NOD 32 - еще в игре?

[Alexey P.]

Kido этому уже три месяца, детектят его все, так что тут всё честно.

[Rampant]

Вроде как появилась модификация, и статистики по ней пока нет.

[Alexey P.]

Почему же нет, есть. Вот:

Код:

File flic received on 03.14.2009 21:02:11 (CET)
Current status: finished 

Result: 35/37 (94.59%) 

Antivirus       Version         Last Update     Result 
a-squared       4.0.0.101       2009.03.14      Net-Worm.Win32.Kido!IK 
AhnLab-V3       5.0.0.2         2009.03.13      Win32/Conficker.worm.88576 
AntiVir         7.9.0.114       2009.03.13      Worm/Conficker.D.1 
Authentium      5.1.0.4         2009.03.14      W32/Conficker.B 
Avast           4.8.1335.0      2009.03.13      Win32:Trojan-gen {Other} 
AVG             8.0.0.237       2009.03.14      Worm/Generic.WLO 
BitDefender     7.2             2009.03.14      Win32.Worm.Downadup.Gen 
CAT-QuickHeal   10.00           2009.03.14      I-Worm.Kido.ip 
Comodo          1056            2009.03.14      Worm.Win32.Exploit.Conficker.c.~ 
DrWeb           4.44.0.09170    2009.03.14      Win32.HLLW.Shadow.based 
eSafe           7.0.17.0        2009.03.12      Win32.Conficker.X 
eTrust-Vet      31.6.6388       2009.03.09      Win32/Conficker.C 
F-Prot          4.4.4.56        2009.03.14      W32/Conficker.B 
F-Secure        8.0.14470.0     2009.03.14      Worm:W32/Downadup.DY 
Fortinet        3.117.0.0       2009.03.14      W32/Kido.IP!worm.im 
GData           19              2009.03.14      Win32.Worm.Downadup.Gen 
Ikarus          T3.1.1.45.0     2009.03.14      Net-Worm.Win32.Kido 
K7AntiVirus     7.10.671        2009.03.14      Net-Worm.Win32.Downadup.iw 
Kaspersky       7.0.0.125       2009.03.14      Net-Worm.Win32.Kido.iw 
McAfee          5553            2009.03.14      W32/Conficker.worm.gen.c 
McAfee+Artemis  5553            2009.03.14      W32/Conficker.worm.gen.c 
McAfee-GW-Edition 6.7.6         2009.03.13      Worm.Conficker.D.1 
Microsoft       1.4405          2009.03.14      Worm:Win32/Conficker.D 
NOD32           3935            2009.03.13      a variant of Win32/Conficker.X 
Norman          6.00.06         2009.03.13      W32/Conficker.KL 
nProtect        2009.1.8.0      2009.03.14      Worm/W32.Kido.88576 
Panda           10.0.0.10       2009.03.14      W32/Conficker.B.worm 
Prevx1          V2              2009.03.14      Medium Risk Malware 
Rising          21.20.52.00     2009.03.14      Worm.Win32.MS08-067.c 
Sophos          4.39.0          2009.03.14      W32/Confick-G 
Sunbelt         3.2.1858.2      2009.03.13      Worm.Win32.Downadup.Gen 
Symantec        1.4.4.12        2009.03.14      W32.Downadup.C 
TheHacker       6.3.3.0.281     2009.03.13      - 
TrendMicro      8.700.0.1004    2009.03.13      WORM_DOWNAD.AD 
VBA32           3.12.10.1       2009.03.14      Net-Worm.Win32.Kido.iw 
ViRobot         2009.3.13.1648  2009.03.13      - 
VirusBuster     4.6.5.0         2009.03.14      Worm.Kido.Z 
Additional information 
File size: 88576 bytes 
MD5...: 5e279ef7fcb58f841199e0ff55cdea8b 
SHA1..: 97256a110c2d1910278f057034b5716448dc04e8 
SHA256: 99ec85d7edd42bb77a3975865d43002ed3db280958f70d4979d2c46ced49e22d 
SHA512: 97b4db923fe26c1ae2f9e0896d55878078d6067348edcf488dd0a2a1143b99f1
46501824807f29c9260a1d6f31d75244cb6bed478b35446cb691c6b8d72b034c 
ssdeep: 1536:rJN0t50iI+H+OWJmQhOs9NSeL+HcNQuFktdHXXGNUweCnqdUjjECQE76:T0
tXeZJNUsTSeL+8NQuFmHmkCxjcp
PEiD..: Armadillo v1.xx - v2.xx 
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1336f
timedatestamp.....: 0x335c1ed7 (Tue Apr 22 02:13:43 1997)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12c1c 0x12e00 7.90 de0b84a1754768605d7aa3060fa1eb7e
.data 0x14000 0x290c 0x1e00 4.73 fac71472195d11acd014af00bc8eb393
.reloc 0x17000 0x92e 0xa00 5.90 ee809ac1bbb655074a9aaa6999de7c9e

