1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Сравнение скорости реагирования лабораторий антивирусных компаний на новые угрозы

Тема в разделе "Тестовая площадка", создана пользователем gjf, 24 июн 2011.

  1. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    628
    Симпатии:
    818
    1. ВВЕДЕНИЕ


      В последнее время стало актуальным и по-своему модным изучение различных аспектов имеющихся на рынке антивирусов: скорости сканирования, ресурсоемкости, самозащиты, эффективности лечения и т.д. Не последним фактором, в свете растущего количества новых угроз, является скорость реагирования вирусных лабораторий на новые образцы зловредов.

      Ранее проводились работы по оценки этой скорости реагирования с помощью таких сервисов, как VirusTotal. Однако эти работы имеют ряд недостатков:


      По этой причине наша команда решила попытаться выполнить эту работу самостоятельно, максимально снизив риск влияния посторонних факторов.

    2. ПОДГОТОВКА ОБРАЗЦОВ


      Основную проблему для выполнения подобного исследования представляет собой поиск вредоносного образца, ранее неизвестного антивирусным компаниям. Проблема сложная, её решение – создание вредоноса самостоятельно, что противоречит убеждениям настоящей команды исследователей, либо упаковка существующего образца неким новым пакером/криптором, ранее неизвестного вендорам. Последнее и было взято на вооружение.

      Существует множество алгоритмов, реализуемых в пакерах/крипторах. Как правило, распаковка подобных файлов чрезвычайно сложна, а в ряде случаев – нецелесообразна, что приводит к появлению детектов типа Krap, Packed, Black.a и т.д., то есть образец детектируется по методу упаковки и характерным сигнатурам пакера, а не по вредоносному коду. С одной стороны – это приводит к сравнительно быстрому анализу и детектированию вредоносного кода со стороны вирусных лабораторий, а также снижению нагрузки на систему пользователя антивируса в ходе процесса распаковки, с другой – к многочисленным ложным срабатываниям на пиратские кейгены/патчи, авторы которых скрывают свои наработки от конкурентов с помощью таких же пакеров/крипторов.

      Авторами разработан оригинальный алгоритм упаковки, позволяющий сбить сигнатуры, заключавшийся в следующем:

      1. Образец дроппера упаковывался в архив одним из популярных архиваторов с шифрованием содержимого и заголовка архива.
      2. В единый исполняемый файл упаковывался как архив, так и утилита для разархивирования и скрипт на командном языке Windows, запускающий разархивирование с искомым паролем в %temp%, а затем запускающий собственно дроппер.
      3. Полученный файл упаковывался UPX.

      Детали обработки умышленно не публикуются по понятным причинам, однако заявляем, что работа по перепаковке одного образца не занимает более 1-2 минут.

      В качестве исходных дропперов были выбраны образцы актуальных угроз: TDL4, GPCode.ax, Kolab и SpyEye 1.3. Для проверки ложного срабатывания аналогичным образом были упакованы файлы из дистрибутива Windows - regedit.exe, notepad.exe и cmd.exe.

      Полученные экземпляры проверялись на физических (Windows XP Pro SP3 Rus с актуальными обновлениями) и виртуальных системах (та же система на VMWare Workstation 7.1.4 build 385536, хост – Windows 7 Ultimate SP1). Работоспособность образцов была подтверждена, в случае вредоносов система заражалась. Однако обращаем внимание на то, что несмотря на безусловную вредоносность полученных образцов, имеющийся на системе активный резидентный антивирус эффективно предотвращал заражение, своевременно детектируя распакованный дроппер и блокируя его последующий запуск. Системы HIPS также позволяют эффективно предотвратить заражение, однако для этого необходимо некоторое понимание происходящих процессов.

      Подчёркиваем, что предлагаемая методика упаковки довольно убога, в реальности встречаются намного более успешные методы, позволяющие обойти как антивирус, так и HIPS. Однако, поставленную задачу – убрать детект – этот метод успешно выполнил и потому был применён в работе.

    3. ХОД ИССЛЕДОВАНИЯ


      Три различных перепакованных, как указано выше, образца вредоносов А, В, С и D, у которых расширение было изменено с "ехе" на "е_е" (за исключением образца D), были направлены в вирусные лаборатории по четырём каналам.

