени, так что обслуживание виртуального компьютера отнюдь не упростит жизнь. Тем более, что придется качать обновления баз уже не для 1-2, а для 4 антивирусов, причем ежедневно. К тому же, какие 4 АВ не будут выбраны, все равно останется недовольство и вопросы "а почему именно эти?". Пока простого решения этой проблемы я не вижу.
:(

Не понял только, к чему было это:
[QUOTE]
почему если ты прыгнешь с обрыва ты упадешь и разобьёшся, а не полетишь как птица
[/quote]
03.12.2006, 20:34
rav

[QUOTE=MOCT]Но вопрос сложный: как оценивать эту долю? Кол-во недетектируемых к кол-ву детектируемых? На момент обнаружения или через какой-то срок?[/QUOTE]

Меня скорее интересует процент недетектируемых зловредов из пойманных вообще (процент новых не столь важен, поскольку, если зловред недетектируем, то никто, скорее всего, не будет заморачиваться и морфировать его). То есть, некое моделирование реальной ситуации, когда человек попал на "правильный" сайт и ему набросали модулей- сколько из них антивирус вообще не возьмёт? Или прилетело письмо с аттачем- какова вероятность, что антивирус будет молчать как зарезанный? Так можно понять реальный рейтинг антивирусов (а не высосанный из пальца по ретроспективным тестам палёного) и обозначить тенденции снижения реальной эффективности антивирусного ПО.

Просто у меня есть некоторые мысли по тенденциям развития ситуации и захотелось понять, насколько они коррелируют с текущей реальностью.
03.12.2006, 21:01
Geser

[QUOTE=MOCT]
Не понял только, к чему было это:[/QUOTE]
А это не туда скопировал случаем :)
03.12.2006, 21:36
MOCT

[QUOTE=rav]Меня скорее интересует процент недетектируемых зловредов из пойманных вообще (процент новых не столь важен, поскольку, если зловред недетектируем, то никто, скорее всего, не будет заморачиваться и морфировать его). То есть, некое моделирование реальной ситуации, когда человек попал на "правильный" сайт и ему набросали модулей- сколько из них антивирус вообще не возьмёт?
[/quote]
Если тупо просуммировать данные по пойманным за два дня, то получится 456 троянов. (причем реальная цифра будем немного ниже, т.к. между этими двумя днями были некоторые повторы, т.е. на самом деле реально получим около 350 различных вредоносных программ).
В то же время осталось не найденным АВ на момент поимки ITW 149 вредоносных программ (тут уже без дублей, да еще без учета 27 штук CNNIC).
Т.о. имеем, что кол-во недетектируемого относится к кол-ву детектируемого как 1:2 или 1:3. Т.е. каждый третий затрояненый сайт будет пропущен антивирусом.
Еще раз повторю, что подсчеты довольно грубые.
В ближайших тестах буду учитывать пожелания общественности и отдельно учитывать недетектирующиеся образцы.

[QUOTE=rav]
Просто у меня есть некоторые мысли по тенденциям развития ситуации и захотелось понять, насколько они коррелируют с текущей реальностью.[/QUOTE]
Было бы интересно послушать эти мысли.
04.12.2006, 14:50
rav

[QUOTE=MOCT]Было бы интересно послушать эти мысли.[/QUOTE]

А мысли простые. Поскольку зловредораспространение уже давно есть бизнес, и бизнес очень прибыльный, то каждое детектирование есть потеря прибыли. Соответственно, если твой модуль невидим антивирусами- ты в шоколаде. Это должно привести к увеличению доли недетектируемого зловредного ПО, его модульности (если одни из компонентов начнёт детектироваться- его через апдейт-модуль немедленно заменяют на новый, недетектируемый) и продвинутости метаморфизма (перепаковка скоро уйдёт в прошлое, на первый план выйдут иные методы). То есть, лигически, можно предсказать увеличение доли недетекта (как по сигнатурам, так и по эвристике) в общем потоке зловредов и снижение эффективности традиционных антивирусных средств. Просто хотелось "пощупать" реальные цифры и сравнить с прогнозом. Получить конкретные оценки обоих параметров (рейтинг роста недетекта, рейтинг снижения эффективности).
05.12.2006, 00:07
MOCT

