Comments 30
Занимательно, кстати недавно читал подобное исследование только в нём masm использовался
kaimi.ru/2011/11/antivirus-trolling/
kaimi.ru/2011/11/antivirus-trolling/
В хакере несколько статей было с подобным исследованием антивирусов. Только не вирустотал, а конкретные антивири тестили на компе. Там же и HIPS работал.
Весьма занятные результаты…
Весьма занятные результаты…
Вы, извините, хрень какую-то пишите.
Вы исходите из каких-то диких предпосылок, что нормальное приложение не должно загружать из сети обновления и запускать их, не должно пользоваться SEH, шифровать секции данных, демонстрировать процессорозависимое поведение и т.д. А любое из этих действий рассматриваете как признак вредоносности. По-моему, это совершенный абсурд. Это первое.
Второе. Если в приложении эти действия закодированы, то это может лишь вызвать легкое подозрение у антивируса, а проверка этих подозрений как раз возлагается на эти самые HIPS технологии. Сканер сам по себе не должен классифицировать их как малварь (если только это не сканер конкренной малвари), защита должна быть комплексной. К этому индустрия пришла уже достаточно давно, странно что вы еще не.
Третье. Реакция на ваш единичный семпл никак не может служить критерием для оценки, насколько хорош тот или иной антивирусный продукт. Для любой системы фильтров (в данном случае антивирусов) и из настроек можно подобрать такую выборку исходных данных, что фильтры пройдут лишь нужные образцы. У любого фильтра есть пороговая область, где срабатывание нестабильно. Это не значит, что в данном случае вы подгоняли входные данные под результат, но сама возможность такой подгонки дискредитирует ваш подход.
Ну и в дополнение, вы в курсе, с какими настройками гоняет каждый сканер VirusTotal? Может, в некоторых продуктах задействован и поведенческий анализ, например через виртуализацию. Это тоже портит эексперимент.
P.S. В качестве юмора.
> Сразу сдались такие небезызвестные антивирусы как Avast, Comodo, Nod32, Panda и Symantec. Как же они умудрились обойти стороной такой примитивнейший вирус?
Они все правильно детектировали, это же не настоящий вирус. Это демонстрационный пример, реального вреда не приносит :) Это у Касперыча ложное срабатывание. trollface.jpg
Вы исходите из каких-то диких предпосылок, что нормальное приложение не должно загружать из сети обновления и запускать их, не должно пользоваться SEH, шифровать секции данных, демонстрировать процессорозависимое поведение и т.д. А любое из этих действий рассматриваете как признак вредоносности. По-моему, это совершенный абсурд. Это первое.
Второе. Если в приложении эти действия закодированы, то это может лишь вызвать легкое подозрение у антивируса, а проверка этих подозрений как раз возлагается на эти самые HIPS технологии. Сканер сам по себе не должен классифицировать их как малварь (если только это не сканер конкренной малвари), защита должна быть комплексной. К этому индустрия пришла уже достаточно давно, странно что вы еще не.
Третье. Реакция на ваш единичный семпл никак не может служить критерием для оценки, насколько хорош тот или иной антивирусный продукт. Для любой системы фильтров (в данном случае антивирусов) и из настроек можно подобрать такую выборку исходных данных, что фильтры пройдут лишь нужные образцы. У любого фильтра есть пороговая область, где срабатывание нестабильно. Это не значит, что в данном случае вы подгоняли входные данные под результат, но сама возможность такой подгонки дискредитирует ваш подход.
Ну и в дополнение, вы в курсе, с какими настройками гоняет каждый сканер VirusTotal? Может, в некоторых продуктах задействован и поведенческий анализ, например через виртуализацию. Это тоже портит эексперимент.
P.S. В качестве юмора.
> Сразу сдались такие небезызвестные антивирусы как Avast, Comodo, Nod32, Panda и Symantec. Как же они умудрились обойти стороной такой примитивнейший вирус?
Они все правильно детектировали, это же не настоящий вирус. Это демонстрационный пример, реального вреда не приносит :) Это у Касперыча ложное срабатывание. trollface.jpg
А) Нормальное приложение не должно скачивать неизвестно что из-интернета и запускать это на исполнение и больше ничего не делать. Это классический Trojan-Downloader, которого должен детектировать любой антивирус. Использование SEH и шифрования — действия, нацеленные на обход антивирусной защиты — про то, что приложения не должны их использовать в статье ничего не сказано.
