А какой смысл сканировать только сигнатурными базами?
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
Однако, это очень популярный способ угона почтовых аккаунтов. Почти все злоумышленники, предоставляющие услуги по угону E-Mail пользуются фишингом. Уязвимости в почтовых сервисах сложно искать (особенно, с появлением вознаграждения за уязвимость. Пример: Google платит вроде даже за редиректы. Яндекс недавно проводил конкурс по поиску уязвимостей, так там много XSS нашли).
Можно попробовать украсть куки у злоумышленника — на фишинговом сайте есть XSS: _http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").
В модулях ОС Windows большое количество различных функций. Каждая функция ведет себя особым образом, в зависимости от переданных параметров и окружения. Эмулятор должен предусмотреть все возможные пути выполнения функций их результат. Корректно проэмулировать все функции (ладно, не все, но большинство) может, разве что, Microsoft Security Essentials (где-то читал, что у него один из самых крутых эмуляторов — оно и понятно, у разработчиков есть вся необходимая информация по внутреннему устройству Windows).
На одном известном ресурсе был пост, в котором в итоге выяснилось, что продаваемый на Zvooq.ru контент частично пиратский (как и бывший recordings.ru).
Некоторое время использовал Fx 7 Beta. Прирост скорости довольно ощутимый (если не ошибаюсь, именно с 7 версии разработчики активно анализируют код на предмет утечек памяти).
По поводу Антивируса Касперского. До 31 Мая, 02:09 сэмпл детектится как UDS:DangerousObject.Multi.Generic (детект по базе Kaspersky Security Network, можно сказать, эвристика), затем его исследуют в вирлабе и дают нормальную сигнатуру (Trojan-PSW.Win32.VKont.bhh).
Скорее всего, этим можно объяснить исчезновение детекта 30 Мая, 18:20.
1) Они у всех вендоров примерно одинаковы (да-да, а еще они ими обмениваются)
2) Сигнатурное покрытие, как вы сами сказали, возможно только для очень ограниченного числа семплов (кончено, есть generic-сигнатуры, но и они детектят не много малвары + любой неизвестный пакер/протектор и сигнатурный детект обламывается).
И вот тогда на помощь приходит эмуляция. За эмуляцией следит система принятия решений, имеющая определенные эвристические правила (запакован? еще и лезет в интернет? что-то качает? ставит на файл атрибут «скрытый»? и в автозагрузку его? Да это же неизвестный Downloader!). Чем лучше эмулятор (эмуляция всех x86 и не только команд, эмуляция Win32 API и т.д.) и чем лучше правила детектирования, тем меньше вероятность пропустить новую малвару.
yadrex.ru/gmail/
yadrex.ru/rambler/
Если передаются куки — значит используется XSS уязвимость. Но, судя по остальному тексту, это просто редирект на фейк (фишинговый сайт).
_http://yadrex.ru/error.php?login='"><_script>alert('XSS!');</_script>
(Для того, чтобы обойти парсер хабра пришлось добавить "_").
Скорее всего, этим можно объяснить исчезновение детекта 30 Мая, 18:20.