Маленький тест антивиря

[borka]

у меня стоят настройки web-антивируса на максимуме- никакой сирены не было.

А как должно и что должно быть?
"<SCRIPT Language=VBScript>X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</SCRIPT>" - какой глубинный смысл заталкивания Эйкара в скрипт, я не понимаю. Он не выполняется - ничего вообще не делается...
"<SCRIPT Language=VBScript>MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</SCRIPT>" - а этот скрипт выполнится всегда...

Добавлено через 1 минуту

У меня такой ошибки нет, вроде бы

Может, у drongo отключены скрипты?

[drongo]

borka, В данном тесте я пробовал на эксплорере на стандартных настройках, обычно у меня запрещён ему выход в инет- я для эксперимента решил попробовать что будет

[borka]

borka, В данном тесте я пробовал на эксплорере на стандартных настройках, обычно у меня запрещён ему выход в инет- я для эксперимента решил попробовать что будет

Ясно.
Было бы неплохо наконец-то услышать хоть от кого-то - что должно (или не должно) быть в результате этого теста?

[akok]

Очень бы хотелось услышать. Это молчание ягнят начинает настораживать.

[borka]

Хм... Если пойти несколькими уровнями вверх, то на http://www.windowsfaq.ru/serv/ написано так:
"Антивирус
проверьте свой антивирус при помощи специального тестового файла EICAR: загрузите его на компьютер в архиве или в виде исполняемого файла (антивирусный монитор должен сообщить о наличии EICAR в архиве); посетите специальную страницу со скриптом, который попытается передать на компьютер EICAR (антивирус должен заблокировать открываемую страницу). Если есть подозрение на заражение какого-то файла вирусом, то проверьте его прямо с этой страницы при помощи Антивируса Касперского или DrWeb."

http://www.windowsfaq.ru/content/view/449/80/: - Проверка работы антивируса при посещении страниц с опасными сценариями.
"Антивирус должен проверять сценарии, которые находятся на посещаемых сайтах. Щелкнув по этой ссылке можно открыть страницу, на которой находится сценарий, содержащий последовательность eicar. Антивирус должен обнаружить эту последовательность и предложить не выполнять опасный сценарий. Если этого не происходит, то компьютер может быть заражен вирусом при посещении специально созданной веб–страницы."
В этой цитате дается ссылка, которая дана в первом посте. Также указывается, какое предупреждение выводит на экран Kaspersky Antivirus. А про Доктора не сказано ничего...

[DVi]

Хм... А ведь действительно что-то отвалилось в КАВе... Спасибо за сигнал, разберемся.

Этот тест должен отрабатываться только в антивирусах, имеющих в своем составе отдельный модуль обработки скриптов перед выполнением. Обычно такой модуль выделяет тело скрипта и в виде файла отправляет на анализ в антивирусное ядро. Насколько я знаю, такие модули однозначно есть у Касперского и Симантека. Про остальных не знаю.

[Cmeliy]

Avira AntiVir PE Premium тож не видит.

[borka]

Хм... А ведь действительно что-то отвалилось в КАВе...

О как...

Этот тест должен отрабатываться только в антивирусах, имеющих в своем составе отдельный модуль обработки скриптов перед выполнением. Обычно такой модуль выделяет тело скрипта и в виде файла отправляет на анализ в антивирусное ядро.

То есть это скрипт-чекер по аналогии с касперовским же Office Guard'ом? Это составная часть веб-антивируса, заточенная именно на ява- и ВБ-скрипты?

Насколько я знаю, такие модули однозначно есть у Касперского и Симантека. Про остальных не знаю.

Насколько я знаю, у Доктора такого нет. Однако Доктор скрипт нашел и убил.

[Marielito07]

Ну у Symantec точно есть у меня на работе корпоративка сразу схватило его!
А вот nod32 молчит как партизан

[chap]

Avira AntiVir PE Premium тож не видит.

А у меня авира классик ,увидела.

[DVi]

То есть это скрипт-чекер по аналогии с касперовским же Office Guard'ом?

Не совсем, но чем-то действительно похожи. Это плагин для IE, выпущенный, дай Бог памяти, году в 2000м.

Это составная часть веб-антивируса, заточенная именно на ява- и ВБ-скрипты?

Да, она самая.

Насколько я знаю, у Доктора такого нет. Однако Доктор скрипт нашел и убил.

Во-первых, это означает лишь то, что Доктор не соблюдает соглашение об использовании Еикара (сигнатура которого должна начинаться с первого байта файла). Во-вторых, не мне Вам объяснять целесообразность "нахождения и убиения" уже исполнившегося скрипта в кеше браузера.

[borka]

Не совсем, но чем-то действительно похожи. Это плагин для IE, выпущенный, дай Бог памяти, году в 2000м.
Да, она самая.

Ясно, спасибо.

Во-первых, это означает лишь то, что Доктор не соблюдает соглашение об использовании Еикара (сигнатура которого должна начинаться с первого байта файла).

Все соблюдает. Берем Эйкар, дописываем 0x90 в начало (размер становится 69 байт, сигнатура начинается со второго байта), проверяем - ни разу не Эйкар, однако.
Думается, это какие-то новые фишки движка...

Во-вторых, не мне Вам объяснять целесообразность "нахождения и убиения" уже исполнившегося скрипта в кеше браузера.