( 7 imports ) 
> KERNEL32.dll: VirtualAlloc, VirtualFree, InterlockedIncrement, 
GetUserDefaultLCID, GetLocalTime, GetVersion, SleepEx, LoadLibraryA, 
InterlockedExchange, GetProcAddress, IsBadWritePtr, GetVersionExA, lstrcpyW, 
IsDBCSLeadByte, GetACP, GetTickCount, SetLastError, VirtualProtect
> USER32.dll: GetClientRect, IsCharUpperA, GetIconInfo, GetWindow, IsChild, 
GetTopWindow, GetWindowContextHelpId, WindowFromDC, IsCharAlphaA, 
GetWindowPlacement, CopyIcon, IsIconic, GetGUIThreadInfo, GetDC, GetTitleBarInfo, 
IsWindowUnicode, IsMenu, GetWindowRect, IsWindowVisible, GetForegroundWindow, 
InSendMessage, GetWindowTextA
> ADVAPI32.dll: RevertToSelf, AreAnyAccessesGranted
> GDI32.dll: GetBkMode, GdiFlush, GetROP2, GetBkColor, GdiGetBatchLimit
> SHELL32.dll: -
> SHLWAPI.dll: StrCmpW, StrSpnA, StrCmpIW, StrCpyW, StrChrIA, StrCSpnIA, 
StrChrIW, StrCmpNW, StrCmpNIW, StrCSpnIW
> MSVCRT.dll: difftime, _CIfmod, _getdrive, _strdate, _mbsncpy, _stricoll, 
malloc, free, _itoa, time, wcsxfrm, wcspbrk, _mbstrlen, _mbctokata, _mbclen, _wcsset, 
_errno, wctomb, _initterm, _adjust_fdiv, _getdrives, _mbsnicoll, _copysign, _wstrtime, 
strstr, mbstowcs, _wstrdate, wcstombs, modf, _mbctombb, clock, _mbsninc, 
strerror, getenv, strxfrm, _getmbcp, wcscoll, _hypot, _mbsncmp, _mbsrchr, 
strcoll, _strlwr, _pctype, _isctype, __mb_cur_max

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C4DFC887006B54245A1B013D5B62D000D499B3A9 
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5e279ef7fcb58f841199e0ff55cdea8b

[senyak]

NOD32 3935 2009.03.13 a variant of Win32/Conficker.X - мда. У них просто ужасная вирусная лаборатория

[IgorKr]

Мне там что-то Аваст не полюбился :\

[ice-berg]

похоже на эвристический детект...

[senyak]

Это Вы про НОДа?
Я им неделю назад отсылал файлы, на которые он ругается - базы обновляю 2-3 раза в день и он до сих пор ругается на них.

[Rampant]

2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.