      1. С корпоративного адреса на базе Google Mail s**orov<at>safezone.cc (буквы опущены во избежание спама) на vendors<at>malware-research.co.uk направлялся образец А, упакованный а zip-архив с паролем "infected" (здесь и далее пароли читать как без кавычек). В основе образца A был червь Kolab.
      2. С корпоративного адреса на базе Google Mail iv**ov<at>safezone.cc (буквы опущены во избежание спама) на ящики вирусных лабораторий, указанные на официальных сайтах, направлялся образец В, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца B был троян SpyEye.
      3. На официальных сайтах антивирусных компаний на соответствующих формах для сообщения о новой угрозе, был загружен образец С, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца С был дроппер TDL4. В качестве контактного адреса везде, где возможно, указывался корпоративный адрес на базе Google Mail p**rov<at>safezone.cc (буквы опущены во избежание спама).
      4. На сайт VirusTotal был загружен образец D, детект на момент загрузки:


      [table 1 2 0]AhnLab-V3| 2011.06.15.00| 2011.06.14| -
      AntiVir| 7.11.9.204| 2011.06.15| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.15| -
      Avast| 4.8.1351.0| 2011.06.15| -
      Avast5| 5.0.677.0| 2011.06.15| -
      AVG| 10.0.0.1190| 2011.06.15| -
      BitDefender| 7.2| 2011.06.15| -
      CAT-QuickHeal| 11.00| 2011.06.15| -
      ClamAV| 0.97.0.0| 2011.06.15| -
      Commtouch| 5.3.2.6| 2011.06.15| -
      Comodo| 9074| 2011.06.15| -
      DrWeb| 5.0.2.03300| 2011.06.15| -
      eSafe| 7.0.17.0| 2011.06.15| -
      eTrust-Vet| 36.1.8387| 2011.06.15| -
      F-Prot| 4.6.2.117| 2011.06.15| -
      F-Secure| 9.0.16440.0| 2011.06.15| -
      Fortinet| 4.2.257.0| 2011.06.15| -
      GData| 22| 2011.06.15| -
      Ikarus| T3.1.1.104.0| 2011.06.15| -
      Jiangmin |13.0.900| 2011.06.14| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4812| 2011.06.14| -
      Kaspersky| 9.0.0.837| 2011.06.15| -
      McAfee| 5.400.0.1158| 2011.06.15| -
      McAfee-GW-Edition| 2010.1D| 2011.06.15| -
      Microsoft| 1.6903| 2011.06.13| -
      NOD32| 6210| 2011.06.15| -
      Norman| 6.07.10| 2011.06.15| -
      nProtect| 2011-06-15.02| 2011.06.15| -
      Panda| 10.0.3.5 |2011.06.14| -
      PCTools| 7.0.3.5| 2011.06.15| -
      Prevx| 3.0| 2011.06.15| -
      Rising| 23.62.02.05| 2011.06.15| -
      Sophos| 4.66.0| 2011.06.15| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.15| -
      Symantec| 20111.1.0.186| 2011.06.15| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.230| 2011.06.14| -
      TrendMicro| 9.200.0.1012| 2011.06.15| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.15| -
      VBA32| 3.12.16.1| 2011.06.15| -
      VIPRE| 9588| 2011.06.15| -
      ViRobot| 2011.6.15.4513| 2011.06.15| -
      VirusBuster| 14.0.80.1| 2011.06.14| -
      [/table]

      В основе образца D был дроппер GPCode.ax.

      Как показало предварительное исследование, Avira, Symantec и Jiangmin (последний в исследовании не участвовал) обнаруживают ложный детект на упакованный образец. Доказательством этого может служить аналогичный детект для безвредного файла (regedit.exe), упакованного по нашему методу:


