Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 68.

Тестирование эвристики современных антивирусных пакетов - TrojanDownloader

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Тестирование эвристики современных антивирусных пакетов - TrojanDownloader

    У меня возникла новая идея тестрования - проврить эвристику существующих антивирей. Методика - на разных языках (C, Delphi, Asm) я реализую код трояна. Сделать это элементарно, путем анализа существующих зверей и создания типового примера. Естетсвенно, это имитатор, но рабочий.
    Условия теста
    1. Никакой нестандартной реализации - лобовой подход
    2. Никакой навестной маскировки кода - нет архивации, криптования .... Базовые тесты не содержат маскировки или защиты от отладчика - такие тесты будут проводиться отдельно
    3. Вся программа состоит только из зловредного кода - он немедленно получает управление при старте, и после его выполнения никакого кода в программе нет. Особенность программ в том, что они не выводят видимых окон, не выдают запросов и никак не взаимодействуют с пользователем.
    ---------
    100% объективности конечно нет, но тем не менее примеры написаны на основе анализа известных TrojanDownloader
    ---------
    Несмотря на то, что демонстрационные примеры естественно не являются вредоносными, они тем не менее могут послужить в качестве базы для создания зловредного ПО, что попадает под статью 273 ч.1 УК РФ. Поэтому исходный код и сами образцы закрыты для распространения, исключения - AV компании, продукты которых участвовали в тесте.
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 17:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Итак, тест номер 1.
    GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
    Результат:
    Antivirus Version Update Result
    AntiVir 6.32.0.6 10.09.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 no virus found
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 no virus found
    Norman 5.70.10 10.07.2005 no virus found
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.09.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 no virus found

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Тест номер 2.
    GUI приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через urlmon (URLDownloadToFile)
    Результат:
    Antivirus Version Update Result
    AntiVir 6.32.0.6 10.09.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 no virus found
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably a variant of Win32/TrojanDownloader.Dadobra.EB
    Norman 5.70.10 10.07.2005 no virus found
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.09.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 no virus found

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Весьма интересно. Сейчас веселуха начнётся.....

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Тест номер 3.
    Программа на Delphi 7, консольное приложение, работает через urlmon (URLDownloadToFile) (14 кб).
    AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 could be infected with an unknown virus
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 Trojan-Downloader.Win32.Small.gen
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (-- тут был URL --)
    ---------
    Что интересно - VBA опказал в скобках, c какого URL загружается файл
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 12:21.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Тест номер 4.
    Консольное приложение, написано на Delphi 7. Выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
    Результат:
    AntiVir 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 Heuristic/Trojan.Downloader
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (-- здесь был URL --)
    ----
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 14:15.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Зайцев Олег
    Тест номер 4.
    DrWeb 4.32b 10.02.2005 no virus found
    ----
    Олег проверь CureIt`ом 4.33 там эвристик свежий интересно ...
    Последний раз редактировалось RiC; 10.10.2005 в 12:04.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
    В 4.33 он появился, было бы интересно его проверить.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Итак, предварительный вердикт достаточно очивиден ... а теперь берем образец номер три и применяем небольшую маскировку - динамическую загрузку urlmon:
    Antivirus Version Update Result
    AntiVir 6.32.0.6 10.09.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 no virus found
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 could be infected with an unknown virus
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (-- тут был URL --)

    Итак, уже 5 было 8 штук ...
    Усиливаю маскировку (вместо лобовых констант с именами DLL и функции применяется строка, собираемая из фрагментов - даже без всякой шифровки):
    AntiVir 6.32.0.6 10.09.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 no virus found
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 could be infected with an unknown virus
    Ikarus 0.2.59.0 10.07.2005 Backdoor.Win32.G_Door.T
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader

    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 suspected of Win32.Trojan.Downloader (--тут выводится URL--)
    Интересно, что Ikarus это заметил, причем выдал не подозрение, а именно срабатывание ...
    Про VBA интересно, повторяю тест специально для него - разбиваю константу с URL на несколько частей, в динамике собираю - показывает VBA эту строку правильно, значит, имеет место эмулятор...
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 12:21.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от AndreyKa
    В Dr.Web 4.32 нет никакого эвристика для Trojan.Downloader.
    В 4.33 он появился, было бы интересно его проверить.
    Вне конкурса обязательно проверю - по всем образцам

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    DrWeb Cure-IT 4.33 ... Сработал только на "тестовый пример номер 3", сообщение "Probably DLOADER.Trojan"

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Ну, и наконец "на закуску" тесто номер 5 - применение простейшего антиотладкика (повторюсь - простейшего, без всяких там аппаратных штучек или экзотических приемов !):
    Antivirus Version Update Result
    AntiVir 6.32.0.6 10.09.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.06.2005 no virus found
    Avira 6.32.0.6 10.09.2005 no virus found
    BitDefender 7.2 10.10.2005 no virus found
    CAT-QuickHeal 8.00 10.09.2005 no virus found
    ClamAV devel-20050917 10.09.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.07.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 no virus found
    Norman 5.70.10 10.07.2005 no virus found
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 no virus found
    DrWeb Cure-IT 4.33 10.02.2005 - ничего не нашел
    ----
    Выводы из этого, думаю, делать не надо Они и так налицо. Общий вердикт - по данной категории в пяти тестах лидеры BitDefender, NOD32, Norman и VBA (перечисление в алфивитном порядке). KAV и DrWEB словили только по одному образцу (кстати, у KAV неправильно на virustotal выводится сообщение - при сканировании локальным KAV он сказал "подозрение на ..."
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 12:41.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления.

    Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.

    PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от RiC
    Я несовсем согласен с тестом, потому как надо тестировать наверное как-то иначе, потому как на заявленный в тесте "функционал" претендует каждая 2-я программа автообновления.

    Интересен был-бы более "запущенный" случай - реализация куска кода который более характерен трояну, и менее характерен обычной программе.

    PS: Некоторых можно сразу выкинуть с дистанции, по причине отсутствия объекта тестирования (ClamAV к примеру)..
    в примерах код оченнь характреный - скрытная загрузка exe файла с прошитого прямо в теле exe адреса и его немедленный запуск через ShellExecute. Загрузка исполняемого файла ведется прямо в колень диска... причем в опять же в скрытном режиме, с признаком SW_HIDE.
    А с дистаннции я никого не выкидывал, пускай будут все для полноты картины ...
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 14:18.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Тест номер 6.
    Microsoft C, аналог теста 4 - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами. Консольное приложение, выполняет загрузку exe файла из Инет, его сохранение на c:\troj_test.exe и его немедленный запуск. Принцип работы - через функции wininet InternetOpen, InternetOpenURL, InternetReadFile).
    AntiVir 6.32.0.6 10.10.2005 no virus found
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.10.2005 no virus found
    Avira 6.32.0.6 10.10.2005 no virus found
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.10.2005 no virus found
    ClamAV devel-20050917 10.10.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.10.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 no virus found
    Последний раз редактировалось Зайцев Олег; 10.10.2005 в 14:17.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Тест номер 7.
    Microsoft C, консольное приложение, аналог теста 3 (URLDownloadToFile) - по моей просьбе aintrust "дословно" перевел пример на C параллельно с моими тестами.
    AntiVir 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader
    Avast 4.6.695.0 10.08.2005 no virus found
    AVG 718 10.10.2005 no virus found
    Avira 6.32.0.6 10.10.2005 Heuristic/Trojan.Downloader
    BitDefender 7.2 10.10.2005 BehavesLike:Trojan.Downloader
    CAT-QuickHeal 8.00 10.10.2005 no virus found
    ClamAV devel-20050917 10.10.2005 no virus found
    DrWeb 4.32b 10.02.2005 no virus found
    eTrust-Iris 7.1.194.0 10.09.2005 no virus found
    eTrust-Vet 11.9.1.0 10.10.2005 no virus found
    Fortinet 2.48.0.0 10.10.2005 no virus found
    F-Prot 3.16c 10.10.2005 no virus found
    Ikarus 0.2.59.0 10.10.2005 no virus found
    Kaspersky 4.0.2.24 10.10.2005 no virus found
    McAfee 4600 10.07.2005 no virus found
    NOD32v2 1.1247 10.10.2005 probably unknown NewHeur_PE virus
    Norman 5.70.10 10.07.2005 W32/Downloader
    Panda 8.02.00 10.09.2005 no virus found
    Sophos 3.98.0 10.10.2005 no virus found
    Symantec 8.0 10.09.2005 no virus found
    TheHacker 5.8.2.121 10.10.2005 no virus found
    VBA32 3.10.4 10.09.2005 no virus found

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    317
    Цитата Сообщение от Зайцев Олег
    По тестам 6 и 7 интересное наблюдение - VBA реагировал на Delphi-примеры, но не отреагировал на C. DrWeb CureIT 4.33 проверен на обоих C примерах - тишина.
    Так это... видна рука "мастера" (в трансляции с Delphi на C)! Шютка... Теперь уже даже интересно, что будет с ассемблерным вариантом.

  20. #19
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Долбануцца. RiC прав, код слишком уж неспецифичный, например, один мой апдейтер делает совершенно то же самое, что и сэмплы, разве что, сохраняет файлик в %TEMP% или ExtractFilePath(ParamStr(0))... Олег и aintrust, можете выложить сурс сэмплов в студию? Очччень любопытно...

    В свою очередь обещаю подготовить собственную серию тестов. Ну а пока остается резюмировать, что эвристика упомянутых продуктов на современном этапе способна отлавливать только самые примитивные варианты спайваря... в лучшем случае. В худшем - просто домогает админов ложными срабатываниями =))

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    А АВЗ? Он может такое поймать?

Страница 1 из 4 1234 Последняя

Похожие темы

  1. Trojan.Win32.Generic.Возможно ошибка эвристики KIS2010
    От e'millio в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 15.09.2010, 08:29
  2. топ современных сетевых червей
    От eboev в разделе Сетевые атаки
    Ответов: 0
    Последнее сообщение: 18.01.2010, 14:25
  3. Разработан брандмауэр для современных танков
    От ALEX(XX) в разделе Другие новости
    Ответов: 2
    Последнее сообщение: 17.11.2007, 02:12
  4. Тестирование эвристики современных антивирусных пакетов
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 21.03.2006, 06:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00033 seconds with 19 queries