GlOFF
14.11.2007, 22:09
Проведем небольшой тест антивирусных продуктов.
Нам потребуется:
1. Возьмем стандартный калькулятор, идущий в поставке с любой WinOS. В данном случае брался Calc.exe из WinXP SP2 (C:\windows\system32\calc.exe).
2. Упаковщики UPX v3.0, FSG v2, UPack v0.39
3. Любой OnLIne сервис по комплексоной антивирусной проверки. В данном случае (virustotal.com).
Что мы делаем:
Берем пакуем стандартный калькулятор и посылаем на проверку. Получаем следующие результаты:
Чистый calc.exe:
Текущий статус: закончено
Результат: 0/32 (0%)
Упакован UPX v3.0
Текущий статус: закончено
Результат: 3/32 (9.38%)
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.11.14 Win32.Suspect.Infection.150035
Webwasher-Gateway 6.0.1 2007.11.14 Win32.ModifiedUPX.gen!90 (suspicious)
Упакован FSG v2:
Текущий статус: закончено
Результат: 8/32 (25%)
CAT-QuickHeal 9.00 2007.11.14 (Suspicious) - DNAScan
F-Secure 6.70.13030.0 2007.11.14 LdPinch.JVR
McAfee 5163 2007.11.14 New Win32.s
Norman 5.80.02 2007.11.14 LdPinch.JVR
Sophos 4.23.0 2007.11.14 Mal/EncPk-C
Sunbelt 2.2.907.0 2007.11.14 VIPRE.Suspicious
VirusBuster 4.3.26:9 2007.11.14 Packed/FSG
Webwasher-Gateway 6.0.1 2007.11.14 Win32.Malware.gen#FSG (suspicious)
Упакован UPack v0.39:
Текущий статус: закончено
Результат: 12/32 (37.5%)
CAT-QuickHeal 9.00 2007.11.14 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.14 PUA.Packed.UPack-2
eSafe 7.0.15.0 2007.11.14 Suspicious File
F-Prot 4.4.2.54 2007.11.14 W32/Heuristic-162!Eldorado
Ikarus T3.1.1.12 2007.11.14 Trojan-Downloader.Win32.Zlob.and
McAfee 5163 2007.11.14 New Win32.s
Norman 5.80.02 2007.11.14 W32/Suspicious_U.gen
Sophos 4.23.0 2007.11.14 Mal/EncPk-C
Sunbelt 2.2.907.0 2007.11.14 VIPRE.Suspicious
TheHacker 6.2.9.128 2007.11.14 W32/Behav-Heuristic-060
VirusBuster 4.3.26:9 2007.11.14 Packed/Upack
Webwasher-Gateway 6.0.1 2007.11.14 Win32.Malware.gen (suspicious)
Выводы:
Вот такие смешные результаты дают некоторые антивирусные продукты. За что люди платят деньги ;) :
1)У тех, кто выдает Packed/*** - не могут распокавать распрастранненый упаковщик и добраться до пакованного кода. Поэтому обезапасив себя пользователю выдают, что паковано! Пользователь должен распаковать и снова просканить, тогда антивирус соизволит проверить. Это значит практически нет никакой эмуляции, практикуют масковые сигнатуры :D.
2) Порадовали LdPinch.JVR!!! Да уж, теперь упакованный распрастраненным упаковащиком калькулятор превращается в легендарный LDPinch.
3) Эвристика и мощный эвристический анализотор щас модно, но когда упакованный калькулятор - это VIPRE.Suspicious, Win32.Malware.gen (suspicious), W32/Heuristic-162!Eldorado, W32/Behav-Heuristic-060. . Делай-те выводы.
4) Самый палевный результат дал UPack (12/32). Я бы не сказал, что он не известный никому. :) А что будет если упаковщик мало известен? Неизвестно.
P.S.
Что это? Наглость антивирусныx разработчиков или их грубые ошибки при реализации модных эвристических технологий. :) Напоследок скажу что, это лишь просто поверхностный и скромный взгляд на существуещие антивирусное ПО. В итоге предлогаю обсудить это...