      [table 1 2 0]AhnLab-V3| 2011.06.15.00| 2011.06.14| -
      AntiVir| 7.11.9.204| 2011.06.15| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.15| -
      Avast| 4.8.1351.0| 2011.06.15| -
      Avast5| 5.0.677.0| 2011.06.15| -
      AVG| 10.0.0.1190| 2011.06.15| -
      BitDefender| 7.2| 2011.06.15| -
      CAT-QuickHeal| 11.00| 2011.06.15| -
      ClamAV| 0.97.0.0| 2011.06.15| -
      Commtouch| 5.3.2.6| 2011.06.15| -
      Comodo| 9074| 2011.06.15| -
      DrWeb| 5.0.2.03300| 2011.06.15| -
      eSafe| 7.0.17.0| 2011.06.15| -
      eTrust-Vet| 36.1.8387| 2011.06.15| -
      F-Prot| 4.6.2.117| 2011.06.15| -
      F-Secure| 9.0.16440.0| 2011.06.15| -
      Fortinet| 4.2.257.0| 2011.06.15| -
      GData| 22| 2011.06.15| -
      Ikarus| T3.1.1.104.0| 2011.06.15| -
      Jiangmin| 13.0.900| 2011.06.14| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4812| 2011.06.14| -
      Kaspersky| 9.0.0.837| 2011.06.15| -
      McAfee| 5.400.0.1158| 2011.06.15| -
      McAfee-GW-Edition| 2010.1D| 2011.06.15| -
      Microsoft| 1.6903| 2011.06.13| -
      NOD32| 6210| 2011.06.15| -
      Norman| 6.07.10| 2011.06.15| -
      nProtect| 2011-06-15.02| 2011.06.15| -
      Panda| 10.0.3.5| 2011.06.14| -
      PCTools| 7.0.3.5| 2011.06.15| -
      Prevx| 3.0| 2011.06.15| -
      Rising| 23.62.01.04| 2011.06.15| -
      Sophos| 4.66.0| 2011.06.15| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.15| -
      Symantec| 20111.1.0.186| 2011.06.15| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.230| 2011.06.14| -
      TrendMicro| 9.200.0.1012| 2011.06.15| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.15| -
      VBA32| 3.12.16.1| 2011.06.15| -
      VIPRE| 9588| 2011.06.15| -
      ViRobot| 2011.6.15.4513| 2011.06.15| -
      VirusBuster| 14.0.80.1| 2011.06.14| -
      [/table]


      По этой причине на формы, отвечающих за ложное срабатывание на сайтах компаний, у которых это срабатывание было отмечено, был отправлен упакованный по нашей методике notepad.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах.

      Параллельно, на электронные адреса вирусных лабораторий этих компаний был направлен упакованный по нашей методике cmd.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах (обычно – указание в теме письма фразы типа FalseAlarm).

      Все указанные работы были проведены в период с 16:00 до 17:00 МСК 15 июня 2011 года. От того момента до окончания проведения тестирования никаким иным образом исследуемые образцы в Сеть не поступали.

      Следует отметить, что у ряда вендоров система отправки новых образцов весьма противоречива. Так, компании AhnLab , Protector Plus, SandBox Information Center и McAfee требуют, чтобы у аппликанта (заявителя) был установлен их антивирусный продукт, в противном случае регистрация на сайте для отправки образца будет невозможна. Symantec указывает, что подозрительный файл должен отсылаться "как есть", а не в архиве с паролем, что может затруднить отправку в случае наличия активного антивируса на машине аппликанта или на одном из шлюзов. Emsisoft, NANO Антивирус и F-Prot не предусматривают обратной связи по отправленному файлу. F-Secure после загрузки файла более получаса занимались какой-то работой, в итоге так и не выдали никакого сообщения об удачном получении. NANO Антивирус и Panda требуют довольно нестандартный версии упаковки подозрительный файлов: первый – zip-архив с паролем 123, а второй – rar-архив (!!!) с паролем 111. Более того, NANO Антивирус не поддерживает обратную связь, после загрузки файла 10 минут сайт никак не реагировал и в итоге был закрыт (имеется в виду окно браузера). Rising AV предлагает прислать архив без пароля (что также легко может быть заблокировано на шлюзах), в ответ на файл сервер отвечает, цитируем
      Особо хочется выделить Sophos, при оформлении заявки выдающий целый диалог с указанием причины отсылки и пароля на архив – очень удобно и понятно, хоть и на английском. И в раздел юмора – вопрос от ViRobot:
      В ходе исследования регулярно проверялась папка «Спам» во избежание того, чтобы чьё-то сообщение оказалось ошибочно признанным как спам и в итоге – незамеченным.

      Тестирование было завершено 22.06.2011 в 16:00 МСК, после этого никакие ответы вирусных лабораторий не принимались, таким образом общее время приёма ответов составило 7 календарных дней или 5 рабочих (без субботы и воскресенья).

