Information Security
Comments 21
+59
Черт побери, да все использовали VT для отладки малвари чуть ли не с момента создания проекта. До этого не мог додуматься только идиот — какой смысл рисковать, когда у тебя под рукой есть сервис, где ты заранее можешь наглядно посмотреть детект. Достаточно почитать соответствующие ресурсы / форумы.

Более того, мне вспоминается что кто-то автоматизировал процесс проверки результата через VT API для своего криптора.
+15
VirusTotal по-моему давно начал отправлять образцы на сигнатурный анализ антивирусным компаниям (ну или это дефолтная функция некоторых антивирусов), так что на некоторых хак-форумах рекомендуют не проверять им пробив.
+2
Не совсем так. AV компании оформляют подписку и им ежедневно предоставляются ссылки на архивы (если не ошибаюсь, то есть варианты: за день, за неделю, за месяц и т.д.) также можно скачать конкретный файл зная его хэш. Еще есть функция отправки недетектов, если я не ошибаюсь, работает по принципу — кто-то детектит, вы нет, то получите файлик.
0
Я бы проверял свой вирус на «пробив», а потом бы просто перепаковывал его по другому, чтобы хеш изменился. И чтобы он не собирал данные обо мне, использовал бы TOR или VPN.
0
Если не повезет, то обратят пристальное внимание, распакуют и будут детектить на более глубоком уровне так, что перепаковка уже не поможет. Да и вообще могут всю схему накрыть и C&C-сервера увести :)
0
Еще на VirusTotal есть платный сервис — Malware Intelligence. На этом сервисе можно задать YARA правила, при срабатывании которых будут приходить нотификации на почту о появлении новых файлов.
+1
Думаю что ключевая фраза здесь
… но Диксону удалось по крайней мере определить хеши IP-адресов...
И, о чудо! Есть множественные загрузки.
+3
Есть же альтернативный сервис, который делает то же, но не «отстукивает» «кому следует». Дети?
+2
А файл, на котором хакеры остановились автоматически добавляется в антивирусную базу :-).
-1
Нет. Автоматически ни один файл не добавляется в базы. Цикл любого executables это прохождение в первую очередь через «руки» автоматики и затем к авер-эксперту. Если файл «варил» достаточно опытный малварщик, то велика вероятность, что файл автоматику пройдет. Да и авер-эксперт эксперту рознь! Другими словами время жизни малвари из рук опытного малварщика, как правило, больше 2 дней, а некоторые «заказчики» в некоторых ситуациях рады даже и 1 дню.
0
Но те, которые не прошли автодетект, отправляются? Значит, их будут анализировать и появление такого файла даже с другой сигнатурой будет ожидаемым.
0
Не совсем понятно, что Вы хотели узнать задавая вопрос:
>>Но те, которые не прошли автодетект, отправляются?
1) В авер-конторах нет понятия «авто-детект»
2) Куда конкретно отправляются? В базы? Вир-лабораторию? В /dev/null?
0
1) В авер-конторах нет понятия «авто-детект»

На здоровье, я же со стороны рассуждаю, по слухам.

2) Куда конкретно отправляются? В базы? Вир-лабораторию? В /dev/null?

Во множестве мест видел упоминание, что VirusTotal отправляет какие-то образцы ав лабораториям. Пытаюсь разобраться — так это или нет, и по какому признаку отбираются кандидаты на отправку. Множество людей говорит, что есть такое; мне интересно — слух это или нет. К тому же, если бы такого не было, не было бы альтернативных, «теневых» сервисов с таким же функционалом.

Не совсем понятно, что Вы хотели узнать задавая вопрос:

Я имею в виду, что те образцы, которые были признаны АВ ПО вредоносными не по сигнатурам, а по шаблонному поведению — первые кандидаты на рассмотрение человеком, нет?
0
>>по шаблонному поведению — первые кандидаты на рассмотрение человеком, нет?
Нет, не первые. У каждой авер-конторы свои внутренние процессы. Но, как правило, первыми в руки эксперта попадает то, на что указал руководитель какой-либо группы экспертов. Если Васе сказали «Надо пиариться вот тебе файл», то он будет писать пиар-ресеч ибо деньги

>>что VirusTotal отправляет какие-то образцы ав лабораториям
Да, файлы VirusTotal могут быть посланы в авер-контору. Об этом уже упоминалось в этом комментарии.
0
Ну, вот мне был интересен принцип отбора этих файлов.
" Еще есть функция отправки недетектов, если я не ошибаюсь, работает по принципу — кто-то детектит, вы нет, то получите файлик. "
Это самое простое — файл опознан как вредоносный кем-то, вами нет: получите, распишитесь. Я думал, есть и другие принципы выбора файлов для отправки.
+2
Это какие-то начинающие скрипт-кидди были, а не хакеры.
В андеграунде для этих задач уже много лет есть свои сервисы-аналоги вирустотала, которые не отправляют семплы антивирусным компаниям.
-1
Злоумышленники использовали дрель Makita, с помощью которой потерпевший был засверлен до смерти.
Only those users with full accounts are able to leave comments. , please.