Symantec: Trojan.Gen.2 - полное раскрытие (1 Viewer)

  • Автор темы komrad.vasvas
  • Дата начала

Пользователи, которые просматривают: тема

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823
Вот то-что я залил на VT, постом выше исходник, что-то у меня вложения не заливаются, т.к. глючит адоб, пришлось флешь загрузчик в настройках отключить, у кого проблемы с вложениями, нужно в настройках профиля отключить "Использовать флеш-загрузчик" и тогда вложения будут нормально заливаться:

upload_2015-2-27_21-13-8.png
 

Вложения

  • Forma_na-VT.rar
    350.4 КБ · Просмотры: 9

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823
Поставил Нортон последний, на данный момент на запуск никаких детектов нет, на VT файл есть ждём и смотрим будет-ли детект на sfx и на файл Forma.exe.

Это безобидная форма, которая по нажатию выводит в текстовый файл строку, файл создаёт в той-же папке, разумеется там нет никакого GoldSpy и Virus.Win32.Heur.l, гы-гы !смех-смех!!!
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Поставил Нортон последний, на данный момент на запуск никаких детектов нет, на VT файл есть ждём и смотрим будет-ли детект на sfx и на файл Forma.exe.

Это безобидная форма, которая по нажатию выводит в текстовый файл строку, файл создаёт в той-же папке, разумеется там нет никакого GoldSpy и Virus.Win32.Heur.l, гы-гы !смех-смех!!!
Как же нет детекта?!!!
Безымянный.jpg
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Нету детекта, вот ролик в качестве доказательства:


Может у вас какие-то настройки изменены, я тестирую на дефолте...

На VT тоже ничего не появилось, перепроверил...Не въехал!!!Не въехал!!!Не въехал!!!
Слаб он на дефолте к сожалению руками допиливать надо! А с настройками все просто выкручено все на максимум!!! На дефолте он чего и посурьёзней пропустить может! Да и все антивири на дефолте не так хороши как грамотно настроенные!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823
Слаб он на дефолте к сожалению руками допиливать надо! А с настройками все просто выкручено все на максимум!!! На дефолте он чего и посурьёзней пропустить может! Да и все антивири на дефолте не так хороши как грамотно настроенные!!!
Norton Security ?

upload_2015-2-28_12-8-41.png


А что там такое можно выкрутить непойму ?

Суть этого теста в том, что-бы понять как формируется детект ws.reputation.1, на дефолте это явно не на новые исполняемые файлы и второе, будет-ли детект на форму Form.exe...

Объясню идею этого мини-исследования !

Представьте, что архив - это "Джойнер" - т.е. вирус склеенный с картинкой, form.exe это вирус, а картинка - это полезная нагрузка !

Так вот, я специально сильно запрятал form.exe, во первых в запаролленный второй архив, а во вторых сам этот архив замаскировал, путём изменения расширения и изменения первого байта...

Если глянете sfx, то там будут следующие файлы:

inst1.js -сам загрузчик + обфусцировал код;

N.jpg - обычная картинка;

sfx_with_pass.png - наш архив, которого восстановит скрипт и запустит, в этом-же архие и находится Form.exe, обратите внимание на расширение архива, гы-гы ! ;)

Так-вот, если даже и будет детект на sfx, вопрос будет-ли детект на form.exe ?

Ведь sfx это не сам вирус-же, а его маскировка, поэтому даже детект sfx-архива не позволит удалить вирус из заражённой системы, а всего-лишь прекратит его распространение, пока автор вируса например не перепакует вирус, что можно делать автоматом кстати-же...Не въехал!!!

На VT sfx стал обнаруживать Qihoo-360:HEUR/QVM06.1.Malware.Gen

Навряд-ли будет детект на form.exe, но через пару дней гляну...
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
Norton Security ?

Посмотреть вложение 53048

А что там такое можно выкрутить непойму ?

Суть этого теста в том, что-бы понять как формируется детект ws.reputation.1, на дефолте это явно не на новые исполняемые файлы и второе, будет-ли детект на форму Form.exe...

Объясню идею этого мини-исследования !

Представьте, что архив - это "Джойнер" - т.е. вирус склеенный с картинкой, form.exe это вирус, а картинка - это полезная нагрузка !

Так вот, я специально сильно запрятал form.exe, во первых в запаролленный второй архив, а во вторых сам этот архив замаскировал, путём изменения расширения и изменения первого байта...