    4. ОТКЛИКИ ВИРУСНЫХ ЛАБОРАТОРИЙ


      Безусловно, самый высокий приоритет ожидался у обращений, выполненных с официального сайта – не зря же необходимо вводить капчи, заполнять формы и трудиться, чтобы помочь вирусной лаборатории! Однако на практике это оказалось отнюдь не таким очевидным.


      Таблица 1. Результаты загрузки образцов на веб-формы антивирусных компаний.


      [table 1 2 0]3^Компания| Адрес веб-формы| Уведомление о получении| Присвоение детекта
      Ad-Aware| http://www.lavasoft.com/support/securitycenter/file_upload.php | |
      Agnitum| http://www.agnitum.ru/support/submit_files.php | Да.| Спустя 50 ч сообщили, что переслали на отдел аналитиков.
      AhnLab| http://global.ahnlab.com/en/site/support/virusreport/virusReport.do | |
      ArcaVir| http://www.arcabit.com/filescanner/scan.php | |
      аvast!| https://support.avast.com/index.php?_m=tickets&_a=submit |Да |
      AVG |http://samplesubmit.avg.com/ |Да, выдали результат детектирования текущими базами: детекта нет |
      Avira Antivir |http://analysis.avira.com/samples/index.php |Да |Автомат: < 2 ч False сняли через 13 ч.
      BitDefender |http://www.bitdefender.com/world/Defense/fileSubmission |Да |Спустя 51 ч сообщили, что переслали на отдел аналитиков.
      CA Technologies |http://gsa.ca.com/submitmalware.aspx |Да |
      ClamWin |http://cgi.clamav.net/sendvirus.cgi | |
      COMODO |http://www.comodo.com/home/internet-security/submit.php | |
      Dr.Web |http://support.drweb.com/sendnew/ | Да |Автомат: < 2 ч: Trojan.Downloader3.31146
      Emsisoft | http://www.emsisoft.com/en/support/submit/ |Нет и не предусмотрено |
      eScan MicroWorld Technologie |http://support.mwti.net/support/index.php?_m=tickets&_a=submit |Да |40 ч: Trojan.Agent.Dropper.BBH
      ESET |http://www.esetnod32.ru/.support/knowledge_base/new_virus/ |Да |< 2 ч – провал, неопасен
      F-PROT Antivirus |http://www.f-prot.com/virusinfo/submission_form.html |Нет и не предусмотрено|
      F-Secure |http://www.f-secure.com/samples/ |Да |
      Fortinet |http://www.fortiguard.com/antivirus/virus_scanner.html |Да |7 ч: W32/Dropper.8CC0!tr
      Kaspersky |http://support.kaspersky.ru/virlab/helpdesk.html |Да |
      GData |https://vdf1.gdatasoftware.com/SU/SampleUpload/ |Сразу ответил аналитик (запрос пароля) |19 ч
      Microsoft |https://www.microsoft.com/security/portal/Submission/Submit.aspx | |
      MooSoft |http://moosoft.com/submit-sample | |
      Nano AV |http://www.nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=53&lang=ru |Нет и не предусмотрено |
      Norman Antivirus| http://sandbox.norman.no/live_4.html |Да |Прислали протокол анализа в песочнице, где ничего не нашли.
      PC Tools Spyware Doctor |http://www.pctools.com/ru/mrc/submit/ | |
      Protector Plus |http://www.pspl.com/support/samplesubmit.htm | |
      Quick Heal |http://support.quickheal.com/esupport/index.php?_m=tickets&_a=submit |Сразу ответил аналитик |< 2 ч.
      Rising AV |http://sample.rising-global.com/webmail/upload_en.htm | |
      Sophos |https://secure.sophos.com/support/samples |Да |Автомат с подробным протоколом: < 2 ч: Troj/Bckldr-RHW и Troj/TDSS-HI
      Spybot-S&D |http://www.safer-networking.org/ru/contact/detections.html | |
      Symantec, Norton |https://submit.symantec.com/websubmit/retail.cgi |Да |
      Trend Micro |http://subwiz.trendmicro.com/SubWiz...ionid=E4DC58D1A1D74AA895098326221B9D41&proc=7 | |
      ViRobot |http://www.hauri.net/support/virus_report.html |Да |
      VirusBuster |https://support.virusbuster.hu/index.php?_m=tickets&_a=submit | |
      Zillya! |http://www.zillya.ua/ru/contact_us_form.html |Да|[/table]


      Таблица 2. Результаты отправки образцов на электронную почту лабораторий антивирусных компаний.