[QUOTE=rav]Это должно привести к увеличению доли недетектируемого зловредного ПО, его модульности (если одни из компонентов начнёт детектироваться- его через апдейт-модуль немедленно заменяют на новый, недетектируемый) и продвинутости метаморфизма (перепаковка скоро уйдёт в прошлое, на первый план выйдут иные методы). То есть, лигически, можно предсказать увеличение доли недетекта (как по сигнатурам, так и по эвристике) в общем потоке зловредов и снижение эффективности традиционных антивирусных средств. [/QUOTE]
мысли правильные. в следующем посте - результаты поисков в минувшие выходные.
05.12.2006, 00:10
MOCT

Всего найдено 214 вредоносных программ 103 наименований.

Список найденного:

Backdoor.Win32.Agent.tk - 1
Backdoor.Win32.Medbot.az - 1
Backdoor.Win32.Padodor.ax - 1
Backdoor.Win32.Small.ls - 1
Backdoor.Win32.Zosu.b - 1
Email-Worm.Win32.Banwarum.f - 1
Email-Worm.Win32.Scano.av - 1
Email-Worm.Win32.Warezov.et - 1
Email-Worm.Win32.Warezov.ew - 1
Email-Worm.Win32.Warezov.ex - 1
Email-Worm.Win32.Warezov.hb - 2
Email-Worm.Win32.Warezov.hc - 1
IM-Worm.Win32.Qucan.n - 1
IM-Worm.Win32.Sohanad.e - 1
Net-Worm.Win32.Padobot.h - 1
Net-Worm.Win32.Padobot.n - 1
Packed.Win32.Klone.g - 1
Rootkit.Win32.Agent.cj - 2
SpamTool.Win32.Agent.i - 1
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Clicker.Win32.Costrat.t - 1
Trojan-Clicker.Win32.Qabar.a - 1
Trojan-Clicker.Win32.XLite.c - 1
Trojan-Downloader.HTML.Agent.i - 1
Trojan-Downloader.Win32.Agent.axs - 1
Trojan-Downloader.Win32.Agent.ip - 1
Trojan-Downloader.Win32.Agent.uj - 1
Trojan-Downloader.Win32.CWS.ah - 1
Trojan-Downloader.Win32.Delf.awg - 3
Trojan-Downloader.Win32.Dyfuca.dt - 1
Trojan-Downloader.Win32.INService.gen - 5
Trojan-Downloader.Win32.IstBar.gen - 2
Trojan-Downloader.Win32.IstBar.pn - 1
Trojan-Downloader.Win32.Obfuscated.n - 3
Trojan-Downloader.Win32.PurityScan.co - 1
Trojan-Downloader.Win32.Small.cib - 2
Trojan-Downloader.Win32.Small.coy - 1
Trojan-Downloader.Win32.Small.cpt - 2
Trojan-Downloader.Win32.Small.crc - 1
Trojan-Downloader.Win32.Small.cxx - 1
Trojan-Downloader.Win32.Small.cyn - 2
Trojan-Downloader.Win32.Small.dam - 16
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.doq - 1
Trojan-Downloader.Win32.Small.dzd - 1
Trojan-Downloader.Win32.Small.dze - 1
Trojan-Downloader.Win32.Small.dzl - 1
Trojan-Downloader.Win32.Small.on - 1
Trojan-Downloader.Win32.Swizzor.dv - 1
Trojan-Downloader.Win32.Tiny.bm - 6
Trojan-Downloader.Win32.Tiny.eo - 3
Trojan-Downloader.Win32.Tiny.et - 35
Trojan-Downloader.Win32.Zlob.ayz - 1
Trojan-Downloader.Win32.Zlob.ban - 7
Trojan-Downloader.Win32.Zlob.bay - 1
Trojan-Downloader.Win32.Zlob.baz - 1
Trojan-Downloader.Win32.Zlob.bbo - 1
Trojan-Downloader.Win32.Zlob.bbp - 7
Trojan-Downloader.Win32.Zlob.bbs - 2
Trojan-Downloader.Win32.Zlob.bbu - 2
Trojan-Downloader.Win32.Zlob.bbx - 10
Trojan-Downloader.Win32.Zlob.bby - 1
Trojan-Dropper.Win32.Agent.ays - 1
Trojan-Dropper.Win32.Agent.azk - 1
Trojan-Dropper.Win32.Agent.azn - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-Dropper.Win32.Small.auc - 1
Trojan-Dropper.Win32.Small.auj - 1
Trojan-PSW.Win32.LdPinch.awp - 1
Trojan-PSW.Win32.VB.jy - 1
Trojan-Proxy.Win32.Agent.ji - 1
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Agent.lg - 1
Trojan-Proxy.Win32.Agent.lq - 1
Trojan-Proxy.Win32.Dlena.ap - 1
Trojan-Proxy.Win32.Dlena.ar - 1
Trojan-Proxy.Win32.Dlena.as - 1
Trojan-Proxy.Win32.Horst.kq - 1
Trojan-Proxy.Win32.Horst.pl - 1
Trojan-Proxy.Win32.Horst.pp - 1
Trojan-Proxy.Win32.Horst.pv - 1
Trojan-Proxy.Win32.Ranky.gen - 1
Trojan-Proxy.Win32.Small.bo - 1
Trojan-Proxy.Win32.Xorpix.am - 1
Trojan-Proxy.Win32.Xorpix.ar - 1
Trojan-Spy.Win32.BZub.fz - 2
Trojan-Spy.Win32.Goldun.nr - 1
Trojan-Spy.Win32.Goldun.nw - 1
Trojan-Spy.Win32.Small.ak - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.rx - 3
Trojan.Win32.Agent.vg - 2
Trojan.Win32.Delf.yy - 1
Trojan.Win32.Pakes - 2
Trojan.Win32.Spabot.ai - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.FunWeb.e - 2
not-a-virus.AdWare.Win32.HotBar.bj - 2
not-a-virus.AdWare.Win32.SurfSide.ax - 1
not-a-virus.Downloader.Win32.PopCap.a - 1
not-a-virus.Downloader.Win32.WinFixer.o - 7
not-a-virus.Porn-Dialer.Win32.FreeFoto - 3

