vidocq89 Опубликовано 8 сентября, 2007 Поделиться Опубликовано 8 сентября, 2007 (изменено) Есть определенный Е-Мейл адрес (newvirus[@]kaspersky.com) на который я часто посылаю новую дрянь - т.е ту заразу, которую не видит Антивирус Касперского, а видят другие антивирусы или вижу я. (к слову хочу похвалить этот отдел за оперативность)))). Так вот хотелось бы узнать, что делают с этими присланными файлами ? Т.е узнать какие программы используют и т.д Например можно узнать, что это троян пинч несколькими способами (а особые извращенцы могут найти и несколько десятков способов), так вот - что делают они первым делом? Ведь вирус может быть запакован, зашифрован, закриптован и т.д Его распаковывают или просто добавляют его сигнатуру в БД? А что делают если им присылают например криптер какой нибудь, которого у них еще нету? Теперь о некоторых причинах подтолкнувших меня написать эти вопросы: довольно давно эта служба работала очень плохо - т.е обзывала вирями и троянами совершенно безвредные программы, а на трояны присылали ответ, что никакого вредоносного кода не обнаружено и приходилось отсылать этот троян повторно уже сопровождая его нецензурной руганью и доказательствами того, что это трой (в ответ на что, я всегда получал вежливый ответ о том, что сигнатура добавлена в БД))) Сейчас такое происходит крайне редко (НО происходит) Из всего вышеперечисленного можно сформулировать всего один вопрос: Опишите работу этого отдела поподробнее: их методы, систему, используемые ими программы и т.д... Кое о чем можно догадаться и самому, например о том, что полиморфные двиги они расковыривают и все возможные варианты крипта вносят в БД... Но намного удобнее будет (это не секрет?), если Вы сами расскажете про работу этого немаловажного отдела! А вот, собственно и предложение, но его придеться начать с небольшого вступления: Вам, естественно, известен продукт от Авиры Авира АнтиВир... Так те, кто часто заливает на вирустотал подозрительные файлы должны были заметить, что именно он чаще всего "орет", что это эти файлы "не есть good", когда тот же самый Касперский молчит (не в обиду будет сказано - даже от Каспера спрятать того же пинча проблемой не является)... Теперь поясняю: АнтиВир орет, что это файл подозрительный - он криптованный, т.е он очень не любит криптованные файлы, возможно это повышает вероятность ложного срабатывания, НО лучшая защита от криптованных троев это голова (лучший бронежилет это голова - говорят в спецназе). Думали ли Вы над тем, что бы включить в Касперского функцию "ругани" на криптованные файлы? Изменено 8 сентября, 2007 пользователем vidocq89 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
IStogov Опубликовано 8 сентября, 2007 Поделиться Опубликовано 8 сентября, 2007 если все пакеры и криптеры детектить как подозрительные, то будет вот так http://www.antimalware.ru/phpbb/viewtopic....111eab8efa80742 Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 8 сентября, 2007 Автор Поделиться Опубликовано 8 сентября, 2007 (изменено) про пакеров разговора не было! у меня на одном компе стоит именно АнтиВир - так не было еще ни одного ложного срабатывания (за исключением тех случаев, когда я ради прикола криптовал несколькими древними крипторами подряд какую нибудь мою безопасную прогу)) но в этом деле и Касперский "преуспел" - например если сджойнить старым РДжойнером 2 файлика *.тхт и дать касперскому на проверку, то он заорет, что это пинч никакие фирмы для защиты своих продуктов вроде не используют крипторов, они ставят просто всякие защиты - триал, шару и т.д.. притом пакуют пакерами и протекторами... на них никто и не "орет" что это подозрительно, а вот криптование - тут стоит и призадуматься... Изменено 8 сентября, 2007 пользователем vidocq89 Ссылка на комментарий Поделиться на другие сайты Поделиться
MiStr Опубликовано 9 сентября, 2007 Поделиться Опубликовано 9 сентября, 2007 To vidocq89 Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает. Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё. Ссылка на комментарий Поделиться на другие сайты Поделиться
E.K. Опубликовано 9 сентября, 2007 Поделиться Опубликовано 9 сентября, 2007 Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо новый эмулятор+эвристики 7-ки делают своё дело. Ссылка на комментарий Поделиться на другие сайты Поделиться
vidocq89 Опубликовано 9 сентября, 2007 Автор Поделиться Опубликовано 9 сентября, 2007 спасибо за ответ, но ничего нового я в принципе не узнал... ***EDITED BY JIABP*** Отредактировал по просьбе автора поста. Ссылка на комментарий Поделиться на другие сайты Поделиться
LESHIY2k Опубликовано 28 сентября, 2007 Поделиться Опубликовано 28 сентября, 2007 Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо <b>новый эмулятор+эвристики 7-ки делают своё дело.</b> http://rapidshare.com/files/58922435/kis.rar.html Ссылка на комментарий Поделиться на другие сайты Поделиться
oliha7 Опубликовано 29 сентября, 2007 Поделиться Опубликовано 29 сентября, 2007 Если я работаю , тоесть если лечу чейто комп от вирья и хочу чтобы проги каторые лежат на флешке не были заражены вирусами - криптую софтину и псё ! Евгений Валентинович , были ли такие случаи что "взломать" ключ шифрования не удавалось ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Frintessa Опубликовано 14 октября, 2007 Поделиться Опубликовано 14 октября, 2007 To vidocq89 Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает.Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё. Жалко конечно. Хотя я могла бы поменять фото NCsoft на фото лаборатории Касперского. Если бы кто то согласился поменяться. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти