Но, тут от нечего делать мне захотелось скачать файлец для опытов, посмотреть чего там за вирус(запустил его на виртуальной машине). Вобщем, оказался обычный pinch, тот который тырит пароли от асек, одна из его модификаций. Но дело не в этом, а в том, что вот прямо сейчас обновил базы касперского, решил просканить им этот файлец вирусный, а он мне пишет что мол ВСЁ ОК 
Так что на антивирь надейся... как говорится.
Примечательно, что зашел сейчас на virustotal.com, отправил его на онлайн проверку и в результате Bitdefender, AntiVir, Sophos, Webwasher какой-то вычислили вирус, Panda заподозрила, а остальные промолчали, в т.ч. и каспер и нод32.
Не знаю, возможно, и в других антивирусах примерно то же самое, но вроде как Panda с этим неплохо справляется. Вообще, по-моему, в Каспере всё висит на проактивной защите: выключишь её - и пипец :)
| QUOTE (maxdiversexnarod1 @ 25.04.2007 - время: 10:42) |
| Да, у Каспера похоже проблемы с сигнатурным поиском. Сколько раз убеждался: вот специально пишу прогу, прямо напичканную "плохим" кодом: без таблицы импорта - сама ищет API в памяти, пишу сплайсинг (перехват) функций API, дизассемблер длин, пишу поиск всяких окон и отправку в них сообщений - при проверке этого файла Каспер молчит :) Не знаю, возможно, и в других антивирусах примерно то же самое, но вроде как Panda с этим неплохо справляется. Вообще, по-моему, в Каспере всё висит на проактивной защите: выключишь её - и пипец :) |
Блин, я тоже хочу в этом разбираться. Где можно скачать такую инфу? Я в смысле, тоже немного программирую. На Visual Basic. Пока пишу самые простенькие программки. А хотел бы войти поглубже. Я - самоучка.
| QUOTE (Игорь 33 @ 25.04.2007 - время: 10:52) |
| Блин, я тоже хочу в этом разбираться. Где можно скачать такую инфу? Я в смысле, тоже немного программирую. На Visual Basic. Пока пишу самые простенькие программки. А хотел бы войти поглубже. Я - самоучка. |
Начни с этого: http://wasm.ru/publist.php?list=6
Только может сначала лучше в программировании разобраться, а не сразу мега-крутой вирус создавать?
| QUOTE (barrakuda @ 25.04.2007 - время: 17:13) | ||
Начни с этого: http://wasm.ru/publist.php?list=6 Только может сначала лучше в программировании разобраться, а не сразу мега-крутой вирус создавать? |
Вы меня не правильно поняли. Я никому ничего плохого не желаю. Мне просто интересен сам компьютер. Его возможности. Я хочу знать по возможности всё.
| QUOTE (Игорь 33 @ 25.04.2007 - время: 17:28) |
| Вы меня не правильно поняли. Я никому ничего плохого не желаю. Мне просто интересен сам компьютер. Его возможности. Я хочу знать по возможности всё. |
Вводишь в строке поиска Гугл те понятия, о которых тут говорили (перехват api и т.д.), смотришь, анализируешь
Полезно ознакомиться с API windows.
Впрочем, в качестве обхода файрволов и антивирусов методики, описанные в этих статьях, уже сильно устарели. Но в качестве теоретической подготовки - самое то.
ADDED: Хотя, нужно иметь опыт программирования на Windows API и хотя бы представлять, что такое ассемблер :)
Это сообщение отредактировал maxdiversexnarod1 - 25-04-2007 - 22:53
Присоединённый файл
___________.rar.ibf
Сам бы прикупил.
