» Обзор антивирусов под Windows

Zeesh
Цитата:

Надо было сразу открыть autorun.inf с помощью блокнота

Нет уж, увольте... Антивирь тявкнул, - я его (авторан) грохнул. А смотреть, что у него там внутри... Этим пусть аналитики антивирусных компаний занимаются...
(а экзешника "в комплекте" с автораном на флэшке не было...)

Добавлено:
gjf
Цитата:

а так файл абсолютно безвреден - чего пугать домохозяек?

Возможно, если посмотреть его в HEX'е, он окажется не столь уж и безобидным... Взять тот же eicar - тоже текстовая строка...
(чисто досужий домысел, ни к чему не обязывающий...)

Цитата:

Антивирь тявкнул, - я его (авторан) грохнул.

Понятно значит вирус был убит раньше, а авторун остался, потому как текстовые файлы антивирусы не трогают (как видно уже некоторые антивири стали срабатывать и на безобидный текст).

Цитата:

Нет уж, увольте... Антивирь тявкнул, - я его (авторан) грохнул. А смотреть, что у него там внутри...

Вроде взрослые люди, а мышей боитесь… Это я так, к слову… Даже не можете сказать, что же «тявкнул» антивирус. Кстати, ESET Smart Security (он же NOD32) 3.0.684 реагирует на этот файл, и причем на последнюю строку, хотя в ней ничего особенного нет, вроде обычная команда запуска exe-файла — без нее не обращает внимания, видать, она внесена в базу сигнатур… И реагирует в любом формате файла — txt, inf, ini и т.п. Прийду домой, поэкспериментирую с DrWeb.

Цитата:

Ну я сомневаюсь, что антивирус отличит флешку от CD-ROM.

Конечно, не должен отличать, хотя система-то отличает… Вероятно, все-таки содержимое autorun.inf заносится в базу сигнатур, не все, конечно, а что-нибудь характерное…

Добавлено:
Попробовал еще поэкспериментировать с этим файлом — похоже, он весь внесен в базу сигнатур ESET: при удалении любой строки антивирусник перестает на него реагировать.

Zeesh
Цитата:

Вроде взрослые люди, а мышей боитесь… Это я так, к слову… Даже не можете сказать, что же «тявкнул» антивирус.

А при чем ту мыши?.. (это так, к слову...)
Что тявкнул антивирь - была выложена ссылка на вирустотал, сам антивирь тоже был озвучен... Или для наглядности непременно нужна картинка?

---

По содержимому (таки решил немного поэкспериментировать - интересно стало... ) :
ESSBE 4.0.437 реагирует только на полный файл. Причем выдается не подозрение на возможно инифицированный файл, а однозначный вердикт: "Threat: INF/Autorun Virus". Если стереть любую строчку - файл становится, с точки зрения ESS, безвредным.

Мда обленились словаки... добавить какой-нибудь комментарий и уже не увидит(хотя сам экзешник-то должен увидеть)....

Мда, небольшая мутация при размножении и весь детект псу под хвост ...

XenoZ

Цитата:

чисто досужий домысел, ни к чему не обязывающий...

Не фантазируйте, если не знаете. Антивирусы специально ловят EICAR по текстовой строке, потому что это нужно для тестирования. autorun.inf, будучи даже содержащим HEX-символы, не отображаемые в Unicode/ASCII-кодировке (что вообще полный бред) исполняться не будет - у него другое предназначение в функционале заражения.


Цитата:

небольшая мутация при размножении и весь детект псу под хвост

Потому что детект на подобные файлы - курам на смех.

Цитата:

Потому что детект на подобные файлы - курам на смех.

С точки зрения безопасности - да, но приятнее, когда антивирус подчищает все следы за вирусом...
Вот если бы они еще научились реестр самостоятельно исправлять, типа Image File Execution Options...