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.Tiny.et - 35
2. Trojan-Downloader.Win32.Small.dam - 16
3. Trojan-Downloader.Win32.Zlob.bbx - 10
4. Trojan-Downloader.Win32.Zlob.ban - 7
5. not-a-virus.Downloader.Win32.WinFixer.o - 7
6. Trojan-Downloader.Win32.Zlob.bbp - 7
7. Trojan-Downloader.Win32.Tiny.bm - 6
8. Trojan-Downloader.Win32.INService.gen - 5
9. not-a-virus.Porn-Dialer.Win32.FreeFoto - 3
10. Trojan-Downloader.Win32.Small.ddp - 3
11. Trojan.Win32.Agent.rx - 3
12. Trojan-Downloader.Win32.Obfuscated.n - 3
13. Trojan-Downloader.Win32.Tiny.eo - 3
14. Trojan-Downloader.Win32.Delf.awg - 3
15. Trojan.Win32.Pakes - 2
16. Trojan.Win32.Agent.vg - 2
17. not-a-virus.AdWare.Win32.HotBar.bj - 2
18. Rootkit.Win32.Agent.cj - 2
19. Trojan-Spy.Win32.BZub.fz - 2
20. not-a-virus.AdWare.Win32.FunWeb.e - 2
21. Email-Worm.Win32.Warezov.hb - 2
22. Trojan-Downloader.Win32.Small.cyn - 2
23. Trojan-Downloader.Win32.Small.cpt - 2
24. Trojan-Downloader.Win32.Small.cib - 2
25. Trojan-Downloader.Win32.Zlob.bbu - 2
26. Trojan-Downloader.Win32.IstBar.gen - 2
27. Trojan-Downloader.Win32.Zlob.bbs - 2
28. not-a-virus.AdWare.Win32.BetterInternet.au - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 39
2. Trojan-Proxy - 15
3. Email-Worm - 7
4. Trojan - 7
5. Trojan-Dropper - 6
6. Backdoor - 5
7. Trojan-Spy - 4
8. AdWare - 4
9. Trojan-Clicker - 4
10. Trojan-PSW - 2
11. Downloader - 2
12. Net-Worm - 2
13. IM-Worm - 2
14. Packed - 1
15. SpamTool - 1
16. Rootkit - 1
17. Porn-Dialer - 1

TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 13
2. Trojan-Downloader.Win32.Zlob - 10
3. Email-Worm.Win32.Warezov - 5
4. Trojan-Proxy.Win32.Agent - 4
5. Trojan-Proxy.Win32.Horst - 4
6. Trojan.Win32.Agent - 4
7. Trojan-Downloader.Win32.Tiny - 3
8. Trojan-Dropper.Win32.Agent - 3
9. Trojan-Downloader.Win32.Agent - 3
10. Trojan-Proxy.Win32.Dlena - 3
11. Trojan-Proxy.Win32.Xorpix - 2
12. Net-Worm.Win32.Padobot - 2
13. Trojan-Dropper.Win32.Small - 2
14. Trojan-Downloader.Win32.IstBar - 2
15. Trojan-Clicker.Win32.Costrat - 2
16. Trojan-Spy.Win32.Goldun - 2

Помимо детектируемых, есть и недетектируемые.
Всего: 40 недетектируемых вредоносных программ, и еще 4, которые могут быть легко отнесены к вредоносным (убивалка процессов, бешеная мышка и т.п.).
Из недетектируемых:
Downloader: 1+1(типа Agent.bpp)+1+1+1=5
Dropper: 1+1+1(Seekmo)+1(TrustIn)=4
Spy: 1(BZub)+1(Goldun)=2
Hijacker: 1+1=2
Dialer: 1
PassGrabber: 1
SpamBot: 1
PassBruteforcer: 1
Trojan.LowZones: 1
Clicker: 3
неотсортированных: 19

Т.о. в данной группе файлов получили соотношение 214:40, т.е. 16% недетектируемой заразы от общего числа пойманной заразы.
05.12.2006, 08:53
MOCT

Дополнение к предыдущему посту: нашел не 40, а 41 недетектирующийся образец (+1 Downloader).

Из числа 19 ранее не протестированных один идентифицирован как Downloader, причем все закачиваемые файлы - не детектируются.

КАВ стал детектировать два файла - Trojan-Dropper.Win32.MultiJoiner.a и Trojan-Downloader.Win32.Femad.ba.

Теперь о грустном: КАВ детектирует троянов без предварительной распаковки. Так например Trojan-Downloader.Win32.Femad.ba после распаковки родным упаковщиком UPX начинает детектироваться как Trojan-Downloader.Win32.Femad.gen

И еще - у 3 из 4 дропперов детектируется сам подбрасываемый файл, но не детектируется оболочка.
05.12.2006, 15:58
rav

[QUOTE=MOCT]Теперь о грустном: КАВ детектирует троянов без предварительной распаковки. Так например Trojan-Downloader.Win32.Femad.ba после распаковки родным упаковщиком UPX начинает детектироваться как Trojan-Downloader.Win32.Femad.gen[/QUOTE]

А это говорит о том, что их вирлаб уже захлёбывается
. Кстати, одно из последствий увеличения количества недетекта и, одновременно, требования к быстрому сигнатурному обновлению.
07.12.2006, 02:06
MOCT

Всего найдено 95 вредоносных программ 55 наименований.

