Ummitium 266 Опубликовано 1 сентября, 2009 Share Опубликовано 1 сентября, 2009 Здравствуйте. Я часто отправляю в вирлаб неизвестных зловредов и однажды решил поэкспериментировать: Сжимал задетектированный зловред exe-упаковщиком (WinUpack) и после вредонос больше сигнатурами не детектировался и при запуске делал свое дело без ошибок. Также распаковывал зловред обратно и детекта все равно нет. Почему? Ведь продукты ЛК вроде как поддерживают этот и многие другие упаковщики... Спасибо. Ссылка на сообщение Поделиться на другие сайты
E.K. 11 234 Опубликовано 2 сентября, 2009 Share Опубликовано 2 сентября, 2009 Наверное, либо мы не поддерживаем конкретную версию распаковщика - или обратно распаковался неправильно, - или оба события одновременно. В любом случае лучше послать в вирлаб на вскрытие. Такие вещи по телефону не диагностируются. Ссылка на сообщение Поделиться на другие сайты
Ummitium 266 Опубликовано 2 сентября, 2009 Автор Share Опубликовано 2 сентября, 2009 (изменено) Сначала посылался неупакованный образец и он был задетектирован, как Trojan-Ransom.Win32.Agent.ex. Затем этот образец упаковался в WinUpack и детекта уже нет. После обратной распаковки файл опять же не детектится. Дело в том, что файл распаковался правильно, потому что при запуске работает без ошибок. Естественно, я пошлю в вирлаб упакованный образец, но ему скорее всего, присвоят уже другое имя... Также хочу заметить, что вирусблокада VBA32, которая перенимает детекты ЛК, разобралась с упакованным вредоносом и дала тотже самый детект, что и продукт ЛК на неупакованный образец: VBA32 3.12.10.10 2009.09.01 Trojan-Ransom.Win32.Agent.ex http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812 Также добавлю, что такой же случай наблюдался с упаковкой образца нашумевшего GPGcode (из-за разных EXE-упаковщиков получались разные модификации ) http://forum.kaspersky.com/index.php?showt...st&p=792441 Изменено 2 сентября, 2009 пользователем Ummitium Ссылка на сообщение Поделиться на другие сайты
arc 40 Опубликовано 3 сентября, 2009 Share Опубликовано 3 сентября, 2009 Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура . Ссылка на сообщение Поделиться на другие сайты
Apollon 109 Опубликовано 3 сентября, 2009 Share Опубликовано 3 сентября, 2009 Евгений Валентинович еще вопрос Бывает я раз в неделю или два раза в неделю отсылаю новые образцы вирусов они молчат почти по месяц или два. В прошлый раз отправил 7500 тысяч вирусов из них 8.0 корпоративка ВКС(на сегодняшний день 6.0 МР4) детектила около 5500 тысяч приклал скрин что часть невидит. А они по сей день молчат. Вы им прикурить даёте? чтобы быстрей детекты вносили. Ссылка на сообщение Поделиться на другие сайты
Ummitium 266 Опубликовано 3 сентября, 2009 Автор Share Опубликовано 3 сентября, 2009 Сравните побайтно 2 файла -должны быть различия до упаковки и после упаковки -распаковки . Возможно упаковшик вносит изменение например в РЕ заголовок либо отбрасывает ненужную дебажную инфу и тд и тп .Файл после этого запускатся будет но например будет иметь другую MD5 сумму .Как берутся сигнатуры и из какой части файла , я незнаю -но как вариант при упаковке распаковке изменилась сигнатура . В вирлабе ЛК упакованному образцу дали новое имя Trojan-Ransom.Win32.Agent.fh, VBA32 использовав детект вирлаба ЛК все распаковал и задетектил. Отсюда вывод, что у продуктов ЛК проблема с распаковкой некоторых пакеров, в частности c WinUpack v0.39 Ссылка на сообщение Поделиться на другие сайты
arc 40 Опубликовано 3 сентября, 2009 Share Опубликовано 3 сентября, 2009 Еще раз-сначала сравните 2 файла а потом будем говорить о чем то. На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты. Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч . Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту . И если действительно проблемы с распаковкой - напишите багрепорт разработчикам . Ссылка на сообщение Поделиться на другие сайты