PhoenixUA
Есть такие!
http://www.quickheal.co.in/qh-total-security.asp
Цитата:
A new advanced malware scanning engine scans registry

там целый отдельный модуль))

Добавлено:
а так вообще никто бэкап не отменял...

gjf
Цитата:

Не фантазируйте, если не знаете. Антивирусы специально ловят EICAR по текстовой строке, потому что это нужно для тестирования. autorun.inf, будучи даже содержащим HEX-символы, не отображаемые в Unicode/ASCII-кодировке (что вообще полный бред) исполняться не будет - у него другое предназначение в функционале заражения.

Вообще-то речь была о комбинации печатаемых символов, к-рая при просмотре в HEX представляет собой исполняемый код, как это было сделано на примере eicar. А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.

Цитата:

Потому что детект на подобные файлы - курам на смех.

Скажите это представителям тех компаний, к-рые считают иначе. (если они решили, что этот набор строк представляет угрозу, то не нам с вами об этом судить...)

Провел эксперимент с DrWeb, результат такой:
1. При подключении к компьютеру флешки с файлом autorun.inf в корневом каталоге spider не отреагировал.
2. Сканер реагирует на файл еще во время подготовки к сканированию, но только на файл, находящийся на флешке. На этот же файл, находящийся во временном каталоге, при сканировании этого каталога — не реагирует.
3. Реагирует только на строку OPen=storage\sys.exe, при ее удалении файл ему не интересен… (и опять же только на флешке).
4. Пробовал изменить файл до такого вида:

Код: [autorun]
open=sast.exe

XenoZ
Приятно было наблюдать ход обсуждения, без взаимных нападок, только логика.
Благодаря вам, до тех до кого дошло, возможно, будут осмотрительней в высказываниях, что антивирус ругается на блокнот.

В продолжение разговора об eicar и о том, как его "детектят" антивирусы...
Что такое eicar? Это тестовый вирус, задача к-рого - вывести на экран сообщение "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Задача антивируса, соответственно - перехватить запуск тест-вируса и не дать ему выполнить свою задачу. Вроде все логично...
А теперь - небольшая модификация...
Исходный eicar:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Модифицированный:
X5O!P%@AP[4\PZX54(P^)7CC)7}$ANOTHER-COOOL-TEST-FOR-ANTIVIRUSES!$H+H*
(исполняемый код - без изменений, сменилась только выводимая строка)
Антивирус на тестовой системе - Avira PE Premium.
Сохраняем модифицированный eicar под именем eicar2.com - Авира молчит.
Открываем консоль, запускаем - Авира молчит, а мы получаем результат сработавшего тест-вируса:

Код: Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

F:\>eicar2.com
ANOTHER-COOOL-TEST-FOR-ANTIVIRUSES!
F:\>

XenoZ
Да, результат интересный. Хотелось бы узнать, как антивирусы узнаЮт этот eicar…

А я тут провел еще один эксперимент с autorun.inf — прописал в нем реально существующий на флешке exe-файл (не вирус), запустил сканер DrWeb, он на autorun.inf не ругнулся, но файл, указанный в нем, проверил. Похоже, он все-таки «читает» autorun.inf, и не находя ничего по указанному пути, выдает сообщение
«Autoruner.corrupted»

XenoZ

Цитата:

Выводы предлагаю сделать самим...

Additional notes:
The definition of the file has been refined 1 May 2003 by Eddy Willems in cooperation with all vendors.
It was decided not to change the file itself for backward-compatibility reasons.

dgsjsj
Ну, здесь все-таки русскоязычный форум, посему корректней было бы выкладывать перевод цитаты, снабдив его ссылкой на первоисточник...
Во-первых, - там ни слова о том, что файл менять нельзя. Во-вторых, повторюсь, - исполняемый код остался без изменений. На него и должен реагировать антивирус. Текст - всего лишь индикация успешного запуска тест-вируса.
И в-третьих - 5 антивирусов таки правильно определили модифицированный eicar...

XenoZ

Цитата:

А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.

