Сейчас обсуждают

[Vitalyan_gl]

Тема по тестированию антивирусов на подозрительных файлах!

В данной теме будут выкладываться ссылки на архивы со зловредами. Настоятельно не рекомендуется запускать файлы из архивов, а только сканировать!!! Или делать это на виртуальной машине! Затем ежемесячно будем подводить итоги и составлять статистику по антивирусным решениям!

Результаты первого тестирования тут http://forum.sibnet.ru/index.php?s=&sh...t&p=8333696
Результаты второго тестирования тут http://forum.sibnet.ru/index.php?s=&sh...t&p=8819426


Пароли на все архивы:

[999_999_999]

Microsoft Security Essentials
архив №2

» Спойлер (нажмите, чтобы прочесть) «

C:\Users\AITIKA\Desktop\infected2\infected2\SecureWEB.exe
C:\Users\AITIKA\Desktop\infected2\infected2\activex.exe
C:\Users\AITIKA\Desktop\infected2\infected2\install.exe
C:\Users\AITIKA\Desktop\infected2\infected2\Formulario-Petrobras.exe
C:\Users\AITIKA\Desktop\infected2\infected2\setup.exe
C:\Users\AITIKA\Desktop\infected2\infected2\Felicitare-ursulet223310.GIF.exe

итого 6 из 8
архив №3

» Спойлер (нажмите, чтобы прочесть) «

C:\Users\AITIKA\Desktop\infected194\infected194\dg.exe
C:\Users\AITIKA\Desktop\infected194\infected194\surprise.exe
C:\Users\AITIKA\Desktop\infected194\infected194\cry.9827997.exe
C:\Users\AITIKA\Desktop\infected194\infected194\ff2ie.exe
C:\Users\AITIKA\Desktop\infected194\infected194\soft.4474909.exe
C:\Users\AITIKA\Desktop\infected194\infected194\442-direct.exe
C:\Users\AITIKA\Desktop\infected194\infected194\za.exe
C:\Users\AITIKA\Desktop\infected194\infected194\binnfixdata700.exe

итого 8 из 10
26 из 31

[999_999_999]

авира 9
итог 22 из 31!

Сообщение отредактировал 999_999_999 - 8.12.2010, 12:22

[Rallii]

Не подскажете, что нужно сделать чтобы у тебя появились ссылки на архивы.

[Vitalyan_gl]

Не подскажете, что нужно сделать чтобы у тебя появились ссылки на архивы.

Нужно принимать активное участие в жизни форума, набрать необходимое количество сообщений!

P.S. Кстати, хорошо бы также отслеживать судьбу ранее не определявшихся файлов, отдельной строкой в итоговой таблице. Т.е при подведении результатов месяца просканировать все архивы заново, с имеющимися на конец месяца базами. Да, и еще хорошо бы в каждом сообщении писать суммарное количество всех файлов, определяющихся из всех архивов(если кому непонятно что я имел в виду-смотрите выше)

Точную методику подведения итогов по месяцам я еще не обдумывал, но скорее всего примерно так и будет! Т. е. наверное, будет два результата, один непосредственно по обнаружению в день появления архивов, а другой - спустя некоторое время, что позволит определить добросовестность вендоров по добавлению угроз в базы! Да и желательно бы каждому закрепится за определенным продуктом, чтобы было проще вести статистику! Так, например, я буду тестировать G Data на основной системе, и NOD32 на виртуальной! Но и дубляж не запрещается!

Сообщение отредактировал Vitalyan_gl - 8.12.2010, 4:12

[Rallii]

Спасибо, значит начну повышать активность, подскажите какое количество сообщений надо набрать, а то антивирус как то мало вирусов обнаруживает, хотелось бы проверить его на профпригодность.

[Laperuz]

Да и желательно бы каждому закрепится за определенным продуктом, чтобы было проще вести статистику!

Ок, мой avast!

какое количество сообщений надо набрать

10.

[999_999_999]

Microsoft Security Essentials - на себя возьму!

[Vitalyan_gl]

Архив №4, 7 файлов для теста:

» Спойлер (нажмите, чтобы прочесть) «

Infected4

Сообщение отредактировал Vitalyan_gl - 8.12.2010, 13:42

» Спасибо сказали: «

999_999_999, alemtin, Feo,

[alemtin]

Kaspersky Internet Security 2011 Дата баз 8.12.2010 10:34:00
Количество сигнатур 4836120
Архив №4