Список найденного:

Backdoor.Win32.Small.ls - 1
Email-Worm.Win32.Bagle.gl - 1
Email-Worm.Win32.Bagle.gs - 1
Email-Worm.Win32.Banwarum.f - 1
Email-Worm.Win32.Glowa.n - 6
Email-Worm.Win32.Warezov.dq - 1
Email-Worm.Win32.Warezov.et - 2
Email-Worm.Win32.Warezov.fh - 5
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Downloader.Win32.Agent.axs - 1
Trojan-Downloader.Win32.Agent.ip - 1
Trojan-Downloader.Win32.CWS.ah - 1
Trojan-Downloader.Win32.Delf.awg - 1
Trojan-Downloader.Win32.INService.gen - 1
Trojan-Downloader.Win32.Small.cpt - 1
Trojan-Downloader.Win32.Small.crd - 1
Trojan-Downloader.Win32.Small.cyn - 1
Trojan-Downloader.Win32.Small.dam - 1
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.doq - 1
Trojan-Downloader.Win32.Small.dwc - 2
Trojan-Downloader.Win32.Tiny.et - 17
Trojan-Downloader.Win32.Zlob.bag - 6
Trojan-Downloader.Win32.Zlob.bbo - 1
Trojan-Downloader.Win32.Zlob.bcd - 7
Trojan-Dropper.Win32.Agent.ata - 1
Trojan-Dropper.Win32.Agent.azk - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-Dropper.Win32.VB.ny - 1
Trojan-PSW.Win32.LdPinch.art - 1
Trojan-PSW.Win32.VB.jy - 1
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Agent.lb - 1
Trojan-Proxy.Win32.Delf.bm - 1
Trojan-Proxy.Win32.Dlena.ap - 1
Trojan-Proxy.Win32.Horst.pl - 1
Trojan-Proxy.Win32.Small.bo - 1
Trojan-Proxy.Win32.Wopla.ac - 1
Trojan-Proxy.Win32.Xorpix.ar - 1
Trojan-Spy.Win32.BZub.fz - 1
Trojan-Spy.Win32.Goldun.mc - 1
Trojan-Spy.Win32.Small.ak - 1
Trojan-Spy.Win32.Webmoner.bj - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.vg - 1
Trojan.Win32.DNSChanger.gx - 1
Trojan.Win32.Delf.yy - 1
Trojan.Win32.Pakes - 1
Trojan.Win32.Spabot.ai - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 1
not-a-virus.AdWare.Win32.Softomate.u - 1
not-a-virus.Downloader.Win32.WinFixer.o - 1
not-a-virus.Monitor.Win32.Ardamax.k - 1
not-a-virus.Porn-Dialer.Win32.PluginAccess.s - 1

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.Tiny.et - 17
2. Trojan-Downloader.Win32.Zlob.bcd - 7
3. Trojan-Downloader.Win32.Zlob.bag - 6
4. Email-Worm.Win32.Glowa.n - 6
5. Email-Worm.Win32.Warezov.fh - 5
6. Trojan-Downloader.Win32.Small.ddp - 3
7. Email-Worm.Win32.Warezov.et - 2
8. Trojan-Downloader.Win32.Small.dwc - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 16
2. Trojan-Proxy - 8
3. Trojan - 7
4. Email-Worm - 7
5. Trojan-Dropper - 4
6. Trojan-Spy - 4
7. Trojan-PSW - 2
8. AdWare - 2
9. Backdoor - 1
10. Trojan-Clicker - 1
11. Downloader - 1
12. Monitor - 1
13. Porn-Dialer - 1

TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 7
2. Trojan-Downloader.Win32.Zlob - 3
3. Trojan.Win32.Agent - 3
4. Email-Worm.Win32.Warezov - 3
5. Trojan-Proxy.Win32.Agent - 2
6. Trojan-Dropper.Win32.Agent - 2
7. Trojan-Downloader.Win32.Agent - 2
8. Email-Worm.Win32.Bagle - 2
11.12.2006, 22:51
MOCT

Всего найдено 349 вредоносных программ 141 наименований.