Вы действительно считаете, что eicar - это исполняемый вирусный код?

XenoZ

Цитата:

А антивирусы ловят (или, по крайней мере, должны ловить) eicar не по текстовой строке, а по исполняемому коду. к-рый в ней содержится.

Вы ошибаетесь. В даном вопросе полностью правы ув.gjf и dgsjsj. Именно по текстовой строке антивирусы должны опроеделять eicar. Он не имеет никакого отношения к вирусам, а просто в свое время вендоры договорились о "зачислении" простого набора символов к зловредам с целью простой проверки функционирования (или не функционирования) монитоторов. Есть антивирусные компании (новые), которые в эту игру не играют. Кроме того, если хоть один символ в строке eicar изменить или добавить, антивирус (нормальный) тоже не должен его детектировать... То есть, если антивирус определяет "модифицированный" eicar, это значит только то, что далеко не все у него нормально в первую очередь с эвристическим анализом и т.п. Это не плюс, а минус данным антивирусным продуктам. (Я имею ввиду только eicar, а не обсуждаемый файл).

XenoZ

Цитата:

Ну, здесь все-таки русскоязычный форум, посему корректней было бы выкладывать перевод цитаты, снабдив его ссылкой на первоисточник...

Первоисточник - http://www.eicar.org/anti_virus_test_file.htm
Перевод- Любой антивирусный продукт, который поддерживает EICAR тест файл должен определить ее в какой-либо файл при условии, что файл начинается со следующих 68 символов, а именно 68 байт длиной:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ИХМО современный антивирусный продукт не обязательно должен выводить сообщение
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" он может выдавать текст близкий по смыслу.
http://ru.wikipedia.org/wiki/EICAR-Test-File

http://www.virustotal.com/ru/analisis/726c9e52b80f4e52e39d9008e980aeab

(чисто досужий домысел, ни к чему не обязывающий...)процитировано без разрешения автора XenoZ
Добавлено:
Автор сочетания 68 символов Paul Ducklin
http://www.sophos.com/pressoffice/contacts/pauld.html

Почитал с опозданием и хочу добавить к вчерашнему обсуждению Авторана.
У меня в обновляемой XP SP3 файла sys.exe не существует. Еще раньше читал, что такое имя часто носят зловреды.
Тогда логично, что антивирь проверяет по своему назначению что-то запускающий текстовый файл Авторан. Если в нем запускается нечто подозрительное или необязательное (например, sys.exe), то такой Авторан объявляется вирусом. Ожидается, что флэшка когда-нибудь найдет комп с запускаемым с неё зловредом.

gjf
Цитата:

Вы действительно считаете, что eicar - это исполняемый вирусный код?

О том, что это вирусный код, не было сказано ни слова.

aleksdem2
Цитата:

Вы ошибаетесь.

Ммм.... Возможно... Однако, imho, антивирус должен детектировать именно исполняемую, т.е. значащую составляющую, хотя бы по маске:
X5O!P%@AP[4\PZX54(P^)7CC)7}$***********************************$H+H*
иначе смысла в таком тестировании нет. Ведь что получилось в вышеприведенном примере: модифицирована незначащая часть тест-вируса (по большому счету действительно достаточно изменить лишь одну букву), его функционал остался прежним, т.е. он по прежнему выводит на экран строку, но перестает детектироваться антивирусами. И даже эвристика не срабатывает, как "возможно модифицированный eicar-test" (здесь мое мнение - полностью противоположное). Смысл в тупом определении только конкретной строки? О какой работоспособности антивируса можно говорить при таком тестировании?

dgsjsj
Цитата:

ИХМО современный антивирусный продукт не обязательно должен выводить сообщение
"EICAR-STANDARD-ANTIVIRUS-TEST-FILE!"

Данное сообщение выводит сам eicar, а не антивирус..

