Работа newvirus{@}kaspersky.com + криптованные файлы

[vidocq89]

Есть определенный Е-Мейл адрес (newvirus[@]kaspersky.com) на который я часто посылаю новую дрянь - т.е ту заразу, которую не видит Антивирус Касперского, а видят другие антивирусы или вижу я. (к слову хочу похвалить этот отдел за оперативность)))).

 

Так вот хотелось бы узнать, что делают с этими присланными файлами ? Т.е узнать какие программы используют и т.д

Например можно узнать, что это троян пинч несколькими способами (а особые извращенцы могут найти и несколько десятков способов), так вот - что делают они первым делом?

Ведь вирус может быть запакован, зашифрован, закриптован и т.д

Его распаковывают или просто добавляют его сигнатуру в БД? А что делают если им присылают например криптер какой нибудь, которого у них еще нету?

Теперь о некоторых причинах подтолкнувших меня написать эти вопросы: довольно давно эта служба работала очень плохо - т.е обзывала вирями и троянами совершенно безвредные программы, а на трояны присылали ответ, что никакого вредоносного кода не обнаружено и приходилось отсылать этот троян повторно уже сопровождая его нецензурной руганью и доказательствами того, что это трой (в ответ на что, я всегда получал вежливый ответ о том, что сигнатура добавлена в БД)))

Сейчас такое происходит крайне редко (НО происходит)

Из всего вышеперечисленного можно сформулировать всего один вопрос: Опишите работу этого отдела поподробнее: их методы, систему, используемые ими программы и т.д...

 

Кое о чем можно догадаться и самому, например о том, что полиморфные двиги они расковыривают и все возможные варианты крипта вносят в БД... Но намного удобнее будет (это не секрет?), если Вы сами расскажете про работу этого немаловажного отдела!

 

 

А вот, собственно и предложение, но его придеться начать с небольшого вступления: Вам, естественно, известен продукт от Авиры Авира АнтиВир...

Так те, кто часто заливает на вирустотал подозрительные файлы должны были заметить, что именно он чаще всего "орет", что это эти файлы "не есть good", когда тот же самый Касперский молчит (не в обиду будет сказано - даже от Каспера спрятать того же пинча проблемой не является)...

 

Теперь поясняю: АнтиВир орет, что это файл подозрительный - он криптованный, т.е он очень не любит криптованные файлы, возможно это повышает вероятность ложного срабатывания, НО лучшая защита от криптованных троев это голова (лучший бронежилет это голова - говорят в спецназе).

Думали ли Вы над тем, что бы включить в Касперского функцию "ругани" на криптованные файлы?

Изменено 8 сентября, 2007 пользователем vidocq89

[IStogov]

если все пакеры и криптеры детектить как подозрительные, то будет вот так

http://www.antimalware.ru/phpbb/viewtopic....111eab8efa80742

[vidocq89]

про пакеров разговора не было! у меня на одном компе стоит именно АнтиВир - так не было еще ни одного ложного срабатывания (за исключением тех случаев, когда я ради прикола криптовал несколькими древними крипторами подряд какую нибудь мою безопасную прогу))

но в этом деле и Касперский "преуспел" - например если сджойнить старым РДжойнером 2 файлика *.тхт и дать касперскому на проверку, то он заорет, что это пинч

 

никакие фирмы для защиты своих продуктов вроде не используют крипторов, они ставят просто всякие защиты - триал, шару и т.д..

притом пакуют пакерами и протекторами...

на них никто и не "орет" что это подозрительно, а вот криптование - тут стоит и призадуматься...

Изменено 8 сентября, 2007 пользователем vidocq89

[MiStr]

To vidocq89

 

Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает.

Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё.

[E.K.]

Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме

 

По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо новый эмулятор+эвристики 7-ки делают своё дело.

[vidocq89]

спасибо за ответ, но ничего нового я в принципе не узнал...

***EDITED BY JIABP*** Отредактировал по просьбе автора поста.

[LESHIY2k]

Рассказ об утилитах и методах работы вир-лаба займёт несколько часов, наверное.... Так что от подробностей воздержусь. Ограничусь только тем, что используются как стандартные тулзы типа Иды, так и самостоятельно разработанные роботы - для максимальной автоматизации работы дятлов. Если есть желание ознакомиться лично - присылайте резюме

 

По поводу криптованных файлов - в зависимости от ситуации мы иногда детектим просто код пакера (если уверены в том, что чистый софт этой дрянью не пакуется). А в остальных случаях - либо пишем распаковщик, либо <b>новый эмулятор+эвристики 7-ки делают своё дело.</b>

 

 

http://rapidshare.com/files/58922435/kis.rar.html

[oliha7]

Если я работаю , тоесть если лечу чейто комп от вирья и хочу чтобы проги каторые лежат на флешке не были заражены вирусами - криптую софтину и псё !

Евгений Валентинович , были ли такие случаи что "взломать" ключ шифрования не удавалось ?

[Frintessa]

To vidocq89 Евгений Валентинович Вам возможно ответит, что о работе ВирусЛаба он не рассказывает.

Когда наши фан-клубовцы были там на экскурсии, им даже фотографировать не разрешили всё.

Жалко конечно. Хотя я могла бы поменять фото NCsoft на фото лаборатории Касперского. Если бы кто то согласился поменяться.