Нам потребуется:
1. Возьмем стандартный калькулятор, идущий в поставке с любой WinOS. В данном случае брался Calc.exe из WinXP SP2 (C:\windows\system32\calc.exe).
2. Упаковщики UPX v3.0, FSG v2, UPack v0.39
3. Любой OnLIne сервис по комплексоной антивирусной проверки. В данном случае (virustotal.com).
Что мы делаем:
Берем пакуем стандартный калькулятор и посылаем на проверку. Получаем следующие результаты:
Чистый calc.exe:
Текущий статус: закончено
Результат: 0/32 (0%)
Упакован UPX v3.0
Текущий статус: закончено
Результат: 3/32 (9.38%)
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
Ikarus T3.1.1.12 2007.11.14 Win32.Suspect.Infection.150035
Webwasher-Gateway 6.0.1 2007.11.14 Win32.ModifiedUPX.gen!90 (suspicious)
Упакован FSG v2:
Текущий статус: закончено
Результат: 8/32 (25%)
CAT-QuickHeal 9.00 2007.11.14 (Suspicious) - DNAScan
F-Secure 6.70.13030.0 2007.11.14 LdPinch.JVR
McAfee 5163 2007.11.14 New Win32.s
Norman 5.80.02 2007.11.14 LdPinch.JVR
Sophos 4.23.0 2007.11.14 Mal/EncPk-C
Sunbelt 2.2.907.0 2007.11.14 VIPRE.Suspicious
VirusBuster 4.3.26:9 2007.11.14 Packed/FSG
Webwasher-Gateway 6.0.1 2007.11.14 Win32.Malware.gen#FSG (suspicious)
Упакован UPack v0.39:
Текущий статус: закончено
Результат: 12/32 (37.5%)
CAT-QuickHeal 9.00 2007.11.14 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.14 PUA.Packed.UPack-2
eSafe 7.0.15.0 2007.11.14 Suspicious File
F-Prot 4.4.2.54 2007.11.14 W32/Heuristic-162!Eldorado
Ikarus T3.1.1.12 2007.11.14 Trojan-Downloader.Win32.Zlob.and
McAfee 5163 2007.11.14 New Win32.s
Norman 5.80.02 2007.11.14 W32/Suspicious_U.gen
Sophos 4.23.0 2007.11.14 Mal/EncPk-C
Sunbelt 2.2.907.0 2007.11.14 VIPRE.Suspicious
TheHacker 6.2.9.128 2007.11.14 W32/Behav-Heuristic-060
VirusBuster 4.3.26:9 2007.11.14 Packed/Upack
Webwasher-Gateway 6.0.1 2007.11.14 Win32.Malware.gen (suspicious)
Выводы:
Вот такие смешные результаты дают некоторые антивирусные продукты. За что люди платят деньги ;) :
1)У тех, кто выдает Packed/*** - не могут распокавать распрастранненый упаковщик и добраться до пакованного кода. Поэтому обезапасив себя пользователю выдают, что паковано! Пользователь должен распаковать и снова просканить, тогда антивирус соизволит проверить. Это значит практически нет никакой эмуляции, практикуют масковые сигнатуры :D.
2) Порадовали LdPinch.JVR!!! Да уж, теперь упакованный распрастраненным упаковащиком калькулятор превращается в легендарный LDPinch.
3) Эвристика и мощный эвристический анализотор щас модно, но когда упакованный калькулятор - это VIPRE.Suspicious, Win32.Malware.gen (suspicious), W32/Heuristic-162!Eldorado, W32/Behav-Heuristic-060. . Делай-те выводы.
4) Самый палевный результат дал UPack (12/32). Я бы не сказал, что он не известный никому. :) А что будет если упаковщик мало известен? Неизвестно.
P.S.
Что это? Наглость антивирусныx разработчиков или их грубые ошибки при реализации модных эвристических технологий. :) Напоследок скажу что, это лишь просто поверхностный и скромный взгляд на существуещие антивирусное ПО. В итоге предлогаю обсудить это...