Б) Почему тогда пример 1 вызвал негативную реакцию 18 антивирусов, причём лучшей части этих антивирусов? А после некоторых манипуляций они сдали свои позиции? Не означает ли это, что они просто не смогли противостоять такой примитивной защите?
В) Если мы смогли тем или иным способом обойти защиту, значил любое ПО может сделать тоже самое таким же образом => результаты довольно справедливые. Главный результат — все антивирусы показали себя не с лучшей стороны.
Г) Если это так, то ситуация куда хуже. Поэтому я уверен, что это не так.
Д) И всё-таки это вредоносное ПО.
Б) Почему тогда пример 1 вызвал негативную реакцию 18 антивирусов, причём лучшей части этих антивирусов? А после некоторых манипуляций они сдали свои позиции? Не означает ли это, что они просто не смогли противостоять такой примитивной защите?
В) Если мы смогли тем или иным способом обойти защиту, значил любое ПО может сделать тоже самое таким же образом => результаты довольно справедливые. Главный результат — все антивирусы показали себя не с лучшей стороны.
Г) Если это так, то ситуация куда хуже. Поэтому я уверен, что это не так.
Д) И всё-таки это вредоносное ПО.
А) Отдельный модуль апдейта приложения, который только скачивает новый инсталляционный файл и запускает его, почему бы и нет?
> Нормальное приложение не должно скачивать неизвестно что из-интернета и запускать это на исполнение и больше ничего не делать.
Вот эти моменты из всех пожалуй стоят того, чтобы их раскрыть. «Неизвестно что» это по-вашему значит плохо. А «известно что» вообще бывает, на этапе сканирования? Вот «больше ничего не делать» это поинтереснее. Попробуйте добавить в свой пример «делание много чего еще», в двух вариантах — вредоносного и безобидного. Посмотрите, что изменится.
> Не означает ли это, что они просто не смогли противостоять такой примитивной защите?
Это означает, что если код зашифрован (не упакован), то нефиг тратить время на попытки расшифровки, анализ откладывается до стадии исполнения. И это правильно.
Вот эти моменты из всех пожалуй стоят того, чтобы их раскрыть. «Неизвестно что» это по-вашему значит плохо. А «известно что» вообще бывает, на этапе сканирования? Вот «больше ничего не делать» это поинтереснее. Попробуйте добавить в свой пример «делание много чего еще», в двух вариантах — вредоносного и безобидного. Посмотрите, что изменится.
> Не означает ли это, что они просто не смогли противостоять такой примитивной защите?
Это означает, что если код зашифрован (не упакован), то нефиг тратить время на попытки расшифровки, анализ откладывается до стадии исполнения. И это правильно.
Еще есть куча ПО, которое обфусцировано и пошифровано ради того, чтобы его не взломали. Как предлагаете с этим фактом антивирусам бороться? Орать во всю глотку, что вредоносное ПО на борту?
Согласен с вами, сильно похоже на подгон самого теста под результат.
Fake positive лучше пропущенного виря. Так чо пусть они и не разобрались с кодом, но паранойя не вредит.
PS Авира и Майкрософт отработали, это радует. Два хороших бесплатных антивиря.
PS Авира и Майкрософт отработали, это радует. Два хороших бесплатных антивиря.
Хрень какая-то, а не статья. Сразу вспоминается ситуация, с которой я сталкиваюсь касательно PVS-Studio. Взято несколько абстрактных примеров и на основании этого сделана попытка что-то оценить (один из примеров). На мой взгляд наоборот молодцы, что не ругаются почём зря.
P.S. Хорошая статья Касперского по данной теме: Тестировать нельзя помиловать.
Бывают ситуации, когда ты невнимателен, или просто лень читать статью — листаешь и цепляешь за интересные места. Тут я просто ничего подчеркнуть обзорно не смог, мне кажется, это минус статьи! НА изображениях ничего не подчеркнуто, в тексте не выделено!
Проактивки здесь ни причем, здесь исключительно эвристика должна была работать и эмуляторы. Но результат меня ничем не удивил — ожидаемая картина. Правда порадовал сигнатурный детект dr.web после криптования строк — значит уже были реальные downloader'ы с таким кодом.
Однако стоит накрыть каким-нибудь самописным пакером и скорей всего АВ уже пообломаются, и начнутся детекты вроде cryptik
Однако стоит накрыть каким-нибудь самописным пакером и скорей всего АВ уже пообломаются, и начнутся детекты вроде cryptik
UFO just landed and posted this here
А какой смысл сканировать только сигнатурными базами?