      [table 1 2 0]3^Компания |Электронная почта |Уведомление о получении |Присвоение детекта
      Agnitum |malware@agnitum.com ticket@agnitum.com |Спустя 50 ч сообщили, что переслали на отдел аналитиков.|
      ArcaVir |virus@arcabit.com||
      аvast! |virus@avast.com||
      AVG |virus@avg.com ||47 ч
      Avira Antivir |virus@avira.com |Да, но ответ нечитабельный|
      BitDefender |virus_submission@bitdefender.com||
      CA Technologies |virus@ca.com |Да|
      ClamWin |clamwin@clamwin.com||
      Command AV |virus@authentium.com||
      COMODO |malwaresubmit@avlab.comodo.com||
      Dr.Web |vms@drweb.com| Да |Автомат: < 2 ч: Trojan.Downloader3.31146
      Emsisoft |submit@emsisoft.com||
      eScan MicroWorld Technologie |samples@escanav.com samples@mwti.net |Да |16 ч: файл неопасен, через 20 мин – Trojan.Agent.Dropper.BBI
      ESET |support@esetnod32.ru samples@eset.com |Да |< 2 ч – провал, неопасен
      F-PROT Antivirus| viruslab@f-prot.com||
      Fortinet| submitvirus@fortinet.com||
      Ikarus |sample@ikarus.at||
      Jiangmin |support@jiangmin.com||
      Kaspersky |newvirus@kaspersky.com| Да|
      GData| support@antivirusin.ru |Да |25 ч: Trojan.Agent.Dropper.BBI
      McAfee |virus_research@nai.com virus_research@avertlabs.com |Да, автомат сообщил, что файл передан аналитику, поскольку автоматически не распознан|
      Microsoft |avsubmit@submit.microsoft.com||
      Nano AV |virus@nanoav.ru||
      Norman Antivirus |analysis@norman.no||
      Panda |virus@pandasoftware.com| Да|
      Quick Heal| viruslab@quickheal.com||
      Sophos |samples@sophos.com |Да| Автомат: < 2 ч
      Symantec, Norton| avsubmit@symantec.com||
      Trend Micro |virus_doctor@trendmicro.com||
      VBA| newvirus@anti-virus.by |Ответ сразу от аналитика |< 2 ч, но сначала был отчёт о безвредности.
      Vexira |virus_submission@centralcommand.com||
      VirusBuster |virus@virusbuster.hu||
      Webroot |submissions@webroot.com||
      Zillya! |virus@zillya.com| Да|[/table]


      Таблица 3. Динамика изменения детекта на VirusTotal.