Ummitium 266 Опубликовано 3 сентября, 2009 Автор Share Опубликовано 3 сентября, 2009 (изменено) Еще раз-сначала сравните 2 файла а потом будем говорить о чем то.На анализ файла в вирлабе у дятла обычно уходит порядка 1 ...минуты. Ему важна деструктивная суть файла . Если разбиратся с каждым файлом в отдельности и искать различия в 2 байтах то штат дятлов должен быть под несколько десятков тысяч . Понятно что все это справедливо для известных вирусов и их модификаций -особо сложные и новые анализируются естественно не 1 минуту . Продукт ЛК не умеет распаковывать WinUpack, а VBA32 например сумел - вот смысл то в чем. И если действительно проблемы с распаковкой - напишите багрепорт разработчикам . Об этом представители ЛК слышали, но не придали значения. Изменено 3 сентября, 2009 пользователем Ummitium Ссылка на сообщение Поделиться на другие сайты
hinote 78 Опубликовано 3 сентября, 2009 Share Опубликовано 3 сентября, 2009 чему тут придавать значение то? некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...") почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями... плюс, возможно, неудачно составленная сигнатура... частные проблемы у частного случая одного из распаковщиков... поправят... или что имеется в виду под "придавать значение"? Ссылка на сообщение Поделиться на другие сайты
Ummitium 266 Опубликовано 4 сентября, 2009 Автор Share Опубликовано 4 сентября, 2009 (изменено) чему тут придавать значение то? некий частный случай, не надо из него пытаться делать обобщения ("проблемы с распаковкой...") Случай не частный, с образцом GPCode была та же ситуация: http://forum.kaspersky.com/index.php?showt...st&p=792441 Поэтому, не исключено, что и с другими образцами возникнет то же самое. почему после распаковки переставал браться - файл скорее всего распакоывался не в исходное состояние... пусть с небольшими, но весомыми отличиями...плюс, возможно, неудачно составленная сигнатура... VBA32 переняла детект неупакованного вредоноса и детектила упакованный с тем же именем. http://www.virustotal.com/ru/analisis/cce9...26f8-1251911812 Вообще, смысл в том, что VBA32 распаковал, а продукт ЛК нет. частные проблемы у частного случая одного из распаковщиков... поправят...или что имеется в виду под "придавать значение"? Как же поправят, если автоматом считают упакованный образец модификацией? А письма без вируса в вирлабе проигнорируют. Изменено 4 сентября, 2009 пользователем Ummitium Ссылка на сообщение Поделиться на другие сайты
hinote 78 Опубликовано 4 сентября, 2009 Share Опубликовано 4 сентября, 2009 все правильно с этим VBA - наши линуксовые почтари например по всяким разным причинам (не буду останавливаться почему) имплементируют свои собственные парсеры MIME, поэтому у них результат распаковки всяких malformed объектов тоже в общем случае будет отличаться от того, как это делают другие наши продукты... соотв. и этот упомянутый VBA - вполне возможно, что он реализует свои собственные распаковщики (или наши из баз использует не так, как это делают наши приложения) - и результат отличается... ничего особо странного тут нет. как исправят, как исправят - возьмут, и анпакер поправят (этот вот именно анпакер - поэтому я и говорю что сугубо частный случай просто напросто с этим вот анпакером). ничего чтобы говорить какие то общие вещи типа "у касперского проблемы с распаковкой" я не вижу. проблемы только с этим вот конкретным образцом (ну, и возможно иными) и этим конкретным анпакером. Ссылка на сообщение Поделиться на другие сайты
Ummitium 266 Опубликовано 4 сентября, 2009 Автор Share Опубликовано 4 сентября, 2009 Написал в вирлаб... посмотрим, как будут поправлять анпакер Ссылка на сообщение Поделиться на другие сайты
Apollon 109 Опубликовано 4 сентября, 2009 Share Опубликовано 4 сентября, 2009 Ответ получен спасибо Новые внесения по анпакерам и т.д. прошу на офф к разработчикам! Спасибо за внимание Сообщение от модератора User Тема закрыта Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения