Маленькое исследование антивирусов

[Geser]

В обчем решил я сравнить антивирусы.
Взял я известного червячка Mydoom.a
Далее исследование производится при поможи сайта http://www.virustotal.com/
Итак, первая проверка:

Scan results
File: I-Worm.Mydoom.a
Date: 07/16/2004 15:52:19
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found [Trojan.SCO.A]
eTrustAV-Inoc 4641/20040714 found [Win32/Mydoom.A.Worm]
F-Prot 3.15/20040715 found [W32/Mydoom.A]
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found [W32/Mydoom.a.dll]
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found [MyDoom.A@mm]
Panda 7.02.00/20040716 found [W32/Mydoom.A.worm]
Sybari 7.5.1314/20040716 found [Win32/Mydoom.A.Worm]
Symantec 8.0/20040715 found [W32.Mydoom.A@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.A]

Как и следовало ожифать все его знают.
Дальше весело. В оригинальном виде червь запакован одной из старых версий UPX.
Распакуем и повторим проверку.

Scan results
File: Copy of Mydoom.exe
Date: 07/16/2004 15:31:33
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [W32/Mydoom]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found [WORM_MYDOOM.GEN]

ClamWin devel-20040517,eTrustAV-Inoc 4641, F-Prot 3.15, McAfee 4377, Norman 5.70.10, Panda 7.02.00 не знают паковщиков.
Теперь запакуем его aspack

Scan results
File: Mydoom aspack.exe
Date: 07/16/2004 15:31:52
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found [Win32/Mydoom.A]
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing

Итак, Symantec 8.0 и TrendMicro 7.000 с паковщиками тоже не дружат.

Теперь натравим на червячка AvSpoffer

Scan results
File: Mydoom spoofed2.exe
Date: 07/16/2004 15:21:56
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040714 found nothing
F-Prot 3.15/20040715 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found [Fichero Sospechoso]
Sybari 7.5.1314/20040716 found [Trojan.Mydoom.A]
Symantec 8.0/20040715 found [W32.Mydoom.B@mm]
TrendMicro 7.000/20040716 found nothing

Все кто его теперь не обнаружил не имеют эмулятора кода. Как видно большинство.

Ну и, как Вы понимаете, гвоздь нашей программы AvSpoffer и после этого aspack

Scan results
File: Mydoom spoofed ASPack.exe
Date: 07/16/2004 18:13:03
----
BitDefender 7.0/20040716 found [Win32.Novarg.A@mm]
ClamWin devel-20040517/20040715 found nothing
eTrustAV-Inoc 4641/20040715 found nothing
F-Prot 3.15/20040716 found nothing
Kaspersky 4.0.2.23/20040716 found [I-Worm.Mydoom.a]
McAfee 4377/20040716 found nothing
NOD32v2 1.812/20040716 found nothing
Norman 5.70.10/20040716 found nothing
Panda 7.02.00/20040716 found nothing
Sybari 7.5.1314/20040716 found [I-Worm.Mydoom.a]
Symantec 8.0/20040715 found nothing
TrendMicro 7.000/20040716 found nothing

Как видите, только 3 антивируса поймали червячка
BitDefender 7.0, Kaspersky 4.0.2.23, и Sybari 7.5.1314При чём Sybari не считается, поскольку просто включает в себя много движков, в том числе, если судить по названию вируса, Каспера.

Кстати, все модификации обнаруживаются и ДрВебом
Так что делайте выводы

[Zveroboy]

Кстати, все модификации обнаруживаются и ДрВебом

Абсолютно согласен!!!
Аналогичные тесты проводил с Netbus.
ДрВебу равных не было!