Если глянете sfx, то там будут следующие файлы:

inst1.js -сам загрузчик + обфусцировал код;

N.jpg - обычная картинка;

sfx_with_pass.png - наш архив, которого восстановит скрипт и запустит, в этом-же архие и находится Form.exe, обратите внимание на расширение архива, гы-гы ! ;)

Так-вот, если даже и будет детект на sfx, вопрос будет-ли детект на form.exe ?

Ведь sfx это не сам вирус-же, а его маскировка, поэтому даже детект sfx-архива не позволит удалить вирус из заражённой системы, а всего-лишь прекратит его распространение, пока автор вируса например не перепакует вирус, что можно делать автоматом кстати-же...Не въехал!!!

На VT sfx стал обнаруживать Qihoo-360:HEUR/QVM06.1.Malware.Gen

Навряд-ли будет детект на form.exe, но через пару дней гляну...
Да NS 2015! Эвристику и сонар на максимум!!! Ну и разница в детекте по настройкам очевидна! У меня на вашу форму срабатывает ws.reputation.1 у вас нет! Если вы рассматриваете как формируется детект ws.reputation.1, исключительно на дефолтных настройках то умываю руки)!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823
Да NS 2015! Эвристику и сонар на максимум!!!
А где это выставляется-то, что-то немогу найти, может скрин дадите что-ли ?

Да мне важны именно дефолтные настройки, т.к. рискну предположить что на ваших настройках, будет детект на любой новый или изменённый исполняемый файл, тут в общем-то будет детект практически на любой исполняемый вирус кроме скриптов...

Но также тогда могут-быть ложные срабатывания, например на какой-нить патч к игре, какую-нить новую программу и т.д.

Тем не менее, если не сложно можете более подробно рассказать, какие настройки и где вы меняли, буду благодарен !

Хочу сравнить и потестить !WinkSmile
 

keb

Уважаемый пользователь
Форумчанин
Регистрация
17.02.2014
Сообщения
418
Репутация
74
А где это выставляется-то, что-то немогу найти, может скрин дадите что-ли ?

Да мне важны именно дефолтные настройки, т.к. рискну предположить что на ваших настройках, будет детект на любой новый или изменённый исполняемый файл, тут в общем-то будет детект практически на любой исполняемый вирус кроме скриптов...

Но также тогда могут-быть ложные срабатывания, например на какой-нить патч к игре, какую-нить новую программу и т.д.

Тем не менее, если не сложно можете более подробно рассказать, какие настройки и где вы меняли, буду благодарен !

Хочу сравнить и потестить !WinkSmile
Пост 2372 https://ru-sfera.pw/threads/ezhednevnye-testy-av-new.1177/page-238

Также повторюсь!
Вот почему все думают что эта вот WS Reputation срабатывает только тогда когда файл новый и не известный и больше не каких технологий здесь не заложено?

И еще
Тогда зайдем с другой стороны! Бывает распакуеш парочку зловредов которых уже на VT половина вендоров детектит аки зверей) а он молчит что партизан на репутацию не ссылается! То есть с этими файлами он уже знаком но как бы не считает их троянами или не определился еще что ли!

Одним словом мне самому не понятна пока формировка этого детекта по ws.reputation.1! Но также добавлю,что считаю не совсем правильным лишать возможности настройки параметров антивиря ища ответы только в дефолтных его возможностях (тогда это уже перерастает в аки тест для домохозяек поставил и забыл и не куда не лезу имхо)!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 650
Репутация
7 823
Также повторюсь!
Вот почему все думают что эта вот WS Reputation срабатывает только тогда когда файл новый и не известный и больше не каких технологий здесь не заложено?
Сделал настройки, как у вас, да на sfx и форму пошёл детект ws.reputation.1...

Сейчас откомпилировал другую форму Делфи (Пустой проект) и получил:

upload_2015-2-28_15-43-55.png


Ладно хрен с делфи, откроем асм (Fasm), откомпилируем пустую форму там и посмотрим что будет:

На настройках keb, никакого детекта нет, вот VT:

https://www.virustotal.com/ru/file/...8f9f884cd1e65cb0bc106127/analysis/1425121025/

https://www.virustotal.com/ru/file/...f4a8cb354805ce35eaf8d2df/analysis/1425121039/

Также прилагаю формы во вложении, значит всё-же и тут не на все исполняемые файлы идёт детект !Не въехал!!!

Файлы безвредны, просто выводят мессаги и всё...
 

Вложения

  • FormsAsm.rar
    955 байт · Просмотры: 7
Верх Низ