Список найденного:

Backdoor.Win32.Padodor.ax - 1
Backdoor.Win32.Rbot.bjp - 1
Backdoor.Win32.Small.ls - 1
Email-Worm.Win32.Banwarum.f - 2
Email-Worm.Win32.Warezov.et - 2
Exploit.JS.ADODB.Stream.e - 1
IM-Worm.Win32.Qucan.h - 1
Net-Worm.Win32.Agent.b - 2
Net-Worm.Win32.Padobot.m - 1
Rootkit.Win32.Agent.cj - 3
Trojan-Clicker.Win32.Agent.ac - 2
Trojan-Clicker.Win32.Agent.hz - 1
Trojan-Clicker.Win32.Costrat.e - 1
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Clicker.Win32.Small.jf - 1
Trojan-Downloader.Win32.Agent.axs - 1
Trojan-Downloader.Win32.Agent.ip - 1
Trojan-Downloader.Win32.Delf.awg - 3
Trojan-Downloader.Win32.Delf.bcc - 2
Trojan-Downloader.Win32.Donn.ae - 1
Trojan-Downloader.Win32.Dyfuca.dt - 1
Trojan-Downloader.Win32.Dyfuca.x - 1
Trojan-Downloader.Win32.Femad.ba - 1
Trojan-Downloader.Win32.INService.gen - 35
Trojan-Downloader.Win32.IstBar.gen - 1
Trojan-Downloader.Win32.Mediket.do - 2
Trojan-Downloader.Win32.Obfuscated.n - 2
Trojan-Downloader.Win32.Small.cib - 1
Trojan-Downloader.Win32.Small.cpt - 1
Trojan-Downloader.Win32.Small.crc - 1
Trojan-Downloader.Win32.Small.crd - 1
Trojan-Downloader.Win32.Small.cwq - 1
Trojan-Downloader.Win32.Small.cxx - 1
Trojan-Downloader.Win32.Small.cyn - 1
Trojan-Downloader.Win32.Small.dam - 33
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.doq - 1
Trojan-Downloader.Win32.Small.dwc - 1
Trojan-Downloader.Win32.Small.dzd - 1
Trojan-Downloader.Win32.Small.ebq - 1
Trojan-Downloader.Win32.Small.ebu - 1
Trojan-Downloader.Win32.Small.on - 2
Trojan-Downloader.Win32.Tibs.jr - 1
Trojan-Downloader.Win32.Tiny.bm - 4
Trojan-Downloader.Win32.Tiny.ed - 3
Trojan-Downloader.Win32.Tiny.et - 31
Trojan-Downloader.Win32.Vidlo.ai - 1
Trojan-Downloader.Win32.Zlob.atu - 1
Trojan-Downloader.Win32.Zlob.awu - 1
Trojan-Downloader.Win32.Zlob.ayz - 1
Trojan-Downloader.Win32.Zlob.bag - 23
Trojan-Downloader.Win32.Zlob.bbo - 1
Trojan-Downloader.Win32.Zlob.bbq - 2
Trojan-Downloader.Win32.Zlob.bbr - 1
Trojan-Downloader.Win32.Zlob.bcd - 5
Trojan-Downloader.Win32.Zlob.bcr - 6
Trojan-Downloader.Win32.Zlob.bct - 28
Trojan-Downloader.Win32.Zlob.bdc - 1
Trojan-Downloader.Win32.Zlob.bdf - 1
Trojan-Downloader.Win32.Zlob.bdg - 1
Trojan-Downloader.Win32.Zlob.na - 1
Trojan-Dropper.Win32.Agent.azk - 1
Trojan-Dropper.Win32.Agent.azn - 1
Trojan-Dropper.Win32.Delf.aal - 4
Trojan-Dropper.Win32.Delf.rc - 1
Trojan-Dropper.Win32.MultiJoiner.a - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-Dropper.Win32.Small.auc - 1
Trojan-Dropper.Win32.VB.ny - 1
Trojan-PSW.Win32.Delf.sg - 1
Trojan-PSW.Win32.LdPinch.bfx - 1
Trojan-PSW.Win32.Lmir.bgk - 1
Trojan-PSW.Win32.Mefs.h - 1
Trojan-PSW.Win32.Nilage.apy - 1
Trojan-PSW.Win32.Nilage.azk - 1
Trojan-PSW.Win32.Nilage.azw - 1
Trojan-PSW.Win32.OnLineGames.bs - 2
Trojan-PSW.Win32.OnLineGames.cw - 1
Trojan-PSW.Win32.OnLineGames.db - 1
Trojan-PSW.Win32.QQPass.qx - 1
Trojan-PSW.Win32.Sinowal.bh - 2
Trojan-PSW.Win32.Sinowal.bi - 2
Trojan-PSW.Win32.WOW.nu - 1
Trojan-Proxy.Win32.Agent.ji - 1
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Agent.jw - 1
Trojan-Proxy.Win32.Agent.lb - 1
Trojan-Proxy.Win32.Cimuz.cl - 1
Trojan-Proxy.Win32.Dlena.an - 1
Trojan-Proxy.Win32.Dlena.ap - 1
Trojan-Proxy.Win32.Dlena.as - 1
Trojan-Proxy.Win32.Dlena.au - 1
Trojan-Proxy.Win32.Dlena.w - 1
Trojan-Proxy.Win32.Horst.pl - 1
Trojan-Proxy.Win32.Horst.pt - 1
Trojan-Proxy.Win32.Horst.qd - 1
Trojan-Proxy.Win32.Horst.qf - 1
Trojan-Proxy.Win32.Horst.ra - 2
Trojan-Proxy.Win32.Horst.sa - 1
Trojan-Proxy.Win32.Horst.sh - 5
Trojan-Proxy.Win32.Slaper.e - 1
Trojan-Proxy.Win32.Small.bo - 2
Trojan-Proxy.Win32.Small.ck - 1
Trojan-Proxy.Win32.Small.fe - 1
Trojan-Proxy.Win32.Wopla.ac - 1
Trojan-Proxy.Win32.Xorpix.ar - 1
Trojan-Spy.Win32.BZub.fz - 3
Trojan-Spy.Win32.Goldun.mc - 1
Trojan-Spy.Win32.Goldun.nw - 1
Trojan-Spy.Win32.Goldun.nx - 1
Trojan-Spy.Win32.Goldun.nz - 1
Trojan-Spy.Win32.Mailspy.b - 2
Trojan-Spy.Win32.Small.ak - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.abn - 1
Trojan.Win32.Agent.acf - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.qp - 1
Trojan.Win32.Agent.vg - 4
Trojan.Win32.BHO.d - 1
Trojan.Win32.Conycspa.i - 2
Trojan.Win32.Delf.yy - 1
Trojan.Win32.Dialer.fl - 1
Trojan.Win32.KillAV.iw - 3
Trojan.Win32.LipGame.bl - 1
Trojan.Win32.LipGame.bm - 1
Trojan.Win32.Spabot.ai - 1
Trojan.Win32.StartPage.ain - 1
not-a-virus.AdWare.Win32.Agent.at - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.FunWeb.e - 2
not-a-virus.AdWare.Win32.HotBar.bj - 1
not-a-virus.AdWare.Win32.Softomate.u - 2
not-a-virus.AdWare.Win32.SurfSide.ax - 1
not-a-virus.AdWare.Win32.Virtumonde.fn - 1
not-a-virus.Downloader.Win32.PopCap.a - 1
not-a-virus.Downloader.Win32.WinFixer.l - 1
not-a-virus.Downloader.Win32.WinFixer.o - 11
not-a-virus.PSWTool.Win32.IpdBrute.15 - 1
not-a-virus.PSWTool.Win32.Snitch.11 - 1
not-a-virus.RiskTool.Win32.PsKill.j - 1

