Эт точно. Мне известны случаи, когда только анинсталл, идущий "в комплекте" и мог избавить от спайваря, в том время как антивирусы пасовали перед простейшими методами защиты (кросс-процесс контроль и т.д.).
Эт точно. Мне известны случаи, когда только анинсталл, идущий "в комплекте" и мог избавить от спайваря, в том время как антивирусы пасовали перед простейшими методами защиты (кросс-процесс контроль и т.д.).
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
[quote author=Зайцев Олег link=board=18;threadid=515;start=0#msg4674 date=1105825875]
Для того, чтобы услышать наше мнение об этом "звере" (или не звере) нужно заархивировать его с паролем virus и отправить на [email protected]. Тогда мы проведем его анализ - будет еще одно мнение ...
[/quote]
Программами типа IDA, Soft-Ice я в принципе и сам умею пользоватьсяЯ задал вопрос не для проведения анализа файла, а для того чтобы выяснить имеет ли смысл добавлять подобные файлы в антивирусные программы. Причем не только первой кто обнаружил (или уже добавил), но и последующим (чтобы пользователи не кричали, что их антивирус не находит вирусы, которые другие программы обнаруживают).
Если уже кто-то из конкурентов занес в базу - хрен с ним, детектить можно, но не как вирус... ну или ввести в своем продукте категорию рискваре. А если никто на бинарник не ругается, то смысла заносить в свои-то базы такие вещи нет, раз уж они ничего обидного для юзера не делают. Если делают - другое дело... ИМХО =)
Исходя их описания поведения этой программы в начале темы я в этом и не сомневалсяСообщение от kvit
Программами типа IDA, Soft-Ice я в принципе и сам умею пользоваться
А вообще (говоря глобально) поднят интересный вопрос ... он кстати касается еще и отнесения объекта к категогии (часто один и тот-же файл Касперский считает AdWare и детектит расширенными базами, DrWeb - трояном; ... или наоборот). Второй момент - а как быть с такими вещами, как скажем inf файлы или ключи реестра? Сам по себе тот-же inf файл в 99% случаев опасности для ПК не несет, но он появляется скажем в процессе установки некоего TrojanDownloader. С одной стороны на него можно плюнуть. С другой - это лишний мусор на компьютере и его стоит удалить при лечении. С третьей - очень часто сам TrojanDownloader радикально изменяется и не детектируется, а inf файл неизменен - его обнаружение привлечет внимание опытного админа.
Лично мое мнение - в базы вносить нужно все, что может хоть как-то нести опасность. Только нужно это толково класифицировать и дать возможность настройки реакции антивируса на каждую категорию - а еще лучше, на каждый объект в отдельности.
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4704 date=1105863660]
Исходя их описания поведения этой программы в начале темы я в этом и не сомневался
Это твое право... Вот кусочек кода (подтверждающий что записывается не ссылка на какой-либо сайт, а about:blank) наслаждайтесь:
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4704 date=1105863660]Код:UPX0:0040A6B2 mov esi, offset aAboutBlank ; "about:blank" UPX0:0040A6B7 mov edi, offset Data UPX0:0040A6BC mov ecx, 40h UPX0:0040A6C1 rep movsd UPX0:0040A6C3 push offset dwDisposition ; lpdwDisposition UPX0:0040A6C8 push ebx ; phkResult UPX0:0040A6C9 push 0 ; lpSecurityAttributes UPX0:0040A6CB push 0F003Fh ; samDesired UPX0:0040A6D0 push 0 ; dwOptions UPX0:0040A6D2 push 0 ; lpClass UPX0:0040A6D4 push 0 ; Reserved UPX0:0040A6D6 push offset aSoftwareMicr_0 ; lpSubKey UPX0:0040A6DB push 80000002h ; hKey UPX0:0040A6E0 call RegCreateKeyExA UPX0:0040A6E5 push 32h ; cbData UPX0:0040A6E7 push offset Data ; lpData UPX0:0040A6EC push 1 ; dwType UPX0:0040A6EE push 0 ; Reserved UPX0:0040A6F0 push offset aStartPage ; lpValueName UPX0:0040A6F5 mov eax, [ebx] UPX0:0040A6F7 push eax ; hKey UPX0:0040A6F8 call RegSetValueExA UPX0:0040A6FD mov eax, [ebx] UPX0:0040A6FF push eax UPX0:0040A700 call RegCloseKey_0
А просил я его прислать вот почему - просто чтобы мы могли провести анализ и сформировать свои мнения о файле (и потом сравнить их). [/quote]
Во-первых я не понимаю кто это "мы" (сразу извиняюсь если я со своим уставом в чужой монастырь), во-вторых я еще раз повторяю мне не интересен анализ этого файла. Путь это будет некий мифический файл, который делает то что написал в первом посте.
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4704 date=1105863660]
А вообще (говоря глобально) поднят интересный вопрос ... он кстати касается еще и отнесения объекта к категогии (часто один и тот-же файл Касперский считает AdWare и детектит расширенными базами, DrWeb - трояном; ... или наоборот). Второй момент - а как быть с такими вещами, как скажем inf файлы или ключи реестра? Сам по себе тот-же inf файл в 99% случаев опасности для ПК не несет, но он появляется скажем в процессе установки некоего TrojanDownloader. С одной стороны на него можно плюнуть. С другой - это лишний мусор на компьютере и его стоит удалить при лечении. С третьей - очень часто сам TrojanDownloader радикально изменяется и не детектируется, а inf файл неизменен - его обнаружение привлечет внимание опытного админа.
Лично мое мнение - в базы вносить нужно все, что может хоть как-то нести опасность. Только нужно это толково класифицировать и дать возможность настройки реакции антивируса на каждую категорию - а еще лучше, на каждый объект в отдельности.[/quote]
А вот это уже по теме, но тогда и другие антивирусы не должны кичиться ("мы не наращиваем размер бызы всякой ерундой") и добавлять то что добавил конкурент.
И базы бы я разделил по степени опастности (постепенно к этому приходят), я думаю администратору большой сети интересует одно (возможно даже не один вариант), а обычного пользователя другое.
В отношении различной классификации вредоносного кода, то это дело каждого вендора создавать правила по которым относят зверье к определенному типу, это конечно не совсем удобно, но от этого пока ни куда не деться.
По поводу составных частей однозначно, антивирус должен удалять троянов со всеми "потрохами", а не ограничиваться только исполняемыми файлами. Результаты выдирания трояна "с мясом" часто можно наблюдать в разделе Помогите. Тут только сложность в том, что необходимо либо включать полную детекцию ВСЕХ файлов, в результате получаем монстра тормознутие KAV, либо, в случае обнаружения вируса, производить поиск "типовых" файлов по всей машине( как минимум в системной области).
Тут я на все 100% согласен - и тогда получается, что для для лечения троянов и SpyWare нужно придумывать спецсредства, которые при удалении трояна выполнят некий микрокод лечения, который произведет "зачистку" системы. Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз. Пример - у меня в AVZ средний размер скрипта лечения получился в среднем 500 байт (из них 90% - имена удаляемых ключей реестра и файлов файлов). Сжатие ZIP дает 250 байт на скрипт, сжатие по моему спец-алгоритму (адаптированному для скрипта) - около 80-100 байт. Т.е. на 10000 вредоносных объектов получаем около 1 мб скриптов лечения. И это еще при условии, что одна команда скрипта превращается в 2 байта P-кода.По поводу составных частей однозначно, антивирус должен удалять троянов со всеми "потрохами", а не ограничиваться только исполняемыми файлами. Результаты выдирания трояна "с мясом" часто можно наблюдать в разделе Помогите
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4725 date=1105880566]
Тут я на все 100% согласен - и тогда получается, что для для лечения троянов и SpyWare нужно придумывать спецсредства, которые при удалении трояна выполнят некий микрокод лечения, который произведет "зачистку" системы. Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз. Пример - у меня в AVZ средний размер скрипта лечения получился в среднем 500 байт (из них 90% - имена удаляемых ключей реестра и файлов файлов). Сжатие ZIP дает 250 байт на скрипт, сжатие по моему спец-алгоритму (адаптированному для скрипта) - около 80-100 байт. Т.е. на 10000 вредоносных объектов получаем около 1 мб скриптов лечения. И это еще при условии, что одна команда скрипта превращается в 2 байта P-кода.
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.
[/quote]
Полностью согласен, надо иметь две базы, одну для обнаружения опасных исполняемых файлов, другую для полной зачистки системы. В основную базу включать правила обнаружения всех известных вирусов, а алгоритмы зачистки эпидемеопасных. В расширенную базу записывать алгоритмы лечения для всех вирусов, но делать ее не локальной, а сетевой.
Например есть машина с заражением Netsky.XX и TrojanDroper.XX. Netsky удаляется со всеми запчастями основной базой, а TrojanDroper.XX обнаруживается основной базой, удаляются его опасные эллементы, но для полной зачистки предлагается пользователю соединиться с расширенной базой и скачать нужную запись.
Записи можно будет кешировать на локальной машине по мере надобности, так же можно дать возможность пользователю скачивать необходимые записи из расширенных баз. Это теоретически позволит снизить трафик. Такая конструкция теоретически позволит держать в локальной сети только одну машину с базами для полного лечения, а остальные будут обращаться к ней по мере надобности.
Не всегда их и детектят.
На этот, к примеру, никто не бросается:
comunidad.ciudad.com.ar/argentina/capital_federal/yosoyelmencho/download/Remover2.0.exe
Хотя в паре с ним там лежит BackDoor.LWitch.60 (DrWeb)
(и BackDoor.LWitch.61)
Это часто бывает ... или еще пример - я видел десятки раз, что бывает при запуске иного анинтсаллера - он открывает страницы "разработчиков", там предлагается заполнить некие формы, лезут всякие pop-up окна и разное зверье ...
Насчет хранения расширенной части базы в сети я уже думаю - даже в том-же AVZ базу можно разделить на две части - сигнатуры для сканера + скрипты для лечения. Следовательно обновлять вторую часть можно существенно реже и по мере надобности.
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4725 date=1105880566]
Его наличие не повлияет на скорость сканера, но усложнит работу вирусолога и главное - начнет пухнуть размер баз.
...
Вероятно, поэтому большинство антивирей даже не пытаются зачистить систему после удаления файла. Или, быть может, логично делать так - делать базу сканера + "базу для тщательного лечения" - а дельше пользователь уже сам решает, что лучше - база в 2 мб и тупое удаление или 10 мб и тщательная зачистка.
[/quote]
Начал с одного, а потом сам себя и опроверг
При правильном построении базы, тот же монитор не обязан хранить скрипт лечения в памяти, достаточно забирать с диска по мере необходимости (что в реальной жизни не часто и надо). Да и вообще можно из монитора выкинуть анализ не вредоносных программ, а оставить эту обязаность на сканере (ну это ты и написал). Но это все технология реализация (в принципе она никого не должна волновать), главное что надо удалять все что имело отношение к вирусам, троянам... Да и вообще я бы на месте какого-нибудь производителя разработал критерий опастности вируса/программы и сделал из этого стандарт, а уж захотят его использовать другие или нет, время покажет. Пока они сами для себя не определили, мой пример это показывает (uninstall от трояна, считают трояном).
А если сделать что бы перед удалением любого файла автоматически искались и удалялись все ссылки на него в реестре это не уменьшит размер баз для лечения? И вообще, по моему, стоит всегда так делать.
Логично - и это реально реализуемо следующее:
1. Удаление ключей автозапуска
2. Удаление регистрации класса (это можно делать за счет вызовы DLLUnregisterServer, но не для всех классов - многие трояны в ответ на Unregister реагируют мягко говоря неадекватно)
[quote author=Зайцев Олег link=board=18;threadid=515;start=20#msg4743 date=1105896792]
2. Удаление регистрации класса (это можно делать за счет вызовы DLLUnregisterServer, но не для всех классов - многие трояны в ответ на Unregister реагируют мягко говоря неадекватно)
[/quote]
А прямым удалернием записей в реестре нельзя это сделать?
Этот факт в свое время привел к написанию мной утилиты AVZ
Еще больший бардак, имхо, обстоит в проведении грани "троян" - "spyware" - "adware" - тут четких границ вообще нет. Пример тому - Spy.WinAd (который по сути является трояном - он же удаляет autoexec.bat) - большинство антивирусных компаний считают его AdWare или вообще чистым объектом и не лечат (или лечат только расширенными базами).
Я пытался формулировать критерии - вот пример - http://virusinfo.info/index.php?boar...y;threadid=222. Но даже в момент написания я видел, что моя классификация противоречива...
Ваши права в разделе
