Comments 20
Все ожидаемо, кроме позора VBA32 (его вроде ФСТЕК принял?). Clamav огорчил.
> для работы с упакованным бэкдором мне приходилось отключать антивирус, а с распакованным — нет
значит распакованное тело в дикой природе не встречается. UPX хоть и Ultimate, но не единственный упаковщик исполняемых файлов — для полного детектирования пришлось бы поддерживать десяток популярных упаковщиков и даже некоторые комбинации из них. соответственно, сильно распухла бы и база сигнатур.
вот для заточенной под конкретное семейство утилиты типа SalityKiller можно было бы такое реализовать, а для антивируса реального времени подход выглядит чересчур затратным.
значит распакованное тело в дикой природе не встречается. UPX хоть и Ultimate, но не единственный упаковщик исполняемых файлов — для полного детектирования пришлось бы поддерживать десяток популярных упаковщиков и даже некоторые комбинации из них. соответственно, сильно распухла бы и база сигнатур.
вот для заточенной под конкретное семейство утилиты типа SalityKiller можно было бы такое реализовать, а для антивируса реального времени подход выглядит чересчур затратным.
Вы не поняли. Попытаюсь объяснить по пунктам.
1. Если бы он не встречался in wild — не было бы разных детектов. То, что мы наблюдаем, свидетельствует о том, что in wild встречается и запакованный, и распакованный варианты. Проблема в том, что одни системы распаковывают сэмпл, после чего проверяют по базе сигнатур, а другие — рубят с плеча, при чём не осознавая, что это — одно и то же.
2. База сигнатур не пухнет — она не связана с количеством процедур распаковки, это разные базы. С другой стороны, очень многие зловреды упаковываются. Если их не распаковывать, а детектировать по упаковщику — получим массу фалсов, что в сущности и наблюдается для кейгенов и патчей (авторы упаковывают их, чтобы уберечься от реверсинга их механизма взлома со стороны других крякерских группировок).
Реально сейчас без распаковок просто не обойтись. И очень удивляет, что UPX показал такую картину.
Реально я подозреваю, что на упакованный файл автоматом наложили сигнатуру, даже не разбираясь, что на самом деле он упакован. А аналитик не проверил автоматическое действие — имеем, что имеем.
1. Если бы он не встречался in wild — не было бы разных детектов. То, что мы наблюдаем, свидетельствует о том, что in wild встречается и запакованный, и распакованный варианты. Проблема в том, что одни системы распаковывают сэмпл, после чего проверяют по базе сигнатур, а другие — рубят с плеча, при чём не осознавая, что это — одно и то же.
2. База сигнатур не пухнет — она не связана с количеством процедур распаковки, это разные базы. С другой стороны, очень многие зловреды упаковываются. Если их не распаковывать, а детектировать по упаковщику — получим массу фалсов, что в сущности и наблюдается для кейгенов и патчей (авторы упаковывают их, чтобы уберечься от реверсинга их механизма взлома со стороны других крякерских группировок).
Реально сейчас без распаковок просто не обойтись. И очень удивляет, что UPX показал такую картину.
Реально я подозреваю, что на упакованный файл автоматом наложили сигнатуру, даже не разбираясь, что на самом деле он упакован. А аналитик не проверил автоматическое действие — имеем, что имеем.
Да и ещё — чуть не забыл. Даже в случае, когда распакованное тело не встречается, где же эвристик с эмулятором, которые должны были дать стойку на сбор паролей и их отправку по сети?
А вы пробовали снять Safeguard и проверить? Вероятно, распаковка этого зловреда производилась минуя UPX до конца. В итоге промежуточный вариант не палится.
Safeguard только на той части, что сидит с autorun.inf. Остальные части независимы и могут быть легко скопированы. Либо защищённый Safeguard'ом зловред подтягивал недостающее по сети.
И вообще — я всё больше начинаю считать, что исходный дроппер кидал троянца, а то, что всё это было ещё и заражено Sality… ну что ж — троянцу не повезло ;) А антивирус выдал тот детект, что был в приоритете первым (ведь два детекта не бывает).
И вообще — я всё больше начинаю считать, что исходный дроппер кидал троянца, а то, что всё это было ещё и заражено Sality… ну что ж — троянцу не повезло ;) А антивирус выдал тот детект, что был в приоритете первым (ведь два детекта не бывает).
через newvirus@kaspersky проходит сотни новых штаммов в день. Конечно, при таких объемах качество будет страдать. Удивляться особо нечему.
То есть вы считаете, что у других вендоров ситуация лучше и только бедная ЛК страдает?
Раз уж пошёл разговор в лицах — в данном случае ЛК подвёл автодятел. Работу автоматики надо бы проверять. А если кто-то забил, то рассказы о сотнях семплов не впечатляют. В начале года с винлокерами бывало и больше.
Раз уж пошёл разговор в лицах — в данном случае ЛК подвёл автодятел. Работу автоматики надо бы проверять. А если кто-то забил, то рассказы о сотнях семплов не впечатляют. В начале года с винлокерами бывало и больше.
Я согласен что он подвел, и что работу надо проверять. Я их и не оправдываю :) Там уже давно борьба идет не за супер-качество, а за продажи. Недавно эпизод как раз был, когда из-за низкого качества кода появился синий экран смерти на серверах (!) с установленным AV. Еще Каспера однажды Microsoft порекомендовала деинсталлировать, была официальная рекомендация на эту тему.
ещё плюсик в копилочку бесплатных avast и MS SE
Sign up to leave a comment.
Перипетии детектирования и распаковки