Текущая версия - не может - у меня нет эмулятора/анализатора кода. Но тесты и подготовку образцов я затеял неспростаСообщение от anton_dr
Текущая версия - не может - у меня нет эмулятора/анализатора кода. Но тесты и подготовку образцов я затеял неспроста
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если исключить червей и файловые вирусы все остальные вредоносные программы не делают ничего специфического. Так что любая эвристика будет давать ложные срабатывания. По этой причине всем антивирусам пора обзавестись базами чистых файлов.
Хочется надеяться что при этом английская версия ен будет забытаТекущая версия - не может - у меня нет эмулятора/анализатора кода. Но тесты и подготовку образцов я затеял неспроста
УгуЕсли исключить червей и файловые вирусы все остальные вредоносные программы не делают ничего специфического. Так что любая эвристика будет давать ложные срабатывания. По этой причине всем антивирусам пора обзавестись базами чистых файлов.
Хочется надеяться что при этом английская версия ен будет забыта
Вообще, реакция VBA мне понравилась и Sandbox в полном варианте (она в таковом есть на http://virusscan.jotti.org/) - выдается на просто вывод подозрение, а идет попытка указать, что конкретно качатся (в случае с SandBox он еще четко пишет, что и куда сохранилось и что оно потом запускается и окно этого "чегото" скрыто ото юзера). Это как раз сильный момент
Тесты четко показали, что Олег трояны не пишет.
Не ценят его эвристики. Стиль не тот
Код явно может быть полезен профессионалам своего дела. Раз не детектится
А эвристик дрвеба 4.33 достаточно неплох, мне уже много раз попадались его срабатывания по делу, на новой заразе.
Вот, к примеру, запомнилось:
DrWeb MULDROP.PWS.Trojan -> BackDoor.HangUp.29 hxxp://wild-free-sex.com/images/thumbs/axdial2341.exe
Последний раз редактировалось Alexey P.; 10.10.2005 в 22:12.
Тест интересный, но больше как теоретическое исследование, чем практический анализ. Для последнего больше подошла бы методика проверки коллекции наборов реальных TrojanDownloader-ов и законных программ, выполненная антивирусами с нулевыми (или очень старыми) сигнатурными базами. Наподобие вот этого:
http://www.wilderssecurity.com/showp...9&postcount=47
for Alexey.P
Этож не эвристик DrWeb MULDROP.PWS.Trojan -> BackDoor.HangUp.29
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Ой, господа, скользкую вы тему затронули. Эвристики - это вообще не более чем информация к размышлению. Вот например DrWeb 4.33 детектирует резидетный монитор UNA как "возможно BACKDOOR.Trojan" - и что прикажете с этим делать?
А вообще спросите у того же Jotti, или у VirusTotal как они мучаются с ложными срабатываниями (особенно эвристиков).
To "Зайцев Олег": А теперь проведи тест на ложные срабатывания по тем же эвристикам, думаю результат озадачит.
Hикогда не бойся делать то, что ты не умеешь. Помни: ковчег был построен любителем, профессионалы построили "ТИТАHИК".
Руководитель антивирусной лаборатории
В базах могут быть и сигнатуры эвристики ... поэтому тест со старой базой некорректен. Но это то только начало тестов - опыт с "имитатором TrojanDownloader". Опыты дали некоторые результаты... продолжение опытов будет на реальных зверях.
Именно так и есть ... эвристик - это именно тема для размышления. Но именно тем то он и интересен... Лично мое мнение - у антивируса, в идеале, должна быть доп. база - расширенной эвристики (хотя-бы для админов, специалистов подразделения "K", спец.служб и служб безопасности крупных контор ...)
Он самый и есть.
Это два диагноза - до добавления в базы и после.
После - стал Backdoor.Hangup.29
Итак, продолжим.
Тестовый пример - классический TrojanDropper
Демо-пример: консольный exe, содержит единственный ресурс, в нем - находится имитатор трояна. Демо пример с сохраняет exe файл из ресурса в c:\troj_test.exe и запускает (естетсвенно, все скрытно, без GUI, запросов ...).
