А какие имена у полиморфов, что Вы применяли в своем тесте?
А какие имена у полиморфов, что Вы применяли в своем тесте?
anti-malware.ru
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В тесте были несколько вариантов Win32.Virut, Win32.Dwee, Win32.Alman, Win32.Polipos. Полный список сейчас не вспомню.
На этих перечисленных доктор веб и касперский должны иметь хорошие результаты.
anti-malware.ru
Ну это не полный список, а только то что вспомнилось. В плане качества лечения Dr.Web показал наилучший результат, а вот KAV и Symantec наихудшие. По Win32.Polipos: помню KAV показал наихудший результат.
Печален тот факт, что на момент начального заражения вирусом многие антивирусы его вообще не видят в системе. Исключение составляет Dr.Web.
Хм...очень странный у Вас результаты получились.Сообщение от Синауридзе Александр
Тогда в связи Вами сказанном еще пару вопросов:
1) Когда проводился Ваш эксперимент по лечению полиморфов?
2) Под какой виртуалкой проводился тест?
3) По поводу начального заражения...то есть на момент заражения у всех антивирусов кроме доктор веба отсутствовал детект на родительский файл?
anti-malware.ru
Возможно. Я не говорю, что мой тест был правильным или идеальным. Скорее даже дилетантским. Ваш тоже сделан на половину.
Тест проводился прошлым летом.
Под VMWare.
В том то и дело, что присутствовал.
Он не мойИ я не говорил что Ваш тест дилетантский
Тогда все ясно.
Win32.Alman имеет детект виртуальной машины Vmware и выключает ее при своем запуске
anti-malware.ru
Это я сам сказал.И я не говорил что Ваш тест дилетантский
Ясно что?
Это один момент.Win32.Alman имеет детект виртуальной машины Vmware и выключает ее при своем запуске
А вот уже другой, мне не понятный. Заражаем машину Win32.Polipos. Работаем на ней сутки. Все это уже без VMWare. Сканируем консольным сканером VBA32. Он ничего не находит. Странно.
Это ещё ладно - а как насчёт того, что машины заражаются несмотря на детекта? То есть - вы нажимаете на 'ОК, убей', а эффекта от этого никакого - только потом 'лечат' если везёт.
Ещё раздражает, что не все связанные с заражением файлы убираются - этот хлам обычно остаётся на компе как 'неактивным'. И ключи реестра тоже часто не отчищают или восстанавливают как следует...
Paul
Полностью с Вами согласен.
Скажу также, что я лицо не заинтересованное и восхвалять один антивирусный продукт и хаить другой мне смысла нет. Тем более, что под виндами я практически не сижу, да и Dr.Web не использую из принципиальных соображений. Что касается теста на anti-malvare.ru, то нужно провести проверку на качество лечения. Это мое мнение.
Это объясняет возможность таких результатов
В следующем тесте с полиморфами
anti-malware.ru
Вообще говоря, цитата имеет в своей основе опубликованную в киевском вирусном андерграунд-журнале "Infected Voice" классификацию Игоря Данилова:5 уровней! Изволите продолжить. Хорошо, давайте.