[Hanson]

2 Alexey P., очень приятно глазу) такой детект, когда мы увидим такие резалты, на каждый зловред.

как бы этого не хотелось, но думаю никогда

[ВодкуГлыть]

Nod32 практически никогда не использовал, но вот однажды, в ноябре прошлого года был случай. Жутко пиратский DVD из серии "золотой софт..." явно содержал малварь: после того, как этот диск побывает в руках у шибко грамотного юзера, подменивается стартовая страница IE. Итак этот диск по очереди оказался у трех юзеров. У первого стояла триальная версия NOD32 от Дом.ру, регулярно обновляемая - срок триала еще не закончился, у второго AVG, поставленная мной лично, у третьего drWeb AV-Desk от того же Дом.ру с проплаченной подпиской. Итак:

• У первого юзера NOD32 даже не пискнул, стартовая страница браузера была замещена, последующее сканирование харддиска NOD32 ничего не обнаружило, только CureIT обнаружило и удалило зловреда.
• У второго и третьего зловред был обнаружен при запуске диска, стартовая страница не была подменена, сканирование жесткого диска ничего не обнаружило.

DVD был очень древний, т.е. этому малваре было по крайней мере года два. Да и такое действо, как подмена стартовой, по крайне мере должно вызвать подозрение.

[Wiedemann]

Как-то принесли ноутбук, заражённый вируснёй. Винду переставили, владельцу про антивирус намекнули, был купилен третий нод. Не шибко много времени прошло, привёз ноутбук снова. Реестр, диспетчер задач не открываются, ещё куча всего залочено. Нод считал, что всё чисто. В итоге безопасный режим + CureIT.
Третий нод ловит конечно слабенько, причём в основном на подлёте. Если вирус внутри, то тут он уже абсолютно бесполезен. У знакомого на работе целый зоопарк. 2.7 не видит ничего, 3-ий видит больше, но пропускает неприлично много. Недавно начал четвёртый ставить. Но по первым впечатлениям не сильно отличается от 3-ки.
Но нод хотя бы лучше Симантека.

[Alexey P.]

Попробовал добавить нод в свою линейку разбора сэмплов. В день там порядка сотни троянов, самых разных.
И честно - просто офигел от результата. КАК ЖЕ МАЛО ОНИ ЛОВЯТ !!!
Это жуть, как можно так плохо работать.

[priv8v]

Это жуть, как можно так плохо работать.

В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.
Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:

Код:

dows.se/download/free-antivirus/nod32_20090326.exe
зеркало:
codecpack.nl/nod32_20090326.exe

И прогоните его по своему набору сэмплов. Потом скажите как результаты
(но все равно, как показывает практика, результаты ниже того же куреита)

[Alex_Goodwin]

юзерам то от этого не легче, они стандартом пользуются.

[priv8v]

юзерам то от этого не легче, они стандартом пользуются.

я это прекрасно понимаю. свой пост я адресовал не юзерам, а конкретно к Alexey P. в виду того, что он

Попробовал добавить нод в свою линейку разбора сэмплов.

поэтому я сказал, что не стоит так уж сразу выкидывать нодовский сканер по требованию с флешки - может быть он и понадобиться - на он-деманд версии хорошие настройки. сканит быстро и можно самому выбирать что сканить, настройки также самому можно править.

а юзеры пока остаются с носом

[santy]

Потому предлагаю следующее:
скачайте отдельный On-Demand Scanner:

Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.

[priv8v]

Кстати, это неофициальная сборка Noda. Насколько я знаю, модераторы сайта запрещают постить подобные ссылки.

Сделал на всякий случай ссылки неактивными

[PavelA]

Теперь и santy надо ссылки сделать неактивными.

[priv8v]

вот, кстати, скрин настроек по умолчанию в этом сканере:

[Alexey P.]

В отличие от куреита и каспера в сканере нода просто ужасные настройки по умолчанию. Если поставить параноидальные, то результаты лучше где-то в 1.3 раза, чем до настройки.

нет, я сканер запускаю из комстроки со всеми включенными опциями (кроме памяти).
nod32.exe /selfcheck- /quit+ /sound- /subdir+ /pattern+ /heur+ /scanfile+ /scanboot- /scanmbr- /scanmem- /arch+ /sfx+ /pack+ /adware /unsafe /log+ /wrap- /logrewrite
Результаты, повторюсь, грустные. По сравнению с доктором или касперским детектятся вообще слезы, максимум 10-12 на сотню, а то и меньше.