» Спойлер (нажмите, чтобы прочесть) «

Обнаружено (6)
08.12.2010 12:45:16 Обнаружено троянская программа Trojan-GameThief.Win32.OnLineGames.xknf e:\infected4.zip//infected4/dc7.exe Высокая
08.12.2010 12:45:15 Обнаружено вирус Worm.Win32.AutoRun.btgb e:\infected4.zip//infected4/msscn.exe Высокая
08.12.2010 12:45:16 Обнаружено троянская программа Trojan-PSW.Win32.Tibia.v e:\infected4.zip//infected4/Project1.exe Высокая
08.12.2010 12:45:14 Обнаружено троянская программа Backdoor.Win32.Hupigon.mrzd e:\infected4.zip//infected4/server.exe//UPX Высокая
08.12.2010 12:45:13 Обнаружено вирус HEUR:Trojan.Win32.Generic e:\infected4.zip//infected4/tcp.exe Высокая
08.12.2010 12:45:09 Обнаружено троянская программа Backdoor.Win32.Gootkit.ex e:\infected4.zip//infected4/tcp.exe//# Высокая

Итого 5 из 7

[Vitalyan_gl]

Архив №4, 7 файлов
G DataIS 2011
При распаковке

» Спойлер (нажмите, чтобы прочесть) «

Контекстное сканирование убило еще одного

» Спойлер (нажмите, чтобы прочесть) «

Итог 6 из 7!

Сообщение отредактировал Vitalyan_gl - 8.12.2010, 14:07

[999_999_999]

Microsoft Security Essentials
архив №4

» Спойлер (нажмите, чтобы прочесть) «

file:C:\Users\AITIKA\Desktop\infected4\infected4\msscn.exe
file:C:\Users\AITIKA\Desktop\infected4\infected4\tcp.exe
file:C:\Users\AITIKA\Desktop\infected4\infected4\server.exe
file:C:\Users\AITIKA\Desktop\infected4\infected4\dc7.exe

итого 4 из 7
сумма 30 из 38

авира 9
6 из 7
сумма 28 из 38

[Laperuz]

avast! Free 5.1.798 Beta, базы 101208-0, 2289216 сигнатур.
Архив №4:

» Спойлер (нажмите, чтобы прочесть) «

08.12.2010 20:22:47 F:\Документы\Дима\вирусы\infected4\infected4\dc7.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
08.12.2010 20:22:47 F:\Документы\Дима\вирусы\infected4\infected4\msscn.exe|>[Embedded_Ia#00c89] [L] Win32:Tiny-AKB [Trj] (0)
Файл был успешно перемещен в карантин...
08.12.2010 20:22:47 F:\Документы\Дима\вирусы\infected4\infected4\ntcsvr.exe [L] Win32:Adware-gen [Adw] (0)
Файл был успешно перемещен в карантин...
08.12.2010 20:22:48 F:\Документы\Дима\вирусы\infected4\infected4\Project1.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
08.12.2010 20:22:48 F:\Документы\Дима\вирусы\infected4\infected4\server.exe|>[UPX] [L] Win32:Delf-AIC [Trj] (0)
Файл был успешно перемещен в карантин...
08.12.2010 20:22:48 F:\Документы\Дима\вирусы\infected4\infected4\tcp.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...

Итого 6 из 7

+4 из 5 файлов, не детектировавшихся в архиве №3 теперь детектируются.

Сканирование всех архивов последними базами: 36 из 38

[999_999_999]

насчет архива №2 и №3 вот что о нем думают в авире!!!!

» Спойлер (нажмите, чтобы прочесть) «

ID файла Имя файла Объем (байты) Результат
25972796 jtf12c.exe 3.29 MB CLEAN



Точные результаты по каждому файлу вы найдете в следующем разделе: Имя файла Результат
jtf12c.exe CLEAN


Файл 'jtf12c.exe' отмечен как 'CLEAN'. Наши аналитики не нашли в этом файле вредоносный код.

» Спойлер (нажмите, чтобы прочесть) «

Список файлов и результатов приведены ниже:ID файла Имя файла Объем (байты) Результат
25972795 erbapm12c.exe 3.07 MB CLEAN



Точные результаты по каждому файлу вы найдете в следующем разделе: Имя файла Результат
erbapm12c.exe CLEAN


Файл 'erbapm12c.exe' отмечен как 'CLEAN'. Наши аналитики не нашли в этом файле вредоносный код.

архив №3

» Спойлер (нажмите, чтобы прочесть) «

25974316 TubEmAllPro.exe 238.5 KB CLEAN



Точные результаты по каждому файлу вы найдете в следующем разделе: Имя файла Результат
TubEmAllPro.exe CLEAN


Файл 'TubEmAllPro.exe' отмечен как 'CLEAN'. Наши аналитики не нашли в этом файле вредоносный код.

какие будут мысли?

Сообщение отредактировал 999_999_999 - 8.12.2010, 20:26

[Laperuz]

Насчет файла из архива 3-также аналитики avast! его не добавили в детектирование, из 5 файлов только 4 добавили.

