Исследование Антивирусов на ВирусИнфо

[Mamont]

Вот-вот.
Пример:
http://virusinfo.info/showpost.php?p...&postcount=231

А я могу предложить результат тестирования виндового блокнота, закриптованного похернахом.
------------------------------------------------------------
Антивирус Версия Обновление Результат
AhnLab-V3 2008.3.20.2 2008.03.21 -
AntiVir 7.6.0.75 2008.03.20 -
Authentium 4.93.8 2008.03.20 -
Avast 4.7.1098.0 2008.03.21 Win32dPinch-AFZ
AVG 7.5.0.516 2008.03.21 Win32/PolyCrypt
BitDefender 7.2 2008.03.21 Packer.Pohernah.A
CAT-QuickHeal 9.50 2008.03.20 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.21 Trojan.Spy-3920
DrWeb 4.44.0.09170 2008.03.21 -
eSafe 7.0.15.0 2008.03.18 Suspicious File
eTrust-Vet 31.3.5631 2008.03.21 -
Ewido 4.0 2008.03.21 -
F-Prot 4.4.2.54 2008.03.20 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.21 -
Fortinet 3.14.0.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.21 Virus.Win32.Ldpinch.AFZ
Kaspersky 7.0.0.125 2008.03.21 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.21 -
NOD32v2 2966 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.20 Suspicious file
Prevx1 V2 2008.03.21 -
Rising 20.36.42.00 2008.03.21 -
Sophos 4.27.0 2008.03.21 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.21 -
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.20 -
Webwasher-Gateway 6.6.2 2008.03.21 Virus.Win32.FileInfector.gen (suspicious)
Дополнительная информация
File size: 57778 bytes
MD5: 9db8825fed1046f17c7e99e4caa8c3ff
SHA1: f0a9643126cc55d2d8431b831aed61d7f13c1df5
PEiD: Pohernah 1.0.3 - by Kas
packers: PE-Crypt.PNH
packers: PE-Crypt.PNH
------------------------------------------------------------------
И подобных примеров значительно больше.

[ALEX(XX)]

Для особо внимательных

ЗЫ. 22.03.2008 (в тот-же день) мне ответили:
Kaspersky 7.0.0.125 2008.03.23 Trojan.Win32.VB.cjs

[Groft]

Groft, написано же , ответили в тот же день

не заметил

[Kuzz]

Groft, написано же , ответили в тот же день

Вот именно
Письмо на вендорс.. отправлено 22.03.2008 14:37
Ответ КЛаб-а - 22.03.2008 15:16 - Trojan.Win32.VB.cjs

Добавлено через 3 минуты

Для особо внимательных

Не-е. Это моя оплошность. В письме не обозначено имя зловреда и я взял его из сегодняшнего скана на в-тотал

Добавлено через 6 минут

А я могу предложить результат тестирования виндового блокнота, закриптованного похернахом.
....
И подобных примеров значительно больше.

Примеров, когда не состоящие в 6-ке детектят стаб упаковщика?

[Mamont]

Примеров, когда не состоящие в 6-ке детектят стаб упаковщика?

Примеров, когда из-за ложного детекта, вызванного незнанием этими антивирусами пакеров, статистика virusinfo может искажаться в большей степени, чем от неучёта правильного детекта.

[vidocq89]

Примеров, когда из-за ложного детекта, вызванного незнанием этими антивирусами пакеров, статистика virusinfo может искажаться в большей степени, чем от неучёта правильного детекта.

у вас интересные мысли...
а что вы, собственно, предлагаете?..

детект стаба криптора/джойнера на первых порах для нормальных аверов это нормальное решение и явление... (не считая АвираАнтивир - он и позднее время не хочет знакомиться с крипторами - просто в тупую пишет "круптед" и все )

какая версия похернаха, кстати? (речь идет о релизе от руссхака, как я понимаю?)

[Mamont]

у вас интересные мысли...
а что вы, собственно, предлагаете?..

http://virusinfo.info/showpost.php?p...3&postcount=14

какая версия похернаха, кстати? (речь идет о релизе от руссхака, как я понимаю

1.0.3

[vidocq89]

Если в отчёте virustotal по какому-либо файлу в качестве задетектировавших зловреда отсутствует вся шестерка следующих анивирей - AntiVir, DrWeb, Kaspersky, NOD32, Symantec и VBA32, то этот файл считается чистым и из подсчёта ислючается.

почему?..
а руки на что?.. или я вас неверно понял?

[Mamont]

почему?..
а руки на что?.. или я вас неверно понял?

Какие руки? Я опубликовал здесь лог тотала. Файл никому не дал. Shub мой лог учёл.

