Антивирусы - выбор, обсуждение, особенности

[Nikol]

Альтернативное голосование : Анти выбор Антивируса

Результаты до сброса (26.11.2007)

Код:

Касперский          235         33,6%
Norton Antivirus    152         21,7%
Dr. WEB             107         15,3%
NOD32                82         11,7%
Другой               77         11,0%
Panda Antivirus      30          4,3%
Никакого             17          2,4%
Всего - 700 человек

Просьба воздерживаться от фанатских не аргументированных заявлений (например: "Касперский - рулезз!").

[NaimaD]

Ну, значит это не эвристика работает, а определённая сигнатура.

В конце концов, код и принцип работы антивирусов - коммерческая тайна. Определили - молодцы. Пропустили по какой-то причине - не молодцы... =)

[t0p_VD]

Foreigner

Цитата

Если чего-нибудь внедрить, или наоборот убрать - не определяется как опасный.

Например? Вообще удалять там нечего, чтобы он еще определялся, как опасный. А вот добавить вполне можно. Главное - чтоб функциональность участка не менялась (естественно, про принципы полиморфизма речи не идет). И в этом случае он тоже обнаружится. А если просто произвольный кусок в произвольное место кода добавить - он с большой вероятностью будет нерабочим. И не будет, соотвественно, определяться, как опасный.
NaimaD

Цитата

Ну, значит это не эвристика работает, а определённая сигнатура.

Скорее, как раз эвристика. Ведь можно какой-нибудь msgbox впихнуть между созданием письма, и send'ом, и, с большой вероятностью, ничего не изменится. А попробуй send удалить.. Все! Не вирус уже..

[NaimaD]

Цитата (t0p_VD) »

Скорее, как раз эвристика. Ведь можно какой-нибудь msgbox впихнуть между созданием письма, и send'ом, и, с большой вероятностью, ничего не изменится. А попробуй send удалить.. Все! Не вирус уже..

Ну, это всё пустые рассуждения, согласись. Пока мы не знаем, как работает алгоритм в данном конкретном случае (а мы это не узнаем), то зачем гадать, что именно сработало? =)

Я, вон, тоже писал как-то скрипт на Яве. И он не работал. Добавил перед оператором "document." и он заработал. Хотя я специально смотрел в официальном доке по ЯваСкрипту - в том случае уточнять контекст было необязательно... Всё это мелочи, короче =)

[Foreigner]

t0p_VD
Удалить можно "mapi" например, функциональность не изменится - опроеделяется как вирус. А если удалить любое действие (в.т. числе Send) - Все не вирус уже, сам же сказал, то же самое и с внедрением. Внедряем любую фигню, чтобы нарушить функциональность - не Вирус. Внедряем что-нибудь не нарушающее функциональность (какой-нибудь msgbox) - определяется как вирус. Ну что типа так и должно быть? Код-то изначально нерабочий, нехватает массы данных.

[t0p_VD]

Foreigner

Цитата

Код-то изначально нерабочий, нехватает массы данных.

А код-то оформлен в виде процедуры. А кто мешает эту процедуру в отдельном модуле хранить, а из другого (основного) вызывать? Вот тебе и безопасный кусок с нехваткой кучи данных.

[Foreigner]

t0p_VD
Да, вроде, никто не мешает, только в этой технологии я не шибко силен, а можно вызывать эту процедуру не с первого символа, а со второго (это я на " намекаю)

[t0p_VD]

Foreigner

Цитата

можно вызывать эту процедуру не с первого символа, а со второго (это я на " намекаю)

Нельзя. Для компилятора определенные правила существуют.

[Stroom]

Вот. Оставляю одну строчку.
.addresslists.count.addressentries.count For For.createitem.recipients.add.body.attachments.add.send
И на это тоже каспер ругается (это даже и в процедуру не оформлено). То есть алгоритм эвристики примерно такой: проверяются типичные потенциально опасные последовательности функций (именно последовательности, переставлял местами - молчит).
А вдруг юзеру понадобится макрос написать и ему нужна такая последовательность (с макросами мало дела имел, не знаю или кому-то может такое реально понадобится). И че теперь? Его документ будет вирусом считаться? Антивирь орет на одну недоделанную полностью нерабочую строчку. И кому такая примитивная эвристика нужна

Цитата (Гхост-цзы) »

думается, ты слышал про ini-файлы - тоже просто текст, однако от содержания этого текста зависит то, как сработает экзешник
в exe-файле возможно считывание инфы из любого текстового файла и встраивание считанных параметров в свой код

Интересно, кто-то знает вирус, который попадает на комп юзера н-ным кол-вом файлов с разными кусками кода и потом екзехой собирается в работоспособный вирус и потом еще... ? Интересно будет посмотреть, особенно в части распространения

Цитата (NaimaD) »

Да, но работу-то свою антивирусы сделали на ура

Цитата (NaimaD) »

Но эвристика сработала!

Да, эвристика сработала! Апплодисменты! Присылаю товарищу важный файл, его антивирь орет и мой товарищ кроя меня матом его удаляет. В печку такую эвристику

[t0p_VD]

stroom

Цитата

с макросами мало дела имел, не знаю или кому-то может такое реально понадобится

Половина офиса от MS на VBA написана. Только макросы скрыты от глаз пользователей.

Цитата

А вдруг юзеру понадобится макрос написать и ему нужна такая последовательность (с макросами мало дела имел

А вот скажи-ка ты лучше, где именно в полезных целях может использоваться подобная последовательность?

[Stroom]

Цитата (t0p_VD) »

где именно в полезных целях может использоваться подобная последовательность?