Вот результат:
Antivirus Version Update Result
AntiVir 6.32.0.6 10.11.2005 no virus found
Avast 4.6.695.0 10.10.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 no virus found
BitDefender 7.2 10.11.2005 no virus found
CAT-QuickHeal 8.00 10.11.2005 no virus found
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 no virus found
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 suspicious
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 no virus found
McAfee 4601 10.10.2005 no virus found
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.10.2005 no virus found
Меняю безобидный имитатор на Trojan.Win32.LowZones.ad (его знают почти все антивири на virustotal):
Результат по Trojan.Win32.LowZones.ad в чистом виде:
AntiVir 6.32.0.6 10.11.2005 TR/LowZones.AD
Avast 4.6.695.0 10.10.2005 Win32:Trojan-gen. {VC}
AVG 718 10.10.2005 LowZones.AQ
Avira 6.32.0.6 10.11.2005 TR/LowZones.AD
BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD
CAT-QuickHeal 8.00 10.11.2005 Trojan.LowZones.ad
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 Trojan.LowZones
eTrust-Iris 7.1.194.0 10.10.2005 Win32/QLowzones.sacquire!Trojan
eTrust-Vet 11.9.1.0 10.11.2005 Win32.Secdrop.CE
Fortinet 2.48.0.0 10.10.2005 W32/LowZones.AD-tr
F-Prot 3.16c 10.10.2005 security risk named W32/Lowzones.DR
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad
McAfee 4601 10.10.2005 Generic.ca
NOD32v2 1.1249 10.11.2005 Win32/LowZones.AD
Norman 5.70.10 10.11.2005 W32/LowZones.CT
Panda 8.02.00 10.10.2005 Adware/SearchSquire
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 Trojan/LowZones.ad
VBA32 3.10.4 10.10.2005 Trojan.Win32.LowZones.ad
а теперь он-же, но внутри дроппера:
Avast 4.6.695.0 10.10.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 no virus found
BitDefender 7.2 10.11.2005 Dropped:Trojan.Lowzones.AD
CAT-QuickHeal 8.00 10.11.2005 no virus found
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 no virus found
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 suspicious
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 no virus found
McAfee 4601 10.10.2005 Generic.ca
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.10.2005 suspected of Embedded.Trojan.Win32.LowZones.ad
-----
Замечу, что ресурс единственный, имя - TROJAN, тип - EXEFILE, никакой шифровки или маскировки нет - лобовое сохранение ресурса в файл и запуск.
Но на этом тест не закончился - я проверил DrWEB 4.33 - он нашел в моем дроппере Trojan.LowZones, а самого дроппера обозвал "Infected Archive".
Последний раз редактировалось Зайцев Олег; 11.10.2005 в 15:22.
Тестовый пример - TrojanDropper, в котором зловредный файл приписывается в хвост EXE
(при этом заголовок exe файла не меняется ! Т.е. размер по заголовку не соответствует реальному размеру файла).
тест для эмулятора трояна - эмулятор безобиден, просто выводит на экран сообщения "я имитатор трояна"
AntiVir 6.32.0.6 10.11.2005 no virus found
Avast 4.6.695.0 10.10.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 no virus found
BitDefender 7.2 10.11.2005 no virus found
CAT-QuickHeal 8.00 10.11.2005 no virus found
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 no virus found
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 suspicious
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 no virus found
McAfee 4601 10.10.2005 no virus found
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.10.2005 no virus found
тест для Trojan.Win32.LowZones.ad
AntiVir 6.32.0.6 10.11.2005 no virus found
Avast 4.6.695.0 10.10.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 no virus found
BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD
CAT-QuickHeal 8.00 10.11.2005 no virus found
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 Trojan.LowZones
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 suspicious
F-Prot 3.16c 10.10.2005 security risk named W32/Lowzones.DR
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad
McAfee 4601 10.10.2005 Generic.ca
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.10.2005 no virus found
-----
на сей раз VBA не заметил зверя, зато его изловил Касперский (причем не подозрение, а детекирование)
Fortinet судя по всему выдает подозрение на любой exe, содержащий в ресурсах или в хвосте другой exe. С одной стороны хорошо, а с другой - будут ложняки ... хотя на той-же утилите FileMon Sysinternals срабатывания он не дает - вероятно, ищется код, отвечающий за запуск извлеченного файла.
Последний раз редактировалось Зайцев Олег; 11.10.2005 в 15:37.
Тестовый пример - микромодификация в зоне точки входа
Условия теста - машинный код должен совпадать "команда в команду" с кодом зловредного файла. Для этого небольшой кусочек кода (а именно - первые несколько команд по точке входа) переносится в зону заголовка или нулей в хвосте секции кода, затем в начало файла записывается JMP на эти команды ... а команды дополняются JMP, ведущим обратно, на команду номер N исходного кода (первую неизмененную).