[vidocq89]

Mamont, вы меня не поняли
слово "руки" и все высказывание около них относится к этому:

Если в отчёте virustotal по какому-либо файлу в качестве задетектировавших зловреда отсутствует вся шестерка следующих анивирей - AntiVir, DrWeb, Kaspersky, NOD32, Symantec и VBA32, то этот файл считается чистым и из подсчёта ислючается.

И вопрос "почему?.." также относится к вышепреведенной цитате...
Прошу объяснить логику подробнее ..
(под руками я имел в виду ручное определение зловред у нас или нет...аля ида+софтайс) .. хотя, наверное, я просто не понял вашу мысль...

PS:
Повторил тест... результаты странные(

Версия 1.0.2
http://www.virustotal.com/ru/analisi...ba1d96fb02ddbc

Антивирус Версия Обновление Результат
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.23 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.23 Win32:Agent-KIW
AVG 7.5.0.516 2008.03.22 Win32/PolyCrypt
BitDefender 7.2 2008.03.23 Packer.Pohernah.A
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV None 2008.03.23 -
DrWeb 4.44.0.09170 2008.03.23 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 -
F-Prot 4.4.2.54 2008.03.22 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.03.23 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.03.23 -
Fortinet 3.14.0.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 MalwareScope.Trojan-PWS.Pinch.1
Kaspersky 7.0.0.125 2008.03.23 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 -
Prevx1 V2 2008.03.23 Heuristic: Suspicious Self Modifying File
Rising 20.36.62.00 2008.03.23 -
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.23 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 Virus.Win32.FileInfector.gen (suspicious)
Дополнительная информация
File size: 69632 bytes
MD5: c1798d637fde79e989d540119b2c28ba
SHA1: 26226a1f9fcc5e375bc160db58473702dce70168
PEiD: Pohernah 1.0.2 - by Kas

Версия 1.0.3
http://www.virustotal.com/ru/analisi...8ec9eb60063e49

AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.23 TR/PSW.LdPinch.bgj.759
Authentium 4.93.8 2008.03.22 is a security risk or a \"backdoor\" program
Avast 4.7.1098.0 2008.03.23 Win32dPinch-AFZ
AVG 7.5.0.516 2008.03.22 PSW.Ldpinch.JHA
BitDefender 7.2 2008.03.23 Packer.Pohernah.A
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.23 Trojan.Spy-3920
DrWeb 4.44.0.09170 2008.03.23 -
eSafe 7.0.15.0 2008.03.18 Win32.LdPinch.bgj
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.23 Trojan.LdPinch.bgj
F-Prot 4.4.2.54 2008.03.22 W32/Malware!2bfd
F-Secure 6.70.13260.0 2008.03.23 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.03.23 High threat detected
Fortinet 3.14.0.0 2008.03.23 -
Ikarus T3.1.1.20 2008.03.23 Trojan-PWS.Win32.LdPinch.bgj
Kaspersky 7.0.0.125 2008.03.23 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.23 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 W32/LdPinch.LGY
Panda 9.0.0.4 2008.03.23 Trj/Ldpinch.WE
Prevx1 V2 2008.03.23 TROJAN.GOZI.A
Rising 20.36.62.00 2008.03.23 Trojan.PSW.Win32.LdPinch.lgy
Sophos 4.27.0 2008.03.23 -
Sunbelt 3.0.978.0 2008.03.18 Trojan-PSW.Win32.LdPinch.bgj
Symantec 10 2008.03.23 Infostealer
TheHacker 6.2.92.252 2008.03.22 Trojan/PSW.LdPinch.bgj
VBA32 3.12.6.3 2008.03.21 Trojan-PSW.Win32.LdPinch.bgj
VirusBuster 4.3.26:9 2008.03.22 -
Webwasher-Gateway 6.6.2 2008.03.23 Trojan.PSW.LdPinch.bgj.759
Дополнительная информация
File size: 70066 bytes
MD5: 1a2248d76162b51a7e8cfe098242e4d2
SHA1: 25d05e180d05a73b523452218b60b79b2c61a89e
PEiD: Pohernah 1.0.3 - by Kas

похоже, что у нас блокноты разные

[Kuzz]

Примеров, когда из-за ложного детекта, вызванного незнанием этими антивирусами пакеров, статистика virusinfo может искажаться в большей степени, чем от неучёта правильного детекта.

Тогда получается, что вышеуказаная 6-ка не фолсит и не детектит пакеры?

Кстати в вышеприведенном логе: Symantec 10 2008.03.23 Infostealer
Или вот: http://www.virustotal.com/analisis/e...db3199f9e607d8 - Symantec 10 2008.03.24 Trojan Horse
Это DCC32.exe - пакетный компилятор Delphi, но упакованый

http://www.virustotal.com/analisis/1...2abcf67eba44e5 - Symantec 10 2008.03.24 Trojan Horse
Это Dbgview.exe от Sysinternals.