[Geser]

А вот результаты тестирования на диких троянчиках:

Scan results
File: Dreamweaver_MX_CRAC0.exe
Date: 09/05/2004 22:28:18
----
BitDefender 7.0/20040905 found [Backdoor.SDBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.m]
NOD32v2 1.861/20040904 found [Win32/SpyBot.AFI]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: trojan_construction_kit.exe
Date: 09/05/2004 22:25:47
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Sdbot.worm.gen.j]
NOD32v2 1.861/20040904 found [Win32/SpyBot.ACP]
Norman 5.70.10/20040903 found [W32/HLLW.Gaobot_based.F]
Panda 7.02.00/20040905 found [Worm Generic]
Sybari 7.5.1314/20040905 found [W32/HLLW.Gaobot_based.]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: halo-keygen.exe
Date: 09/05/2004 22:26:17
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/Spybot.worm.gen.a]
Symantec 8.0/20040905 found [W32.Spybot.Worm]
TrendMicro 7.000/20040901 found nothing

Scan results
File: Counter-Strike CD Key-Generator.exe
Date: 09/05/2004 21:56:47
----
BitDefender 7.0/20040905 found [Trojan.Downloader.Small.JF]
ClamWin devel-20040822/20040905 found [Trojan.Downloader.Small.JF]
Kaspersky 4.0.2.24/20040905 found [TrojanDownloader.Win32.Small.jl]
McAfee 4389/20040901 found nothing
NOD32v2 1.861/20040904 found [Win32/TrojanDownloader.Small.JG]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Trj/Downloader.EO]
Sybari 7.5.1314/20040905 found [Troj/Small-JG]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found [TROJ_SMALL.CC]

Scan results
File: Adobe PhotoShop 7.0 serial key.exe
Date: 09/05/2004 21:52:53
----
BitDefender 7.0/20040905 found [TrojanDropper.Win32.Small.E]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [TrojanDropper.Win32.Small.e]
McAfee 4389/20040901 found [MultiDropper-BD]
NOD32v2 1.861/20040904 found [Win32/TrojanDropper.Small.E]
Norman 5.70.10/20040903 found [W32/Backdoor]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [MultiDropper-BD]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

Scan results
File: Battlefied1942 Pack4 (crack+bloodpatch) (20.exe
Date: 09/05/2004 21:49:26
----
BitDefender 7.0/20040905 found [Win32.Worm.P2P.SdDrop.C]
ClamWin devel-20040822/20040905 found [Worm.SdDrop.A]
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SdDrop.c]
McAfee 4389/20040901 found [W32/Sddrop.worm]
NOD32v2 1.861/20040904 found [Win32/Sddrop.C]
Norman 5.70.10/20040903 found [SDDrop.C]
Panda 7.02.00/20040905 found nothing
Sybari 7.5.1314/20040905 found [W32/KWBot-E]
Symantec 8.0/20040905 found [W32.Kwbot.F.Worm]
TrendMicro 7.000/20040901 found [WORM_SDDROP.C]

Scan results
File: trojan.exe
Date: 09/05/2004 21:40:41
----
BitDefender 7.0/20040905 found [Backdoor.Evilbot.B]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Backdoor.Evilbot.a]
McAfee 4389/20040901 found [BackDoor-OG]
NOD32v2 1.861/20040904 found [Win32/Brat]
Norman 5.70.10/20040903 found nothing
Panda 7.02.00/20040905 found [Bck/Brat.A]
Sybari 7.5.1314/20040905 found [W32/Evilbot.]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

Scan results
File: NBA2003_crack.exe
Date: 09/05/2004 21:39:12
----
BitDefender 7.0/20040905 found [Win32.P2P.SpyBot.Gen]
ClamWin devel-20040822/20040905 found nothing
Kaspersky 4.0.2.24/20040905 found [Worm.P2P.SpyBot.gen]
McAfee 4389/20040901 found [W32/Spybot.worm.gen.a]
NOD32v2 1.861/20040904 found [probably unknown NewHeur_PE]
Norman 5.70.10/20040903 found [W32/Malware]
Panda 7.02.00/20040905 found [W32/Spybot.gen.worm]
Sybari 7.5.1314/20040905 found [Worm.P2P.SpyBot.gen]
Symantec 8.0/20040905 found nothing
TrendMicro 7.000/20040901 found nothing

DrWeb определил все.

[userr]

Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?

[serge]

Такой вопрос:
берем известный Drweb вирус, пакуем его пакером, неизвестным Drweb. Лежащий на диске такой файл ни сканер, ни монитор не поймают. Не сможет ли Спайдер отловить его при запуске и распаковке в памяти?

Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).