Antivirus Version Update Result
AntiVir 6.32.0.6 10.11.2005 no virus found
Avast 4.6.695.0 10.10.2005 no virus found
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 no virus found
BitDefender 7.2 10.11.2005 Trojan.Lowzones.AD
CAT-QuickHeal 8.00 10.11.2005 no virus found
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 Trojan.LowZones
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.11.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 Trojan.Win32.LowZones.ad
McAfee 4601 10.10.2005 no virus found
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.11.2005 no virus found
Как видно, BitDefender, DrWeb, Касперского таким фокусом не пронять - эмулятор отработал как положено, зверь пойман ... поменяем условия опыта - все аналогично, но меняются первые байты функции WinMain
Тестовый пример - микромодификация WinMain
AntiVir 6.32.0.6 10.11.2005 TR/LowZones.AD
Avast 4.6.695.0 10.10.2005 Win32:Trojan-gen. {VC}
AVG 718 10.10.2005 no virus found
Avira 6.32.0.6 10.11.2005 TR/LowZones.AD
BitDefender 7.2 10.11.2005 no virus found
CAT-QuickHeal 8.00 10.11.2005 Trojan.LowZones.ad
ClamAV devel-20050917 10.11.2005 no virus found
DrWeb 4.32b 10.11.2005 Trojan.LowZones
eTrust-Iris 7.1.194.0 10.10.2005 no virus found
eTrust-Vet 11.9.1.0 10.11.2005 no virus found
Fortinet 2.48.0.0 10.10.2005 no virus found
F-Prot 3.16c 10.10.2005 no virus found
Ikarus 0.2.59.0 10.10.2005 no virus found
Kaspersky 4.0.2.24 10.11.2005 no virus found
McAfee 4601 10.10.2005 no virus found
NOD32v2 1.1249 10.11.2005 no virus found
Norman 5.70.10 10.11.2005 no virus found
Panda 8.02.00 10.10.2005 no virus found
Sophos 3.98.0 10.11.2005 no virus found
Symantec 8.0 10.10.2005 no virus found
TheHacker 5.8.2.121 10.10.2005 no virus found
VBA32 3.10.4 10.10.2005 no virus found
------
т.е. получается, что микромодификация кода (причем замечу, не замена команд, а банальный перенос двух-трех команд оказывает такое сильное влияние ....). При этом очень важный момент - код совпадает команда в команду, не считая JMP.
Последний раз редактировалось Зайцев Олег; 11.10.2005 в 17:26.
Давольно странно. А точно ошибки нет? Троян остался рабочим после модификации?т.е. получается, что микромодификация кода (причем замечу, не замена команд, а банальный перенос первых двух команд оказывает такое сильное влияние ....)
Я его естественно не поленился запустить - все заботает как часы, к сожалению ... подопытный, кстати, натащил кучу троянов - сейчас их ловить буду
Мда, очень печально. А вроде у всех эмуляторы кода есть. Не понятно что они эмулируютЯ его естественно не поленился запустить - все заботает как часы
Я нашел причинуМда, очень печально. А вроде у всех эмуляторы кода есть. Не понятно что они эмулируют
Дабы освежить затухающий тред...
Тест N1 . Программа на C. Просто качает и запускает. Что собственно хорошо видно в логе Norman Sandbox
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Downloader; [ General information ]
UNA Found nothing* File length: 24576 bytes.
[ Changes to filesystem ]
* Creates file C:\file.com.
[ Network services ]
* Downloads file from http:\\www.( -skip- ).com\file.gif as c:\file.com.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Attemps to open c:\file.com NULL.
VBA32 Found nothing
Тест N2. То же самое, только на asm
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found nothing
Dr.Web Found DLOADER.Trojan (probable variant)
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Downloader; [ General information ]
UNA Found nothing* File length: 16384 bytes.
[ Changes to filesystem ]
* Creates file C:\file.com.
[ Network services ]
* Downloads file from http:\\www.( -skip- ).com\file.gif as c:\file.com.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Attemps to open c:\file.com NULL.
VBA32 Found Win32.Trojan.Downloader (http:\\www.( -skip- ).com\file.gif) (probable variant)
Тест N3. К тест1 добавилось, прописывание в автозагрузку (на С)
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found nothing
Dr.Web Found DLOADER.Trojan (probable variant)
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found Sandbox: W32/Downloader; [ General information ]
UNA Found nothing* File length: 24576 bytes.
[ Changes to filesystem ]
* Creates file C:\file.com.
[ Changes to registry ]
* Creates value "Test"="c:\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Ru n".
[ Network services ]
* Downloads file from http:\\www.( -skip- ).com\file.gif as c:\file.com.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Will automatically restart after boot (I'll be back...).
* Attemps to open c:\file.com NULL.
VBA32 Found nothing
И снова Norman это иллюстрирует
Ваши права в разделе