Цитата (stroom) »

не знаю или кому-то может такое реально понадобится

лучше спросить у тех, кто активно макросописанием занимается. Сама по себе строчка никакой пользы не несет. Но вдруг она может где-то пригодится при работе с почтой.

stroom добавил :

И вообще-то, не стоит циклиться на одной только этой строчке. Думаю, можно найти сотни строк, которые могут быть полезными, но на них тоже будет подниматься кипиш

[Гхост-цзы]

Цитата (stroom) »

Интересно, кто-то знает вирус, который попадает на комп юзера н-ным кол-вом файлов с разными кусками кода и потом екзехой собирается в работоспособный вирус и потом еще... ? Интересно будет посмотреть, особенно в части распространения

да немало таких - вот пример:
http://www.viruslist.com/ru/news?id=812
-- ответы на все твои вопросы - в описании

Цитата (stroom) »

Сама по себе строчка никакой пользы не несет. Но вдруг она может где-то пригодится при работе с почтой.

чем заниматься гаданием и плодить флейм, давно бы мог глянуть описание тех зверьков, на которые среагировали антивирусы; к примеру, описание одного из этого семейства http://www.viruslist.com/ru/viruses/...?virusid=22861
ну и где это может пригодиться при работе с почтой?

[cooler//@//cooler]

Я за McAfee.У меня на компе стояли Virus Defention,Personal Fire Wall,Spyware Guard.Кстати Нортон фигня,некоторые spyware не мог найти,но c mcafee всё нашёл,а то спам с инета надоел.

[Foreigner]

cooler//@//cooler
Во-первых аргументируй, во вторых какой McAfee? VirusScan? Firewall? Internet Security? QuickClean? SpamKiller?
Spyware ищет VirusScan и Internet Security, спамом занимается SpamKiller, намного разные продукты...
Ну и раз ты сдесь отметился, проверь что McAfee говорит насчет обсуждаемого сдесь "Email-Worm.VBS"
stroom говорит
McAfee 4729 Found nothing, а у тебя какая версия?

P.S: по поводу того дожен приведенный сдесь кусок кода определяться как вирус или нет, единого мнения нет, но все-равно интересно.

[Stroom]

Ну хорошо продолжим (теперь уже работающие вири). Берем вирь (достаточно молодой, и по сему в базы не добавлен еще), который делает такое (по словам автора, да и по коду видно):

Цитата

; What does this Code?
; - Copy itself to %WINDIR%\Help\WinHelpCenter.exe
; - Adds a new registry entry for autostarting itself
; - Searches in
; %WINDIR%\ServicePackFiles\i386\
; %WINDIR%\
; %WINDIR%\system32\
; %WINDIR%\system32\dllcache\
; for file extension files like
; .exe
; .dll
; .scr
; to infect it
; - infecting file by changing the RVA entry point of the file

короче говоря, после 5-10 минут работы виря с виндой уже работать полноценно невозможно. Только НОД (возможно неизвесный PE virus) и Panda (подозрительный файл) уловили. А остальные почему молчат ? Помогите найти ответ на вопрос

[che-hoff]

логика очевидна... попробуй запустить на своей машине и проверить, действительно ли он работает в соответствии с описаловом

[t0p_VD]

stroom Зря ты такую подпись себе сделал. У половины народа KAV стоит. Скоро кипиш начнется, что на форуме вирусы лежат. И тебе наказание какое-нибудь точно будет, т.к. строчку ты вписал умышленно.

Цитата

да и по коду видно

А кода-то, как раз, и нету.

Цитата

А остальные почему молчат

Потому что вирусописатели - народ не дурной. И лично я проверил-бы реакцию эвристика распространенных антивирусов на работу вновь написанного вируса. И наверняка так и сделано было. Я об этом уже несколько раз писал.. А почему на панде или ноде срабатывает - очевидно на них не проверяли, и все.

[cooler//@//cooler]

Цитата

Во-первых аргументируй, во вторых какой McAfee? VirusScan? Firewall? Internet Security? QuickClean? SpamKiller?

Virus Defention 9.1,Personal Fire Wall 6.1.6144,Spyware Guard стоят вместе.

[Foreigner]

t0p_VD
перед addresslists нет точки, так что Касперский молчит.

[Stroom]

Цитата (t0p_VD) »

Зря ты такую подпись себе сделал. У половины народа KAV стоит. Скоро кипиш начнется, что на форуме вирусы лежат

Хренус там я точку спереди убрал (специально, что б кипиш не начался ), смотри внимательнее

Цитата (che-hoff) »

логика очевидна... попробуй запустить на своей машине и проверить, действительно ли он работает в соответствии с описаловом

Да уже проверено, или я б начал писать сюда, не проверив его работоспособность? che-hoff

Цитата (stroom) »

короче говоря, после 5-10 минут работы виря с виндой уже работать полноценно невозможно

Все делает, что обещано, в автостарт себя добавляет, WinHelpCenter.exe создает, зараженные файлы недееспособны: первое что перестало запускаться regedit, потом справка и поддержка...и т.д., потом начинают выскакивать месаги с еррорами.

Цитата (t0p_VD) »

И лично я проверил-бы реакцию эвристика распространенных антивирусов на работу вновь написанного вируса

не понял этой фразы

Цитата (t0p_VD) »

А кода-то, как раз, и нету.

ну так выкладываю. Вот архив. Пароль: 1234

stroom добавил :

Цитата (t0p_VD) »

И тебе наказание какое-нибудь точно будет, т.к. строчку ты вписал умышленно.

а вдруг помилуют? Наши модераторы - самые гуманные модераторы в мире!

[Foreigner]

stroom
Качнул твой архив, после распаковки: "w32_carume.exe содержит trojan.Win32.Small.ht" ну и???