[userr]

Это вряд ли. Скорее всего вирус запустится и спайдер не сможет ему помешать. Однако при проверке памяти, этот вирус вполне может быть обнаружен, поскольку там он находится в распакованном виде (если, конечно, вирус не успеет сделать все, что ему нужно и завершиться до проверки памяти).

А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)

[Geser]

А Спайдер не следит постоянно за активностью в памяти? А ваш антивирус? (или так не бывает?)

Не бывает

[Dr.Xmas]

Не бывает

можно сделать, но это (проверка текущих процессов) очень ресурсоёмкий процесс. пользователь застрелится первым

[maXmo]

А Спайдер не следит постоянно за активностью в памяти?

не помню, я писал про ето?

Реализовано принудительное сканирование файлов запущенных процессов при старте SpIDer Guard и при подгрузке обновлений вирусной базы

[Geser]

Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы

Scanner Malware name Time taken
AntiVir X 5.06 seconds
Avast X 7.62 seconds
BitDefender Win32.Bagle.AX@mm 13.47 seconds
ClamAV X 7.49 seconds
Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds
mks_vir X 1.70 seconds
NOD32 X 2.23 seconds
Norman Virus Control X 1.04 seconds

[maXmo]

а откуда такие времена проверки?

[Geser]

а откуда такие времена проверки?

http://virusscan.jotti.dhs.org/

[maXmo]

не, почему такие астрономические величины?

[Geser]

не, почему такие астрономические величины?

Там же параллельно могут несколько сканов выполняться.
Вот, забавно
Scanner Malware name Time taken
AntiVir Worm/Rbot.SK 1.30 seconds
Avast X 4.57 seconds
BitDefender X 2.86 seconds
ClamAV X 8.95 seconds
Dr.Web Win32.HLLW.MyBot 4.83 seconds
F-Prot Antivirus X 0.70 seconds
Kaspersky Anti-Virus X 4.74 seconds
mks_vir X 1.79 seconds
NOD32 X 2.70 seconds
Norman Virus Control X 1.16 seconds

[maXmo]

санина поделка что ли? :-X

[Geser]

санина поделка что ли? :-X

Не. Просто видно что есть троянчики которые ДрВеб знает, а каспер нет

[Alexey P.]

Только что наблюдал картину наглядно иллюстрируюжую скорасть реакции антивирусных фирм на нобые вирусы

Scanner Malware name Time taken
ClamAV X 7.49 seconds

Dr.Web Win32.HLLM.Beagle.18848 9.34 seconds
F-Prot Antivirus W32/Bagle.AQ@mm 0.71 seconds
Kaspersky Anti-Virus I-Worm.Bagle.at 6.59 seconds

Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.

[Geser]

Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.

Тогда выходит что некоторые антивирусы обновляются часто, а некоторые редко. Странно.

[azza]

Брехня. ClamAV этот вирь начал раньше дрвеба детектить.
Этот тест дает неверные результаты, т.к. проблема еще и в редком обновлении баз у jotti. Сталкивался несколько раз - отправляю после проверки у jotti вирус клам-аву, а он отказывает, говорит, что известный вирус.
virustotal хоть время обновления баз выводит, там более корректно все.

Для такого сравнения лучше в родных онлайнах антивирусов проверять, тогда будет правильно.

Всё объясняется гораздо проще. Ты отправляешь вирус Кламу. Там он быстро проверяется у jotti. Если ДрВеб, Каспер, или другой антивирь вирус детектят, тебе следует ответ, что вирус известный, а тем временем сигнатура добавляется в базу.

[Geser]

File: iinstall.exe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir TR/Dldr.IstBar.FY.2 (1.24 seconds taken)
Avast No viruses found (4.59 seconds taken)
BitDefender No viruses found (3.22 seconds taken)
ClamAV No viruses found (3.08 seconds taken)
Dr.Web Trojan.Isbar.92 (4.67 seconds taken)
F-Prot Antivirus No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.IstBar.gen (4.48 seconds taken)
mks_vir No viruses found (1.95 seconds taken)
NOD32 No viruses found (2.93 seconds taken)
Norman Virus Control No viruses found (4.72 seconds taken)