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.INService.gen - 35
2. Trojan-Downloader.Win32.Small.dam - 33
3. Trojan-Downloader.Win32.Tiny.et - 31
4. Trojan-Downloader.Win32.Zlob.bct - 28
5. Trojan-Downloader.Win32.Zlob.bag - 23
6. not-a-virus.Downloader.Win32.WinFixer.o - 11
7. Trojan-Downloader.Win32.Zlob.bcr - 6
8. Trojan-Proxy.Win32.Horst.sh - 5
9. Trojan-Downloader.Win32.Zlob.bcd - 5
10. Trojan-Downloader.Win32.Tiny.bm - 4
11. Trojan-Dropper.Win32.Delf.aal - 4
12. Trojan.Win32.Agent.vg - 4
13. Trojan-Downloader.Win32.Tiny.ed - 3
14. Rootkit.Win32.Agent.cj - 3
15. Trojan-Downloader.Win32.Small.ddp - 3
16. Trojan-Spy.Win32.BZub.fz - 3
17. Trojan.Win32.KillAV.iw - 3
18. Trojan-Downloader.Win32.Delf.awg - 3
19. Trojan-Downloader.Win32.Delf.bcc - 2
20. Trojan-PSW.Win32.Sinowal.bi - 2
21. Trojan-PSW.Win32.Sinowal.bh - 2
22. Trojan-PSW.Win32.OnLineGames.bs - 2
23. not-a-virus.AdWare.Win32.BetterInternet.au - 2
24. Trojan-Proxy.Win32.Horst.ra - 2
25. not-a-virus.AdWare.Win32.Softomate.u - 2
26. Trojan-Downloader.Win32.Mediket.do - 2
27. Trojan-Downloader.Win32.Obfuscated.n - 2
28. Net-Worm.Win32.Agent.b - 2
29. Trojan.Win32.Conycspa.i - 2
30. Trojan-Downloader.Win32.Zlob.bbq - 2
31. Trojan-Clicker.Win32.Agent.ac - 2
32. not-a-virus.AdWare.Win32.FunWeb.e - 2
33. Trojan-Spy.Win32.Mailspy.b - 2
34. Email-Worm.Win32.Banwarum.f - 2
35. Email-Worm.Win32.Warezov.et - 2
36. Trojan-Proxy.Win32.Small.bo - 2
37. Trojan-Downloader.Win32.Small.on - 2

