Перейти к содержанию

Работа Вирлаба


Рекомендуемые сообщения

Здравствуйте.

 

Я часто отправляю в вирлаб неизвестных зловредов и однажды решил поэкспериментировать:

Сжимал задетектированный зловред exe-упаковщиком (WinUpack) и после вредонос больше сигнатурами не детектировался и при запуске делал свое дело без ошибок.

Также распаковывал зловред обратно и детекта все равно нет.

Почему? Ведь продукты ЛК вроде как поддерживают этот и многие другие упаковщики...

 

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

Наверное, либо мы не поддерживаем конкретную версию распаковщика - или обратно распаковался неправильно, - или оба события одновременно. В любом случае лучше послать в вирлаб на вскрытие. Такие вещи по телефону не диагностируются.

Ссылка на комментарий
Поделиться на другие сайты

Сначала посылался неупакованный образец и он был задетектирован, как Trojan-Ransom.Win32.Agent.ex. Затем этот образец упаковался в WinUpack и детекта уже нет. После обратной распаковки файл опять же не детектится. Дело в том, что файл распаковался правильно, потому что при запуске работает без ошибок.

Естественно, я пошлю в вирлаб упакованный образец, но ему скорее всего, присвоят уже другое имя... :D

 

Также хочу заметить, что вирусблокада VBA32, которая перенимает детекты ЛК, разобралась с упакованным вредоносом и дала тотже самый детект, что и продукт ЛК на неупакованный образец:

VBA32 3.12.10.10 2009.09.01 Trojan-Ransom.Win32.Agent.ex

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

 

Также добавлю, что такой же случай наблюдался с упаковкой образца нашумевшего GPGcode (из-за разных EXE-упаковщиков получались разные модификации :lol: )

http://forum.kaspersky.com/index.php?showt...st&p=792441

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты

Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

Ссылка на комментарий
Поделиться на другие сайты

Евгений Валентинович еще вопрос

Бывает я раз в неделю или два раза в неделю отсылаю новые образцы вирусов они молчат почти по месяц или два.

В прошлый раз отправил 7500 тысяч вирусов из них 8.0 корпоративка ВКС(на сегодняшний день 6.0 МР4) детектила около 5500 тысяч приклал скрин что часть невидит.

А они по сей день молчат.

Вы им прикурить даёте? чтобы быстрей детекты вносили.

Ссылка на комментарий
Поделиться на другие сайты

Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура .

В вирлабе ЛК упакованному образцу дали новое имя Trojan-Ransom.Win32.Agent.fh, VBA32 использовав детект вирлаба ЛК все распаковал и задетектил.

Отсюда вывод, что у продуктов ЛК проблема с распаковкой некоторых пакеров, в частности c WinUpack v0.39

Ссылка на комментарий
Поделиться на другие сайты

Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

Ссылка на комментарий
Поделиться на другие сайты

Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.

На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты.

Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч .

Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту .

Продукт ЛК не умеет распаковывать WinUpack, а VBA32 например сумел - вот смысл то в чем.

И если действительно проблемы с распаковкой - напишите багрепорт разработчикам .

Об этом представители ЛК слышали, но не придали значения.

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты

чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

 

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

 

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

Ссылка на комментарий
Поделиться на другие сайты

чему тут придавать значение то?

 

некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...")

Случай не частный, с образцом GPCode была та же ситуация:

http://forum.kaspersky.com/index.php?showt...st&p=792441

Поэтому, не исключено, что и с другими образцами возникнет то же самое.

почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...

плюс, возможно, неудачно составленная сигнатура...

VBA32 переняла детект неупакованного вредоноса и детектила упакованный с тем же именем.

http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812

Вообще, смысл в том, что VBA32 распаковал, а продукт ЛК нет.

частные проблемы у частного случая одного из распаковщиков... поправят...

или что имеется в виду под "придавать значение"?

Как же поправят, если автоматом считают упакованный образец модификацией?

А письма без вируса в вирлабе проигнорируют.

Изменено пользователем Ummitium
Ссылка на комментарий
Поделиться на другие сайты

все правильно с этим VBA - наши линуксовые почтари например по всяким разным причинам (не буду останавливаться почему) имплементируют свои собственные парсеры MIME, поэтому у них результат распаковки всяких malformed объектов тоже в общем случае будет отличаться от того, как это делают другие наши продукты...

соотв. и этот упомянутый VBA - вполне возможно, что он реализует свои собственные распаковщики (или наши из баз использует не так, как это делают наши приложения) - и результат отличается... ничего особо странного тут нет.

 

как исправят, как исправят - возьмут, и анпакер поправят (этот вот именно анпакер - поэтому я и говорю что сугубо частный случай просто напросто с этим вот анпакером). ничего чтобы говорить какие то общие вещи типа "у касперского проблемы с распаковкой" я не вижу. проблемы только с этим вот конкретным образцом (ну, и возможно иными) и этим конкретным анпакером.

Ссылка на комментарий
Поделиться на другие сайты

Ответ получен спасибо

Новые внесения по анпакерам и т.д. прошу на офф к разработчикам!

Спасибо за внимание

Сообщение от модератора User
Тема закрыта
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Elly
      От Elly
      Вопросы по работе форума следует писать сюда. Вопросы по модерированию, согласно правилам, сюда писать не следует.
      Ответ можно получить только на вопрос, который грамотно сформулирован и не нарушает правил\устава форума.
    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • Mrak
      От Mrak
      В этой теме осуществляется приём конкурсных работ на конкурс осенней фотографии 2024 года.
      Правила конкурса размещены ТУТ.
    • Sandynist
      От Sandynist
      Добрый вечер! Давно хотел написать о проблеме, но всё руки не доходили. 
       
      Немного истории: с большими усилиями компании удалось выкупить региональный домен https://www.kaspersky.kz/
      Можете погуглить, история мутная, какой-то предприимчивый делец зарегистрировал это имя себе и запросил много бабла с компании. 
       
      Но вот теперь казалось бы всё должно наладится, и сайт должен заработать корректно, но ничего подобного.
      Если у нас попытаться открыть ссылку в виде:
      https://www.kaspersky.ru/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      то происходит автоматический редирект на наш региональный домен:
      https://www.kaspersky.kz/about/press-releases/zhertvami-novoj-versii-troyanca-necro-mogli-stat-milliony-vladelcev-android-ustrojstv
      на котором никакой статьи не наблюдается. 
       

       
      Так всё это не работает уже более года, а может даже и двух. Хотел традиционно задать этот вопрос Евгению Валентиновичу, но он заметно нервничает, когда его начинают спрашивать по технической части. А я в свою очередь не знаю куда и кому адресовать жалобу, это же не антивирусный продукт.
      Написал письмо на адрес info@kaspersky.com , но очень сомневаюсь, что будет хоть какой-то результат.
       
      P.S. Раньше тут появлялись технические специалисты компании, которым напрямую можно было написать про такие проблемы, как сейчас с этим обстоят дела?
    • KL FC Bot
      От KL FC Bot
      Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.
      В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).
      Воронка детектирования
      Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.
       
      View the full article
×
×
  • Создать...