| QUOTE |
*** What's in the status line? Write to us *** Antivirus Version Update Result AhnLab-V3 2007.4.26.0 04.25.2007 no virus found AntiVir 7.4.0.15 04.25.2007 TR/Agent.30373 Authentium 4.93.8 04.25.2007 Possibly a new variant of W32/new-malware!Maximus Avast 4.7.981.0 04.25.2007 no virus found AVG 7.5.0.464 04.25.2007 no virus found BitDefender 7.2 04.26.2007 DeepScan:Generic.Malware.SFYdldldg.E3222AFE CAT-QuickHeal 9.00 04.25.2007 (Suspicious) - DNAScan ClamAV devel-20070416 04.25.2007 no virus found DrWeb 4.33 04.25.2007 no virus found eSafe 7.0.15.0 04.25.2007 Suspicious Trojan/Worm eTrust-Vet 30.7.3594 04.25.2007 no virus found Ewido 4.0 04.25.2007 Trojan.DNSChanger.bf FileAdvisor 1 04.26.2007 no virus found Fortinet 2.85.0.0 04.25.2007 suspicious F-Prot 4.3.2.48 04.25.2007 W32/new-malware!Maximus F-Secure 6.70.13030.0 04.25.2007 no virus found Ikarus T3.1.1.5 04.25.2007 Trojan-Spy.Win32.Agent.DI Kaspersky 4.0.2.24 04.26.2007 no virus found McAfee 5017 04.25.2007 no virus found Microsoft 1.2405 04.25.2007 no virus found NOD32v2 2219 04.25.2007 no virus found Norman 5.80.02 04.25.2007 no virus found Panda 9.0.0.4 04.25.2007 Trj/LdPinch.ACX Prevx1 V2 04.26.2007 Malware.Trojan.Backdoor.Gen Sophos 4.16.0 04.23.2007 Mal/Basine-C Sunbelt 2.2.907.0 04.19.2007 VIPRE.Suspicious Symantec 10 04.26.2007 no virus found TheHacker 6.1.6.095 04.15.2007 no virus found VBA32 3.11.4 04.25.2007 MalwareScope.Trojan-PSW.Pinch.25 VirusBuster 4.3.7:9 04.25.2007 Packed/FSG Webwasher-Gatewa 6.0.1 04.25.2007 Trojan.Agent.30373 |
| QUOTE (alex1752 @ 26.04.2007 - время: 03:25) |
| Проверка антивирей на вшивость в онлайне...... Итог не впечатлил : |
Тоже люблю таким образом антивири тестировать.
Но тут надо учесть, что используются именно сканеры, в реальной ситуации этот pinch был бы пойман антивирусным монитором.
Эвристический метод рулит и не зря о нём так антивирусные компании трубят. Эти модификации пинча штампуют с такой скорость, что сигнатуры не успевают обновлять.
1. Жрёт дохрена системных ресурсов в отлиии от NODа
2. Время проверки системы на вирусы в 5-6 раз дольше чем у NODа
3. На моих глазах Каспер с только что обновлёнными базами не мог найти а темболее гепнуть вирус Win32.hidrag.A которому уже дохрена лет, зато
НОД моментально нашол и завалил вирус!
4. Удобно обновлять, и ненадо ключей для обновы как у каспера!
| QUOTE (Frisian @ 09.05.2007 - время: 13:02) |
| 3. На моих глазах Каспер с только что обновлёнными базами не мог найти а темболее гепнуть вирус Win32.hidrag.A которому уже дохрена лет, зато НОД моментально нашол и завалил вирус! |
Ничего не путаешь? Описание этого виря добавлено в 2003 году на сайте касперского:
Поведение Virus, компьютерный вирус
Технические детали
Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.
При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.
Вирус никак не проявляет своего присутствия в системе.
Вирус содержит зашифрованные строки:
Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant
Такую ерунду (перезапись исполняемого файла) поведенческий анализатор 6 каспера должен обнаруживат и без баз.
| QUOTE (vertigo1 @ 04.03.2007 - время: 20:45) |
Лично у меня - Касперский: со зловредами справляется безукоризненно. По-моему лучше антивируса пока не придумали |
Касперский, Касперский, Касперский, Касперский ... Как будто другого антивируса в мире не существует. Обрати внимание на Panda. Мощный антивир, firewall и защита от спама. Подороже , конечно, но работает лучше. А главное - мировое сообщество признало его лучшим. Так что выкинь своего каспера подальше
| QUOTE (Rambus @ 14.05.2007 - время: 20:52) |
| Когда это мировое сообщество признавало Панду лучшей? Вах, не знаю такого! Да и кто они-это мировое сообщество? Кучка баранов, которые покупают левую Винду по цене настоящей и готовы платить 50 баксов за фуфельную программку? Не особо-то авторитетный источник... |
Рамбус, да ты чё? Ведущие аналитики в области компьютерной безопасности признали Панду лучшей ещё когда Касперского и в проекте не было!
Панда не фуфельная программка, у неё эвристик был тогда, когда у каспера его ещё и в помине не было.
Это я так, справедливости ради. Хотя моё имхо вы знаете - я антивирусами не пользуюсь практически дома, но если пользуюсь, то каспером. Вообще нашенское больше предпочитаю в софте, если оно не хуже импортного.