"Нет, но все-таки!" (с)

Добавлено через 1 час 10 минут

Кстати, прогнал я своего Эйкара на ВирусТотале. Вот такие результаты:

File TEST.COM received on 03.10.2008 18:57:22 (CET)
Current status: finished
Result: 6/32 (18.75%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.10 -
AntiVir 7.6.0.73 2008.03.10 -
Authentium 4.93.8 2008.03.07 EICAR_Test_File
Avast 4.7.1098.0 2008.03.09 -
AVG 7.5.0.516 2008.03.10 -
BitDefender 7.2 2008.03.10 -
CAT-QuickHeal 9.50 2008.03.08 EICAR Test File
ClamAV 0.92.1 2008.03.10 -
DrWeb 4.44.0.09170 2008.03.10 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.10 -
FileAdvisor 1 2008.03.10 -
Fortinet 3.14.0.0 2008.03.10 -
F-Prot 4.4.2.54 2008.03.09 EICAR_Test_File
F-Secure 6.70.13260.0 2008.03.10 -
Ikarus T3.1.1.20 2008.03.10 EICAR-ANTIVIRUS-TESTFILE
Kaspersky 7.0.0.125 2008.03.10 -
McAfee 5247 2008.03.07 -
Microsoft 1.3301 2008.03.10 -
NOD32v2 2935 2008.03.10 -
Norman 5.80.02 2008.03.10 -
Panda 9.0.0.4 2008.03.09 Eicar.Mod
Prevx1 V2 2008.03.10 -
Rising 20.35.02.00 2008.03.10 -
Sophos 4.27.0 2008.03.10 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.10 -
TheHacker 6.2.92.239 2008.03.09 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.10 EICAR_test_file
Webwasher-Gateway 6.6.2 2008.03.10 -

Additional information
File size: 69 bytes
MD5: ce8e2a8b0f76d8ea951a9eeeeeeffc8a
SHA1: 8312705717e50af38c15a1ed2d5023114e80d544
PEiD: -

[DVi]

Думается, это какие-то новые фишки движка...

Похоже, что у DrWeb в ядре появился парсер HTML.

[Alex Plutoff]

-а должен ли вообще сценарий на этой странице рассматриваться как опасный/вредоносный, т.е. должна ли в принципе выполняться DOS программа**, код которой вписан таким образом в html страницу?..
-или я что-то упустил/недопонял?
_____
**The file is a legitimate DOS program, and produces sensible results when run (it prints the message "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!")

[DVi]

Alex Plutoff, разумеется, ЕИКАР в данном случае рассматривается не как DOS-программа, а лишь как тестовая последовательность байт. С точки зрения создателей этой тестовой страницы, код ЕИКАРа может быть заменен злоумышленниками на реально опасный скрипт, и тест призван показать, какой антивирус умеет блокировать опасные скрипты на веб-страницах, а какой - нет.
По замыслу создателей страницы, при блокировке скрипта

<script language="VBScript">X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*</script>

должен зблокироваться и следующий за ним скрипт

<script language="VBScript">MSGBOX "Антивирус не блокирует опасные сценарии на посещаемых страницах!"</script>

. Я считаю такое утверждение неверным, т.к. оба эти блока не зависимы друг от друга, и блокировка одного не обязательно приведет к блокировке другого.

Блокировка может осуществляться различными методами:
1. Перехватом трафика HTTP (в этом случае помог бы метод DrWeb (если бы DrWeb умел проверять трафик HTTP: парсинг HTML и проверка скрипта как отдельного файла) либо метод Панды (детект по сигнатуре вне зависимости от "точки входа"))
2. Проверкой тела скрипта перед его исполнением (то, что делает Нортон и Касперский).

P.S. Касперский в данном случае скрипт обработал, но почему-то не обнаружил там Еикара. Вот с этим я разберусь, как только доеду до работы.

[borka]

Похоже, что у DrWeb в ядре появился парсер HTML.

Проверил с релизным движком - то же самое, Эйкар ловится...

[DVi]

Борис, и на Вирустотале тоже ловится.
Вот только защиты это никакой не дает.

[borka]

По замыслу создателей страницы, при блокировке скрипта
должен зблокироваться и следующий за ним скрипт . Я считаю такое утверждение неверным, т.к. оба эти блока не зависимы друг от друга, и блокировка одного не обязательно приведет к блокировке другого.

Возможно, предполагается, что заблокируется не скрипт, а вся страница, содержащая его. По крайней мере, это было бы логично.

Добавлено через 1 минуту

Борис, и на Вирустотале тоже ловится.
Вот только защиты это никакой не дает.

Это ясно. Но я не про это. Я про HTML-парсер. Если он и появился, то достаточно давно...

[Alex Plutoff]

разумеется, ЕИКАР в данном случае рассматривается не как DOS-программа, а лишь как тестовая последовательность байт...

-Ok.

Возможно, предполагается, что заблокируется не скрипт, а вся страница, содержащая его. По крайней мере, это было бы логично...

-у Symantec'а примерно так и происходит...

[DVi]

P.S. Касперский в данном случае скрипт обработал, но почему-то не обнаружил там Еикара. Вот с этим я разберусь, как только доеду до работы.

Похоже, скрипт-чеккер Касперского перестал ловить Еикара именно потому, что из него убрали детект COM-программ
Судя по всему, предположение Alex Plutoff было верным.