TOP по встречаемости типов :

1. Trojan-Downloader - 46
2. Trojan-Proxy - 23
3. Trojan - 15
4. Trojan-PSW - 14
5. Trojan-Dropper - 8
6. AdWare - 7
7. Trojan-Spy - 7
8. Trojan-Clicker - 5
9. Backdoor - 3
10. Downloader - 3
11. Net-Worm - 2
12. Email-Worm - 2
13. PSWTool - 2
14. Exploit - 1
15. IM-Worm - 1
16. Rootkit - 1
17. RiskTool - 1

TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 15
2. Trojan-Downloader.Win32.Zlob - 14
3. Trojan-Proxy.Win32.Horst - 7
4. Trojan.Win32.Agent - 6
5. Trojan-Proxy.Win32.Dlena - 5
6. Trojan-Proxy.Win32.Agent - 4
7. Trojan-Spy.Win32.Goldun - 4
8. Trojan-Downloader.Win32.Tiny - 3
9. Trojan-PSW.Win32.Nilage - 3
10. Trojan-Proxy.Win32.Small - 3
11. Trojan-PSW.Win32.OnLineGames - 3
12. Trojan-Downloader.Win32.Delf - 2
13. Trojan-PSW.Win32.Sinowal - 2
14. Trojan-Downloader.Win32.Agent - 2
15. not-a-virus.Downloader.Win32.WinFixer - 2
16. Trojan-Dropper.Win32.Delf - 2
17. Trojan-Downloader.Win32.Dyfuca - 2
18. Trojan.Win32.LipGame - 2
19. Trojan-Dropper.Win32.Agent - 2
20. Trojan-Clicker.Win32.Costrat - 2
21. Trojan-Clicker.Win32.Agent - 2

Показывать 40 сообщений этой темы на одной странице