Работа Вирлаба

[Ummitium]

Здравствуйте.

 

Я часто отправляю в вирлаб неизвестных зловредов и однажды решил поэкспериментировать:

Сжимал задетектированный зловред exe-упаковщиком (WinUpack) и после вредонос больше сигнатурами не детектировался и при запуске делал свое дело без ошибок.

Также распаковывал зловред обратно и детекта все равно нет.

Почему? Ведь продукты ЛК вроде как поддерживают этот и многие другие упаковщики...

 

Спасибо.

[E.K.]

Наверное, либо мы не поддерживаем конкретную версию распаковщика - или обратно распаковался неправильно, - или оба события одновременно. В любом случае лучше послать в вирлаб на вскрытие. Такие вещи по телефону не диагностируются.

[Ummitium]

Сначала посылался неупакованный образец и он был задетектирован, как Trojan-Ransom.Win32.Agent.ex. Затем этот образец упаковался в WinUpack и детекта уже нет. После обратной распаковки файл опять же не детектится. Дело в том, что файл распаковался правильно, потому что при запуске работает без ошибок.

Естественно, я пошлю в вирлаб упакованный образец, но ему скорее всего, присвоят уже другое имя...

 

Также хочу заметить, что вирусблокада VBA32, которая перенимает детекты ЛК, разобралась с упакованным вредоносом и дала тотже самый детект, что и продукт ЛК на неупакованный образец:

VBA32 3.12.10.10 2009.09.01 Trojan-Ransom.Win32.Agent.ex

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

 

Также добавлю, что такой же случай наблюдался с упаковкой образца нашумевшего GPGcode (из-за разных EXE-упаковщиков получались разные модификации )

http://forum.kaspersky.com/index.php?showt...st&p=792441

Изменено 2 сентября, 2009 пользователем Ummitium

[arc]

Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

[Apollon]

Евгений Валентинович еще вопрос

Бывает я раз в неделю или два раза в неделю отсылаю новые образцы вирусов они молчат почти по месяц или два.

В прошлый раз отправил 7500 тысяч вирусов из них 8.0 корпоративка ВКС(на сегодняшний день 6.0 МР4) детектила около 5500 тысяч приклал скрин что часть невидит.

А они по сей день молчат.

Вы им прикурить даёте? чтобы быстрей детекты вносили.

[Ummitium]

Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

В вирлабе ЛК упакованному образцу дали новое имя Trojan-Ransom.Win32.Agent.fh, VBA32 использовав детект вирлаба ЛК все распаковал и задетектил.

Отсюда вывод, что у продуктов ЛК проблема с распаковкой некоторых пакеров, в частности c WinUpack v0.39

[arc]

Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

[Ummitium]

Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

Продукт ЛК не умеет распаковывать WinUpack, а VBA32 например сумел - вот смысл то в чем.

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

Об этом представители ЛК слышали, но не придали значения.

Изменено 3 сентября, 2009 пользователем Ummitium

[hinote]

чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

 

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

 

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

[Ummitium]

чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

Случай не частный, с образцом GPCode была та же ситуация:

http://forum.kaspersky.com/index.php?showt...st&p=792441

Поэтому, не исключено, что и с другими образцами возникнет то же самое.

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

VBA32 переняла детект неупакованного вредоноса и детектила упакованный с тем же именем.

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

Вообще, смысл в том, что VBA32 распаковал, а продукт ЛК нет.

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

Как же поправят, если автоматом считают упакованный образец модификацией?

А письма без вируса в вирлабе проигнорируют.

Изменено 4 сентября, 2009 пользователем Ummitium

[hinote]

все правильно с этим VBA - наши линуксовые почтари например по всяким разным причинам (не буду останавливаться почему) имплементируют свои собственные парсеры MIME, поэтому у них результат распаковки всяких malformed объектов тоже в общем случае будет отличаться от того, как это делают другие наши продукты...

соотв. и этот упомянутый VBA - вполне возможно, что он реализует свои собственные распаковщики (или наши из баз использует не так, как это делают наши приложения) - и результат отличается... ничего особо странного тут нет.

 

как исправят, как исправят - возьмут, и анпакер поправят (этот вот именно анпакер - поэтому я и говорю что сугубо частный случай просто напросто с этим вот анпакером). ничего чтобы говорить какие то общие вещи типа "у касперского проблемы с распаковкой" я не вижу. проблемы только с этим вот конкретным образцом (ну, и возможно иными) и этим конкретным анпакером.

[Ummitium]

Написал в вирлаб... посмотрим, как будут поправлять анпакер

[Apollon]

Ответ получен спасибо

Новые внесения по анпакерам и т.д. прошу на офф к разработчикам!

Спасибо за внимание

Сообщение от модератора User

Тема закрыта