[999_999_999]

файл из архива №3
результат на virscan.

» Спойлер (нажмите, чтобы прочесть) «

File Name : TubEmAllPro.exe
File Size : 244224 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : f5f32895050df913df38ae070080ed6f
SHA1 : e1ceb32e1335a51a765152bf5fcbd5c82a88825d
Scanner results : 3% Scanner(s) (1/36) found malware!
CP Secure 1.3.0.5 2010.12.08 2010-12-08 Packed.W32.Krap.ag

[999_999_999]

файлы из архива №2
результат на virscan

» Спойлер (нажмите, чтобы прочесть) «

File Name : erbapm12c.exe
File Size : 3216982 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 83736c404ee50ebee20d1fb1a74822a4
SHA1 : fa6f3151a203904f91f64805121956f81ebcfc92


Scanner resultsScanner results : 8% Scanner(s) (3/36) found malware!
Time : 2010/12/08 16:57:38 (MSK)
AVAST! 4.7.4 101207-1 2010-12-07 Win32:Malware-gen
Ikarus T3.1.32.15.0 2010.12.08.77311 2010-12-08 Win32.SuspectCrc
Norman 6.06.11 6.06.00 2010-12-07 W32/Suspicious_Gen2.BVHTH

» Спойлер (нажмите, чтобы прочесть) «

File Name : jtf12c.exe
File Size : 3448730 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 00ee4570ac16eab986a8ab69ce84998b
SHA1 : 75df80a63c6a288e444305a2110787b4eb49820a
Scanner results : 8% Scanner(s) (3/36) found malware!
Time : 2010/12/08 17:16:20 (MSK)
AVAST! 4.7.4 101207-1 2010-12-07 Win32:Malware-gen
Ikarus T3.1.32.15.0 2010.12.08.77311 2010-12-08 Win32.SuspectCrc
Norman 6.06.11 6.06.00 2010-12-07 W32/Suspicious_Gen2.BVHTH

как быть?

Сообщение отредактировал 999_999_999 - 8.12.2010, 21:32

[Vitalyan_gl]

Да я и сам вижу эти ложные файлы, после запуска их на виртуальной машине никаких негативных изменений я не обнаружил, да и сканирование Hitman pro и MBAM ничего не показывает! В данных архивах находятся файлы, которые по каким-либо причинам вызвали подозрение у меня (по долгу службы) или моих коллег на других форумах! Сразу отсеять все ложные файлы я просто физически не успеваю (работа+учеба)! Будем просто корректировать результаты при подведении итогов, других выходов я пока не вижу! Если есть предложения, давайте обсудим!

Можно для итогового теста в конце месяца сделать специальную большую подборку зловредов, предварительно отослав их в какой-нибудь ВирЛаб, дабы избежать ложных результатов!

[Feo]

Да и желательно бы каждому закрепится за определенным продуктом

Avira PSS 9 моя.

И..мне кажется, все-таки лучше полностью архивы сканировать в конце месяца, а не сейчас. Путаницы меньше будет и по итогам результата тоже. В конце месяца, как и говорили, сделать отдельную графу о всех выложенных архивах и их детектирования.

Можно для итогового теста в конце месяца сделать специальную большую подборку зловредов, предварительно отослав их в какой-нибудь ВирЛаб, дабы избежать ложных результатов!

Тогда смысла не будет в результатах...Потому, как вирлабы их будут уже знать. Т.е сэмплы уже будут неактуальными.

P.S Так же могу участвовать в выкладке архивов со зловредами.

[Vitalyan_gl]

И..мне кажется, все-таки лучше полностью архивы сканировать в конце месяца, а не сейчас. Путаницы меньше будет и по итогам результата тоже. В конце месяца, как и говорили, сделать отдельную графу о всех выложенных архивах и их детектирования.
Тогда смысла не будет в результатах...Потому, как вирлабы их будут уже знать. Т.е сэмплы уже будут неактуальными.

P.S Так же могу участвовать в выкладке архивов со зловредами.

Ты прав, лучше в конце месяца, а то я уже подумал, как так вести статистику!

По поводу итогового тестирования, я имею возможность создать архиы из других вредоносов, не участвовавших в тесте в течение месяца (ну может некоторые и будут повторяться)!

А по поводу выкладки зловредов другими учстниками форума я не возражаю! Наоборот только приветствую!

Сообщение отредактировал Vitalyan_gl - 11.12.2010, 18:32

[Vitalyan_gl]

Архив №5, 9 файлов для теста:

» Спойлер (нажмите, чтобы прочесть) «

http://ifolder.ru/20744782

G Data IS 2011

При распаковке

» Спойлер (нажмите, чтобы прочесть) «

При сканировании

» Спойлер (нажмите, чтобы прочесть) «

Итог 9 из 9!