February 10, 2011, 4:06 pm
Понравился ещё один момент в истории с Касперским. Попавший в паблик файл называется KASPERSKY.AV.2008.SRCS.ELCRABE.RAR. Так вот этот самый ElCrabe, оказывается, ковыряет продукты компании не первый день – публиковал статью про недостатки эмулятора, а также имеет блог, где поливает Касперского и Ко говном и публикует ссылки на эксплоиты к их творениям (вероятно, собственного сочинения). То, что сами бинарники кряков (в т.ч. для самого себя) антивирус относит к вредоносному ПО, ни для кого не новость, но вот это несколько озадачило:
А я только “Каштанку” читал! Хошь за жопу укушу? (С) Гоблин.
October 26, 2010, 11:11 am
Некий господин невольно напомнил мне, что я не поставил логическую точку в теме об антивирусах, как хотел. Изначально план был такой – собрать побольше образцов вирусов и свести результаты в таблицу. Но McAfee недавно приобрел MX Logic и перевёл свою SaaS защиту электронной почты с гугловского Postini на свежеприобретенную платформу, поставив тем самым точку за меня – в политике защиты по умолчанию режутся все исполняемые вложения, поэтому вирусов я больше не получаю (даже грустно как-то). Поэтому пришлось довольствоваться теми отчетами, которые уже были в коллекции – их набралось 31.
Сам факт попадания образца в таблицу означает, что McAfee, Kaspersky или оба одновременно в какой-то момент времени этот вредоносный файл пропустили, поэтому, справедливости ради, из соревнования их исключим – ограничимся, так сказать, вторым эшелоном. Все файлы тестировались на virustotal.com сразу после получения, поэтому это тест не только на качество детектирования, но в большей мере на оперативность реагирования. Набор вирусов характерен для западного пользователя – думаю, здесь нет ни одного СМС-вымогателя или autorun-червя, поэтому, предположу, Dr. Web покажет более хорошие результаты на российских образцах, а какой-нибудь AVG – более плохие.
Кликабельные результаты:
Зеленый цвет означает срабатывание, синий – в тесте образца участия не принимал (по каким-то вирустотальным причинам). Некоторые антивирусы пришлось дисквалифицировать за прогулы (a-squared, K7Antivirus, SUPERAntiSpyWare, Emsisoft), либо за дзен-отношение к вирусам (Jiangmin, Antiy-AVL, ViRobot, nProtect, Fortinet). Все образцы – 100% malware, т.е. ложных срабатываний тут быть не может.
Известные мне бесплатные антивирусы из перечисленных – Avast, AVG, MS и ClamAV, из них лучший результат у AVG.
Вот теперь всё.
June 17, 2010, 12:06 pm
Тестовый пост на Вордпрессе 3.0, а также очередное доказательство того, что вся эвристика в антивирусах суть фикция и сводится к распознаванию упаковщика UPX. Как страшно жить.
May 17, 2010, 1:28 pm
dhl_invoice_nr4347.exe – Trojan.Win32.Oficla.ae
New malicious software was found in this file. It’s detection will be included in the next update. Thank you for your help.
Схватка бобра с ослом, очередной раунд. Увы и ах, бобро сосёт, не нагибаясь.
April 28, 2010, 11:00 am
From: newvirus@kaspersky.com
postal_p_n2355224.doc.exe – Trojan.Win32.VBKrypt.ln
New malicious software was found in this file. It’s detection will be included in the next update. Thank you for your help.
И так уже третий раз за две недели. А хаккиры-сотонисты всё шлють и шлють. Перекрутил политики на брэндмауэре, чтобы из кожи вон лез, но весь SMTP-траффик разбирал по кусочкам. Но тут получается другой косяк, уже фундаментальный – тупизм паттерного метода детектирования.