поставили на машину КАВ,обновили ему базы,просканировали систему -
каспер отрапортовал,что все чисто,машину выключили. И потом неделю
вообще не включали,а когда включили,опять запустили сканирование...
он обнаружил вирус !
человеку,котроый все это проделывал,а потом пересказывал мне -
доверяю на 100%. лично для меня каспер окончательно стал курьезным
мошенничеством
Проактивная защита Касперского и Zone Alarm - самые лучшие. Они "обитают" на самом низком уровне - перехватывают функции внутри ядра. Но важнее не сам уровень перехвата, а качество. Все современные файрволы работают на уровне ядра. Но вот при этом все, кроме двух указанных лидеров, оставляют до неприличия большое количество лазеек для вирусов.
Я не хочу сказать, что у Каспера и ZoneAlarm'a идеальная проактивная защита. Любой опытный человек сразу найдёт уязвимости в их защитах, просто взглянув на списки перехватываемых функций. Просто их защита на голову выше защит остальных антивирусов.
Что касается Dr.Web. Я поставил себе версию 4.3. Сколько ни искал там проактивной защиты, так и не нашёл :) Я так понимаю Spider Guard - это и есть его "проактивная защита"? Точнее не защита, а полное её отсутствие. Я сначала подумал - может, она настолько хитрая, что её трудно обнаружить? Запустил свою прогу, написанную наверное уже год назад, которая осуществляет инжектирование во все доступные процессы, причём делает это почти самым тупым и явным способом. Вот список процессов, в которые удалось внедриться: [System Process], winlogon, explorer, dopus, winamp, Opera. Как видно, Dr. Web оказался на высоте :)))))) ( Может, у меня слишком старая версия? )
По поводу сигнатурного поиска вирусов. Тут трудно сказать, какой антивирус лучше, а какой хуже. Для этого нужны длительные тесты с поочерёдной установкой антивирусов, установкой самых популярных вирусов... В общем, объективно, наверное, этого не скажет никто.
Это доказательство того, что антивирусы следует выбирать в первую очередь по качеству проактивной защиты, а не по размеру или качеству баз.
| QUOTE (maxdiversexnarod1 @ 20.05.2007 - время: 13:10) |
| Похоже, с сигнатурным поиском у всех кранты :) Я отослал ту самую прогу, которая тупо инжектируется во все процессы, на VIRUSTOTAL.com - результат "no virus found". Это доказательство того, что антивирусы следует выбирать в первую очередь по качеству проактивной защиты, а не по размеру или качеству баз. |
Ну так инжект себя в процессы это ещё не признак вируса, нормальные проги это тоже вроде делают. Ты хочешь чтобы антивирусы палили ексешник только потому, что в нём используются определённые вызовы winapi? Так ведь так можно за вирус принять то, что им не является. Базы сигнатур это база УЖЕ обнаруженных и определённых как вирус объектов. Ничего удивительного в том, что твой незасвеченный "вирус" не определяется, пошли его касперскому по почте и через два часа будет твой вирь в базах.
По этой причине и пошли по пути проактивной защиты, чтобы детектировать подозрительное поведение и таким образом палить НЕ известные вирусы.
Но и тут всё не так просто. Мне вот интересно, есть ли защита от эмуляции ввода пользователя? А то выкинет каспер окошко с запросом что делать с подозрительным объектом, а вирус сам "нажмет" на "разрешить", так что юзер и окошка не заметит этого. В трояне pinch, который так любят использовать для кражи паролей асек такую фигню видел.
| QUOTE |
| Но и тут всё не так просто. Мне вот интересно, есть ли защита от эмуляции ввода пользователя? А то выкинет каспер окошко с запросом что делать с подозрительным объектом, а вирус сам "нажмет" на "разрешить", так что юзер и окошка не заметит этого. В трояне pinch, который так любят использовать для кражи паролей асек такую фигню видел. |
[ где-то я всё это уже писал, как раз не в этой ли теме? ну ладно ]
Да, Каспер и ZoneAlarm имеют защиту от эмуляции клавиатурного ввода. Так что вирусу не удастся просто "нажать" на кнопку. А вот, скажем, Outpost 3-ей версии (более новую просто не пробовал) ломался эмуляцией, скажем, на Basic'e парой десятков строк (см. статью 3APA3'Ы про файрволы).