---

в данном случае речь именно о методике определения eicar современными антивирусами, по исполняемому коду в тестовой строке либо по всей строке целиком... К тому же, некоторые антивирусы не реагируют даже на "чистый" eicar, если его длина больше 68 символов, что, кстати, допускается...

XenoZ

Цитата:

Смысл в тупом определении только конкретной строки?

Да, так был задуман eicar

Цитата:

О какой работоспособности антивируса можно говорить при таком тестировании?

Только о том, что монитор антивируса запущен и не более. Просто раньше небыло раскрывающихся зонтиков, меняющих цвет иконок в трее. Хотя даже при наличии этих визуальных показателей иногда не мешает проверить антивирусную программу на предмет ее функционирования (И только!).
Это вообще по большому счету не тест антивируса. Это скорее тест того, запущены ли его процессы, функционируют ли его драйвера....

XenoZ

Цитата:

либо по всей строке целиком...

Из той информации, что на сайте eicar.org я склонен считать первые 68 символов за "сященную корову"
Добавлять можно, к 68 символам получая общий файл длиной не более 128 символов.
Выходит что
Цитата:

Смысл в тупом определении только конкретной строки?

Сами констатируете, что даже с этим не все справляются.
Ваш пример по-своему интересен там тоже 68 символов, поэтому часть антивирусов просто лоханулись.
Добавлено:
Обновил страницу и вижу что коллега aleksdem2 уже дал пояснения.
Было бы не скромно с моей стороны что то добавлять но т.к. В процессе эксперимента ни один кролик не пострадал... оставляю свою реплику.

В Лаборатории Касперского дятлам потребовалось 2 минуты, для того чтоб обнаружить в файле вирус и добавить его в базу. http://www.virustotal.com/ru/analisis/c0008c4d215c0837d7d5a46fe6ae8b6b3777f780d127d50c33e087027610366b-1248070399
Сам зловред http://narod.ru/disk/11085609000/%D0%90%D1%80%D1%85%D0%B8%D0%B2%20WinRAR%20(2).rar.html пароль infected
и ещё один, Лаборатория Касперского так же быстро среагировала http://narod.ru/disk/11085624000/%D0%90%D1%80%D1%85%D0%B8%D0%B2%20WinRAR%20(copy%202).rar.html Респект и уважуха...

sereja8
В бизнес-время при несложном файле и небольшой загрузке ЛК это - нормальное явление.

gjf

Естественно, вирусные аналитики Лаборатории Касперского самые лучшие и ответственные. Пользователи, надеюсь Вы - оцените это! Сейчас важно две вещи, быстрое детектирование новых образцов зловредов и добавление их в базу!

sereja8

Цитата:

вирусные аналитики Лаборатории Касперского самые лучшие и ответственные

Аналитики - да, возможно. А вот суппорт по другим компонентам прихрамывает...

sereja8

Цитата:

Естественно, вирусные аналитики Лаборатории Касперского самые лучшие и ответственные. Пользователи, надеюсь Вы - оцените это! Сейчас важно две вещи, быстрое детектирование новых образцов зловредов и добавление их в базу!

Только вчера друг поймал Trojan.winlook,у него стояла КИСа 2009 с самыми свежими базами.
Причем Вебер знает этот вирус не менее 2-х месяцев. И где ответственность и самые лучшие...
Помимо этого вируса нашли еще 2 трояна.

BVP


Цитата:

Только вчера друг поймал Trojan.winlook,у него стояла КИСа 2009 с самыми свежими базами.
Причем Вебер знает этот вирус не менее 2-х месяцев. И где ответственность и самые лучшие...
Помимо этого вируса нашли еще 2 трояна.

Образец отсылался в вирусную Лабораторию Касперского? Кис 2009 в каком режиме использовалась? Пользователь продвинутый? Предоставьте образец мне, для изучения!

sereja8
Юзверь не обязан ничего никому отправлять! Тем более быть продвинутым - он оплатил работу дятлов и должен жить спокойно.