Dr.Web задетектил подключение к сети своим firewall'ом. Судя по всему, сигнатурный/поведенческий анализы зафейлились.
COMODO пихает в sandbox все, что кажется подозрительным (особенно, exe'шники без подписи, не имеющие рейтинга в облаке, скачанные из интернета, имеющие подозрительные функции в импорте, криптованные и т.д.).
KIS проэмулил, нашёл Download & exec и ругнулся эвристикой.
Имхо, Avira не эмулировала. Как обычно, сфолсила на подозрительный файл.
ESET Smart Security должен был, как и Dr.Web, засечь попытку подключения к удалённому узлу своим firewall'ом. Почему он этого не сделал — не понятно (fw был отключен? это был ESET Nod32 antivirus? У вас в семпле оказался код, обходящий fw nod32?))
А какой смысл сканировать только сигнатурными базами?
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
Однако, это очень популярный способ угона почтовых аккаунтов. Почти все злоумышленники, предоставляющие услуги по угону E-Mail пользуются фишингом. Уязвимости в почтовых сервисах сложно искать (особенно, с появлением вознаграждения за уязвимость. Пример: Google платит вроде даже за редиректы. Яндекс недавно проводил конкурс по поиску уязвимостей, так там много XSS нашли).
Можно попробовать украсть куки у злоумышленника — на фишинговом сайте есть XSS: _http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").
В модулях ОС Windows большое количество различных функций. Каждая функция ведет себя особым образом, в зависимости от переданных параметров и окружения. Эмулятор должен предусмотреть все возможные пути выполнения функций их результат. Корректно проэмулировать все функции (ладно, не все, но большинство) может, разве что, Microsoft Security Essentials (где-то читал, что у него один из самых крутых эмуляторов — оно и понятно, у разработчиков есть вся необходимая информация по внутреннему устройству Windows).
На одном известном ресурсе был пост, в котором в итоге выяснилось, что продаваемый на Zvooq.ru контент частично пиратский (как и бывший recordings.ru).
Некоторое время использовал Fx 7 Beta. Прирост скорости довольно ощутимый (если не ошибаюсь, именно с 7 версии разработчики активно анализируют код на предмет утечек памяти).
COMODO пихает в sandbox все, что кажется подозрительным (особенно, exe'шники без подписи, не имеющие рейтинга в облаке, скачанные из интернета, имеющие подозрительные функции в импорте, криптованные и т.д.).
KIS проэмулил, нашёл Download & exec и ругнулся эвристикой.
Имхо, Avira не эмулировала. Как обычно, сфолсила на подозрительный файл.
ESET Smart Security должен был, как и Dr.Web, засечь попытку подключения к удалённому узлу своим firewall'ом. Почему он этого не сделал — не понятно (fw был отключен? это был ESET Nod32 antivirus? У вас в семпле оказался код, обходящий fw nod32?))
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
yadrex.ru/gmail/
yadrex.ru/rambler/
Если передаются куки — значит используется XSS уязвимость. Но, судя по остальному тексту, это просто редирект на фейк (фишинговый сайт).
_http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").