Перейти к содержанию

Работа Вирлаба

Ummitium

Автор Ummitium
в Задай вопрос Евгению Касперскому!

 Поделиться

Рекомендуемые сообщения

Ummitium

Ummitium

Опубликовано
Опубликовано

Здравствуйте.

 

Я часто отправляю в вирлаб неизвестных зловредов и однажды решил поэкспериментировать:

Сжимал задетектированный зловред exe-упаковщиком (WinUpack) и после вредонос больше сигнатурами не детектировался и при запуске делал свое дело без ошибок.

Также распаковывал зловред обратно и детекта все равно нет.

Почему? Ведь продукты ЛК вроде как поддерживают этот и многие другие упаковщики...

 

Спасибо.

E.K.

E.K.

Опубликовано
Опубликовано

Наверное, либо мы не поддерживаем конкретную версию распаковщика - или обратно распаковался неправильно, - или оба события одновременно. В любом случае лучше послать в вирлаб на вскрытие. Такие вещи по телефону не диагностируются.

Ummitium

Ummitium

Опубликовано
  • Автор
Опубликовано (изменено)

Сначала посылался неупакованный образец и он был задетектирован, как Trojan-Ransom.Win32.Agent.ex. Затем этот образец упаковался в WinUpack и детекта уже нет. После обратной распаковки файл опять же не детектится. Дело в том, что файл распаковался правильно, потому что при запуске работает без ошибок.

Естественно, я пошлю в вирлаб упакованный образец, но ему скорее всего, присвоят уже другое имя... :D

 

Также хочу заметить, что вирусблокада VBA32, которая перенимает детекты ЛК, разобралась с упакованным вредоносом и дала тотже самый детект, что и продукт ЛК на неупакованный образец:

VBA32 3.12.10.10 2009.09.01 Trojan-Ransom.Win32.Agent.ex

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

 

Также добавлю, что такой же случай наблюдался с упаковкой образца нашумевшего GPGcode (из-за разных EXE-упаковщиков получались разные модификации :lol: )

http://forum.kaspersky.com/index.php?showt...st&p=792441

Изменено пользователем Ummitium
arc

arc

Опубликовано
Опубликовано

Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

Apollon

Apollon

Опубликовано
Опубликовано

Евгений Валентинович еще вопрос

Бывает я раз в неделю или два раза в неделю отсылаю новые образцы вирусов они молчат почти по месяц или два.

В прошлый раз отправил 7500 тысяч вирусов из них 8.0 корпоративка ВКС(на сегодняшний день 6.0 МР4) детектила около 5500 тысяч приклал скрин что часть невидит.

А они по сей день молчат.

Вы им прикурить даёте? чтобы быстрей детекты вносили.

Ummitium

Ummitium

Опубликовано
  • Автор
Опубликовано
Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

В вирлабе ЛК упакованному образцу дали новое имя Trojan-Ransom.Win32.Agent.fh, VBA32 использовав детект вирлаба ЛК все распаковал и задетектил.

Отсюда вывод, что у продуктов ЛК проблема с распаковкой некоторых пакеров, в частности c WinUpack v0.39

arc

arc

Опубликовано
Опубликовано

Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

Ummitium

Ummitium

Опубликовано
  • Автор
Опубликовано (изменено)
Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

Продукт ЛК не умеет распаковывать WinUpack, а VBA32 например сумел - вот смысл то в чем.

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

Об этом представители ЛК слышали, но не придали значения.

Изменено пользователем Ummitium
hinote

hinote

Опубликовано
Опубликовано

чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

 

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

 

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

Ummitium

Ummitium

Опубликовано
  • Автор
Опубликовано (изменено)
чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

Случай не частный, с образцом GPCode была та же ситуация:

http://forum.kaspersky.com/index.php?showt...st&p=792441

Поэтому, не исключено, что и с другими образцами возникнет то же самое.

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

VBA32 переняла детект неупакованного вредоноса и детектила упакованный с тем же именем.

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

Вообще, смысл в том, что VBA32 распаковал, а продукт ЛК нет.

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

Как же поправят, если автоматом считают упакованный образец модификацией?

А письма без вируса в вирлабе проигнорируют.

Изменено пользователем Ummitium
hinote

hinote

Опубликовано
Опубликовано

все правильно с этим VBA - наши линуксовые почтари например по всяким разным причинам (не буду останавливаться почему) имплементируют свои собственные парсеры MIME, поэтому у них результат распаковки всяких malformed объектов тоже в общем случае будет отличаться от того, как это делают другие наши продукты...

соотв. и этот упомянутый VBA - вполне возможно, что он реализует свои собственные распаковщики (или наши из баз использует не так, как это делают наши приложения) - и результат отличается... ничего особо странного тут нет.

 

как исправят, как исправят - возьмут, и анпакер поправят (этот вот именно анпакер - поэтому я и говорю что сугубо частный случай просто напросто с этим вот анпакером). ничего чтобы говорить какие то общие вещи типа "у касперского проблемы с распаковкой" я не вижу. проблемы только с этим вот конкретным образцом (ну, и возможно иными) и этим конкретным анпакером.

Ummitium

Ummitium

Опубликовано
  • Автор
Опубликовано

Написал в вирлаб... посмотрим, как будут поправлять анпакер :)

Apollon

Apollon

Опубликовано
Опубликовано

Ответ получен спасибо

Новые внесения по анпакерам и т.д. прошу на офф к разработчикам!

Спасибо за внимание

Сообщение от модератора User
Тема закрыта
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • wadim1904
      Работа с госулугами
      Автор wadim1904
      На компьютерах с kaspersky endpoint security 10 при открытии сайта Госуслуги нет значка ГОСТ (картинка приложена). Как я понял из-за того, что касперский использует свой корневой центр для проверки сертификатов.
      Как отключить эту функцию?

    • Вячеслав Л.
      Скорость работы антивируса
      Автор Вячеслав Л.
      Разве может антивирус так быстро проводить полную проверку всего устройства за 11 секунд! Ну как-то не правдоподобно.
      Устройство Redmi Note 9 Pro.

    • Maxleontii
      Поймали на работе шифровальщика
      Автор Maxleontii
      Добрый день.
      Поймали проблему.
      Зашифровали все файлы на сервере и на 2-ух комапах.

       
      Комп чистили антивирусом, отчет прикреплен
       
      Addition.txt FRST.txt 589.rar 1234.txt
    • Егор593
      Вопрос от школьника про работу
      Автор Егор593
      Здравствуйте, я являюсь школьником из города Таганрог. Подскажите пожалуйста, как можно зарабатывать подросткам используя современные технологии к примеру нейросети? Современные школы не дают такое количество знаний , которое нужно для сдачи ЕГЭ на 85+ баллов, приходиться посещать репетиторов. А сидеть на шеи у родителей далеко не хочется. 
    • dimonnn
      Тенденция или сложности в работе?
      Автор dimonnn
      Здравствуйте.
      Помню те времена, когда антивирусы лечили заражённые файлы, а не тупо удаляли их при обнаружении угрозы. На сайте для каждого вируса было достаточно полное его описание: что делает, чем опасен, как сопротивляется своему удалению. Сейчас всё поменялось: описаний нет, восстановить файл в первоначальное рабочее состояние невозможно. Непонятно, есть угроза или, может быть, это просто "Крек" для программы. Почему произошли такие изменения?
×
×
  • Создать...