-
Проверка эвристических механизмов при помощи программных закладок.
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.
http://www.stocona.ru/download/bugs.html
Проверка антивируса Kaspersky Personal 5.0
http://www.stocona.ru/download/files/TestKaspersky.zip
Проверка антивируса Norton Antivirus 2004
http://www.stocona.ru/download/files/TestSymantec.zip
Проверка антивируса Dr.Web for Windows (v. 4.31b)
http://www.stocona.ru/download/files/TestDrWeb.zip
Проверка антивируса Panda Antivirus Titanium 2004 (3.00.00)
http://www.stocona.ru/download/files...aAntivirus.zip
Проверка антивируса NOD32 Anti-virus Program (v. 2.0)
http://www.stocona.ru/download/files/TestNOD32.zip
Тестовая программа для проверки эвристических механизмов антивирусов Change_normal_dot
http://www.stocona.ru/download/files...normal_dot.zip
Тестовая программа для проверки эвристических механизмов антивирусов TestForKav
http://www.stocona.ru/download/files/testKAV.zip
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Проверка эвристических механизмов при помощи программных закладок.
_www.stocona.ru/download/files/TestKaspersky.zip
"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."
KAV 4.5.0.94 определяет оба. Как Macro.Source.
-
-
Full Member
- Вес репутации
- 72
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Andrey
На сайте компании Stocona выложены программные закладки для тестирования эвристических механизмов популярных AV программ.
По-моему, не более чем попытка рекламы своего продукта.
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
HATTIFNATTOR
_www.stocona.ru/download/files/TestKaspersky.zip
"Файл ex_dang.txt определяется антивирусом Касперского как файл зараженый макровирусом
Macro.Word97.VMPCK1.by.
В файл ex_dang.txt добавлена безопасная процедура, например:
***.......
И он сохранен с именем ex_notdang.txt. И как итог - не определяется антивирусом Касперского как зараженый."
KAV 4.0.5.94 определяет оба. Как Macro.Source.
А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Andrey
А в этом вся и суть: данные файлы с расширением .txt в техническом плане не опасны ;D (на лицо ложное срабатывание) до тех пор пока их не перенести в область макросов документа Microsoft Office, где они приобретут вирусную функциональность.
Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Geser
Ерунда это. Всёравно что если екзешник с вирусом переименовать в .txt, то он не опасен. Вирус он и в Африке вирус, и на важно какое у него расширение.
Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (http://www.finjan.com/SecurityLab/Se...TestingCenter/) в свои базы. :'(
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Andrey
Тогда почему бы заодно не детектить исходники вирусов? ;D
Да что уж там, давайте заносить в базы все, что содержит слова: Virus, Trojan, AdWare и т.д. ;D
Kasper, к примеру, занес тестовые закладки Finjan (
http://www.finjan.com/SecurityLab/Se...TestingCenter/) в свои базы. :'(
Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Andrey
Каюсь, погорячился.
Однако здесь обсуждалось ложное срабатывание антивирусов на макросы в документах Word, Excel и .txt.
То что детектить макросы так как это делают сейчас не очень умно я согласен. Но сейчас по умолчанию во всех приложениях офиса макросы отключены, так что макровирусам распространяться очень сложно. Потому о них почти ничего и не слышно.
-
-
Re:Проверка эвристических механизмов при помощи программных закладок.
Сообщение от
Geser
Не нужно говорить ерунду. Если антивирус не детактит вирус с изменённым расширением, то такой антивирус обходится в 3 секунды. Вирус сохраняется с расширением txt, а в автозагрузку ставится бетч который его переименовывает и запускает. Бетч этот детектить невозможно. В нём 2 строки будет, и сигнатуру на него не напишешь, или сигнатура эта будет детектить каждтй второй бетч. Так вирус станет неуловимым. Так что думать нужно прежде чем писать.
Совершенно верно. Если детектить, то детектить по сигнатуре не зависимо от расширения, даже если нет расширения.
Кстати, переименовывать файл не всегда обязательно, чтобы его запустить, во многих случаях прокатит файлик, который делает например следующее: WinExec ('С:\VirusName.txt', SW_HIDE);
Думаю, сигнатуру для него тоже нет смысла писать, ведь WinExec стандартная функция.
-