Код:Классификация полиморфиков по Данилову. Полиморфными вирусами называются вирусы, шифрующие свой код различными способами (обычно, использующие различные ключи шифрования) во время заражения файлов или программ. Обычно, такие вирусы содержат код генерации шифровщика и расшифровщика. Как правило, создаваемые данным генератором шифровщики и соответствующие им расшифровщики, отличаются друг от друга в различные моменты времени. Для зашифрованной части вирусного кода обязательно должна существовать подпрограмма правильного расшифрования - расшифровщик или декриптор (decryptor). В полиморфных вирусах расшифровщик не является постоянным - он изменяется для каждого инфицированного файла. Данная особенность не позволяет детектировать инфицированный файл по характерной для данного вируса строке (маске или сигнатуре). Существуют определенные уровни вирусного полиморфизма. Они были определены Alan Solomon, Mechanism of Stealth, Proceedings Fifth International Computer Virus and Security Conference, New York, March 1992, pp. 232-238. Коротко об уровнях. Уровень 1. Вирусы используют постоянные значения для разных своих расшифровщиков. Такие вирусы можно определить по некоторым постоянным участкам кода в расшифровщике. Такие вирусы, иногда, называют "не очень полиморфными" или олигоморфными (oligomorphic). Вирусы: Cheeba.A (2 decryptors), Cheeba.B (2), December_3rd (2), Slovakia.2_00 (8), Slovakia.2_02 (8), Slovakia.3_0 (8), V-Sign (6), Whale (34). Уровень 2. Расшифровщик имеет постоянной одну или несколько инструкций. Hапример, использует различные регистры, некоторые альтернативные инструкции в расшифровщике. Такие вирусы также можно определить по маске - сочетаниям определенных байт в декрипторе. Вирусы: ABC, DM.330, Flip, Jerusalem.Moctezuma, Ontario.1024, PC-Flu, Phoenix.1226, Phoenix.2000, Phoenix.Evil, Phoenix.Phoenix, Phoenix.Proud, Seat, Stasi, Suomi, Virus-101, VS.3900, VS.4000,... Уровень 3. Вирусы, использующие в расшифровщике команды, не участвующие в расшифровании вирусного кода, или "команды-мусор". Это такие команды, как NOP, MOV AX,AX, STI, CLD, CLI,... Данные вирусы также можно детектировать с помощью маски, если произвести "отсеивание" всех "мусорных" команд. Вирусы: Tequila, StarShip, V2Px.V2P1, V2Px.V2P1.Casper, V2Px.V2P2, V2Px.V2P6, DrWhite,... Уровень 4. Использование в расшифровщике взамозаменяемых инструкций и "перемешивание" инструкций между собой без изменения алгоритма расшифрования. Hапример, команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX; .... В принципе, возможно детектирование данных вирусов с помощью некоторой перебираемой маски. Уровень 5. Включает в себя использование всех перечисленных выше уровней, а также расшифровщик может использовать различные алгоритмы расшифрования вирусного кода. Также возможно использование, для расшифрования основного вирусного кода, расшифровки части самого же декриптора или нескольких расшифровщиков, поочередно расшифровывающих друг друга, либо, непосредственно, вирусный код. Как правило, детектирование вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Процесс детектирования и, особенно, лечения такого вируса - очень сложная задача и, может быть, довольно продолжительна по времени (difficult and time-consuming task). Если для детектирования такого вируса возможен серьезный анализ кода только самого расшифровщика, то для лечения необходимо произвести частичную или полную расшифровку тела вируса, для извлечения оригинальной информации о зараженном файле. Из известных мне антивирусов лечение вирусов последнего уровня полиморфизма производят -V и Dr. Web. SMEG-вирусы, по крайней мере, больше лечить никто не берется. Вирусы 4 и 5 уровней: MtE, TPE, APE, DAME, DSME, DSCE, NED, MGEN, CLME, SMEG-based, Uruguay,... И в заключение, существует еще 6 группа полиморфных вирусов. Это нешифрованные вирусы, - это вирусы, состоящие из программных единиц-частей, которые "перемешиваются" внутри тела вируса. Данные вирусы, как "кубики" тасуют свои подпрограммы (инсталляции, заражения, обработчика прерывания, анализа файла и т.д.). Такие вирусы называются пермутирующими (permutating). К данным вирусам относятся: BadBoy, BadBoy.Worthless, CommanderBomber, Leech, SN.1444,... При подготовке данного сообщения была использована статья Vesselin Bontchev 'Known Polymorphic Viruses', Secure Computing January 1994 pp. 60-63. . И. Данилов
---
С уважением,
Borka.
Ваши права в разделе
