Перейти к содержанию

Работа newvirus{@}kaspersky.com + криптованные файлы

vidocq89

Автор vidocq89,
в Задай вопрос Евгению Касперскому!

 Share Подписчики 0

Рекомендуемые сообщения

vidocq89

vidocq89 27

Опубликовано
Опубликовано (изменено)

Есть определенный Е-Мейл адрес (newvirus[@]kaspersky.com) на который я часто посылаю новую дрянь - т.е ту заразу, которую не видит Антивирус Касперского, а видят другие антивирусы или вижу я. (к слову хочу похвалить этот отдел за оперативность)))).

 

Так вот хотелось бы узнать, что делают с этими присланными файлами ? Т.е узнать какие программы используют и т.д

Например можно узнать, что это троян пинч несколькими способами (а особые извращенцы могут найти и несколько десятков способов), так вот - что делают они первым делом?

Ведь вирус может быть запакован, зашифрован, закриптован и т.д

Его распаковывают или просто добавляют его сигнатуру в БД? А что делают если им присылают например криптер какой нибудь, которого у них еще нету?

Теперь о некоторых причинах подтолкнувших меня написать эти вопросы: довольно давно эта служба работала очень плохо - т.е обзывала вирями и троянами совершенно безвредные программы, а на трояны присылали ответ, что никакого вредоносного кода не обнаружено и приходилось отсылать этот троян повторно уже сопровождая его нецензурной руганью и доказательствами того, что это трой (в ответ на что, я всегда получал вежливый ответ о том, что сигнатура добавлена в БД)))

Сейчас такое происходит крайне редко (НО происходит)

Из всего вышеперечисленного можно сформулировать всего один вопрос: Опишите работу этого отдела поподробнее: их методы, систему, используемые ими программы и т.д...

 

Кое о чем можно догадаться и самому, например о том, что полиморфные двиги они расковыривают и все возможные варианты крипта вносят в БД... Но намного удобнее будет (это не секрет?), если Вы сами расскажете про работу этого немаловажного отдела!

 

 

А вот, собственно и предложение, но его придеться начать с небольшого вступления: Вам, естественно, известен продукт от Авиры Авира АнтиВир...

Так те, кто часто заливает на вирустотал подозрительные файлы должны были заметить, что именно он чаще всего "орет", что это эти файлы "не есть good", когда тот же самый Касперский молчит (не в обиду будет сказано - даже от Каспера спрятать того же пинча проблемой не является)...

 

Теперь поясняю: АнтиВир орет, что это файл подозрительный - он криптованный, т.е он очень не любит криптованные файлы, возможно это повышает вероятность ложного срабатывания, НО лучшая защита от криптованных троев это голова (лучший бронежилет это голова - говорят в спецназе).

Думали ли Вы над тем, что бы включить в Касперского функцию "ругани" на криптованные файлы?

Изменено пользователем vidocq89
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
vidocq89

vidocq89 27

Опубликовано
  • Автор
Опубликовано (изменено)

про пакеров разговора не было! у меня на одном компе стоит именно АнтиВир - так не было еще ни одного ложного срабатывания (за исключением тех случаев, когда я ради прикола криптовал несколькими древними крипторами подряд какую нибудь мою безопасную прогу))

но в этом деле и Касперский "преуспел" - например если сджойнить старым РДжойнером 2 файлика *.тхт и дать касперскому на проверку, то он заорет, что это пинч :o

:)

 

никакие фирмы для защиты своих продуктов вроде не используют крипторов, они ставят просто всякие защиты - триал, шару и т.д..

притом пакуют пакерами и протекторами...

на них никто и не "орет" что это подозрительно, а вот криптование - тут стоит и призадуматься...

Изменено пользователем vidocq89
Ссылка на сообщение
Поделиться на другие сайты
MiStr

MiStr 1 597

Опубликовано
Опубликовано

To vidocq89

 

Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает.

Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё.

Ссылка на сообщение
Поделиться на другие сайты
E.K.

E.K. 10 289

Опубликовано
Опубликовано

Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме :)

 

По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо новый эмулятор+эвристики 7-ки делают своё дело.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
LESHIY2k

LESHIY2k 0

Опубликовано
Опубликовано
Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме :)

 

По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо <b>новый эмулятор+эвристики 7-ки делают своё дело.</b>

 

 

http://rapidshare.com/files/58922435/kis.rar.html

Ссылка на сообщение
Поделиться на другие сайты
oliha7

oliha7 0

Опубликовано
Опубликовано

Если я работаю , тоесть если лечу чейто комп от вирья и хочу чтобы проги каторые лежат на флешке не были заражены вирусами - криптую софтину и псё !

Евгений Валентинович , были ли такие случаи что "взломать" ключ шифрования не удавалось ?

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Frintessa

Frintessa 9

Опубликовано
Опубликовано
To vidocq89 Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает.

Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё.

Жалко конечно. Хотя я могла бы поменять фото NCsoft на фото лаборатории Касперского. Если бы кто то согласился поменяться.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...