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
Расстроило что AVG не прошёл. Однажды я заметил что AVG может расчистить загаженную машину будучи установленным на неё уже после заражения, чем был изрядно приятно удивлён (раньше приходилось либо винч отвинчивать либо с CD грузиться).
Online scan вирустотала не на всех антивирусах включает проактивку.
Проверьте семпл на том же авасте на тестовой машине, результат может отличаться.
Проверьте семпл на том же авасте на тестовой машине, результат может отличаться.
Я тоже не вижу смысла статьи, ибо поведение аверов рассматривается комплексно, и как уже сказали, нет ничего удивительного в таких результатах.
anubis.iseclab.org, потестите там — у них, вроде, они отрабатывают нормально, со всем функционалом.
anubis.iseclab.org, потестите там — у них, вроде, они отрабатывают нормально, со всем функционалом.
Чем-то статья хороша, а чем-то плоха.
Все же мне кажется, гораздо более достоверные результаты были бы если бы это был не вирустотал, а, скажем, виртуалки с разными антивирусами, которые сканируют файл из виртуальной сетевой папки (делается через VirtualBox довольно просто). Тогда можно было бы точно знать где работает проактивка, где какие настройки и т.д.
Все же мне кажется, гораздо более достоверные результаты были бы если бы это был не вирустотал, а, скажем, виртуалки с разными антивирусами, которые сканируют файл из виртуальной сетевой папки (делается через VirtualBox довольно просто). Тогда можно было бы точно знать где работает проактивка, где какие настройки и т.д.
Статья действительно не корректна. В самом начале автор делает неправильное допущение, что все антивирусы должны задектить его код. Но это неправильно, т.к. уже многие тут сказали, что код этот не может считаться вредоносным. Гораздо правильней было бы отследить динамику.
Т.е. проводится скан первого сэмпла и те антивирусы что задетектили код входят с состав тестируемых. Т.к. они посчитали этот код вредоносным, то следует тестить дальше только их, насколько они устойчивы к шифрованию строк, кода и прочего.
А так статья чистый популизм, который произведет впечатление на людей не разбирающихся в вирусных и антивирусных технологиях и не понимающих как они работают.
Да и в борьбе против неизвестных вирусов, аверы всегда проигрывают. То вредоносное ПО, которое пишется профессионалами всегда обходит эвристики, анализаторы и сигнатуры. Эти вирусы их хлеб и они стараются во всю. Единственное что могут противопоставить этому антивирусы это HIPS/SandBox (которые кстати здесь не тестировались) и скорость сбора сигнатур.
HIPS и тому подобное очень спорная технология, т.к. ответственность за принятие решения перекладывается на пользователя, который в большинстве случаев вообще понятия не имеет что происходит. Ну а скорость добавления в базы тоже не достаточно высока. Разработчики вирусов мониторят детекты круглосуточно и очень быстро выпускают апдейты. Антивирусы всегда в роли догоняющих.
Т.е. проводится скан первого сэмпла и те антивирусы что задетектили код входят с состав тестируемых. Т.к. они посчитали этот код вредоносным, то следует тестить дальше только их, насколько они устойчивы к шифрованию строк, кода и прочего.
А так статья чистый популизм, который произведет впечатление на людей не разбирающихся в вирусных и антивирусных технологиях и не понимающих как они работают.
Да и в борьбе против неизвестных вирусов, аверы всегда проигрывают. То вредоносное ПО, которое пишется профессионалами всегда обходит эвристики, анализаторы и сигнатуры. Эти вирусы их хлеб и они стараются во всю. Единственное что могут противопоставить этому антивирусы это HIPS/SandBox (которые кстати здесь не тестировались) и скорость сбора сигнатур.
HIPS и тому подобное очень спорная технология, т.к. ответственность за принятие решения перекладывается на пользователя, который в большинстве случаев вообще понятия не имеет что происходит. Ну а скорость добавления в базы тоже не достаточно высока. Разработчики вирусов мониторят детекты круглосуточно и очень быстро выпускают апдейты. Антивирусы всегда в роли догоняющих.
Конкретно был разочарован McAfee, никому не рекомендую. Постоянно сбивались настройки, требовал ключи, хотя все было оплачено и введено, техподдержки нет нормальной, непонятно, куда обращаться, когда заглючил интернет-антивирус.
Sign up to leave a comment.
О возможностях антивирусов. Часть 1