      [table 1 2 0]3^Прошло, |Безвредный файл|(regedit.exe)|Вредоносный файл|(GPCode.ax)
      3^ ч |Ссылка на отчёт | Детект |Ссылка на отчёт | Детект
      0 |Ссылка | AntiVir 7.11.9.204 2011.06.15 DR/Delphi.Gen Jiangmin 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка | AntiVir 7.11.9.204 2011.06.15 DR/Delphi.Gen Jiangmin 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
      4 |Ссылка| AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Emsisoft 5.1.0.8 2011.06.15 Downloader.Delphi!IK Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
      10 |Ссылка| AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Emsisoft 5.1.0.8 2011.06.15 Downloader.Delphi!IK Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.15 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.15 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
      17 |Ссылка| AntiVir 7.11.9.228 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.9.228 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!CC7BF11E7007 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5
      26 |Ссылка| AntiVir 7.11.9.236 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.9.236 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!CC7BF11E7007 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5
      44 |Ссылка| AntiVir 7.11.10.0 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.17 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.17 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.10.0 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.17 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.17 Mal/Generic-L Symantec 20111.1.0.186 2011.06.17 Suspicious.Cloud.5
      60 |Ссылка| AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5
      78 |Ссылка| AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.18 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.18 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.18 Trojan/win32.agent.gen Emsisoft 5.1.0.8 2011.06.18 Downloader.Delphi!IK Ikarus T3.1.1.104.0 2011.06.18 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5
      116 |Ссылка| AntiVir 7.11.10.17 2011.06.20 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.20 Trojan/win32.agent.gen Emsisoft 5.1.0.8 2011.06.20 Downloader.Delphi!IK eSafe 7.0.17.0 2011.06.19 Win32.DRDelphi Ikarus T3.1.1.104.0 2011.06.20 Downloader.Delphi Jiangmin 13.0.900 2011.06.19 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.20 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.19 Artemis!3918A65C62C6 Panda 10.0.3.5 2011.06.19 Suspicious file |Ссылка| AntiVir 7.11.10.17 2011.06.20 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.20 Trojan/win32.agent.gen eSafe 7.0.17.0 2011.06.19 Win32.DRDelphi Ikarus T3.1.1.104.0 2011.06.20 Downloader.Delphi Jiangmin 13.0.900 2011.06.19 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.20 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.19 Artemis!CC7BF11E7007 Panda 10.0.3.5 2011.06.19 Suspicious file Sophos 4.66.0 2011.06.20 Mal/Generic-L Symantec 20111.1.0.186 2011.06.20 Suspicious.Cloud.5
      141 |Ссылка| AntiVir 7.11.10.42 2011.06.21 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.21 Trojan/win32.agent.gen eSafe 7.0.17.0 2011.06.19 Win32.DRDelphi Ikarus T3.1.1.104.0 2011.06.21 Downloader.Delphi Jiangmin 13.0.900 2011.06.20 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.21 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.20 Artemis!3918A65C62C6 Panda 10.0.3.5 2011.06.20 Suspicious file Symantec 20111.1.0.186 2011.06.21 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.10.42 2011.06.21 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.21 Trojan/win32.agent.gen DrWeb 5.0.2.03300 2011.06.21 Trojan.MulDrop2.33607 eSafe 7.0.17.0 2011.06.19 Win32.DRDelphi Ikarus T3.1.1.104.0 2011.06.21 Downloader.Delphi Jiangmin 13.0.900 2011.06.20 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.21 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.20 Artemis!CC7BF11E7007 Panda 10.0.3.5 2011.06.20 Suspicious file Sophos 4.66.0 2011.06.21 Mal/Generic-L Symantec 20111.1.0.186 2011.06.21 Suspicious.Cloud.5
      168 |Ссылка| AntiVir 7.11.10.66 2011.06.22 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.22 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.22 Downloader.Delphi Jiangmin 13.0.900 2011.06.22 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.22 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.22 Artemis!3918A65C62C6 Panda 10.0.3.5 2011.06.21 Suspicious file Symantec 20111.1.0.186 2011.06.22 Suspicious.Cloud.5 |Ссылка| AntiVir 7.11.10.66 2011.06.22 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.22 Trojan/win32.agent.gen DrWeb 5.0.2.03300 2011.06.22 Trojan.MulDrop2.33607 eSafe 7.0.17.0 2011.06.21 Win32.DRDelphi Ikarus T3.1.1.104.0 2011.06.22 Downloader.Delphi Jiangmin 13.0.900 2011.06.22 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.22 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.22 Artemis!CC7BF11E7007 Panda 10.0.3.5 2011.06.21 Suspicious file Sophos 4.66.0 2011.06.22 Mal/Generic-L Symantec 20111.1.0.186 2011.06.22 Suspicious.Cloud.5
      [/table]




      Ответ на запрос по веб-форме

      Первыми ласточками по веб-формам были Avira, Sophos, DrWeb, QuickHeal и ESET. Из них автоматическими службами первичного анализа, а не живыми аналитиками оказались DrWeb, Sophos и Avira, о чём они честно признались в ответе. Следует особо отметить Sophos: несмотря на то, что отвечал автомат, они предоставили протокол, в котором указали, что детектируются и дроппер TDL4 (Troj/TDSS-HI) и наш упакованный образец (Troj/Bckldr-RHW). DrWeb просто обозвали образец Trojan.Downloader3.31146. Avira поставили свой диагноз, как и на ложном срабатывании (см. выше).

      Norman прислали краткий результат анализа в песочнице, согласно которому ничего вредоносного обнаружено не было. Порекомендовали обратиться в местное отделение компании Norman для анализа вручную – видимо уверены, что лечение нам интересно куда более чем им, как представителям антивирусной компании. Agnitum сразу подтвердили получение файла, но только спустя 50 ч (!!!) пришло сообщение, что файл передан аналитикам. Непонятно, что делалось до этого времени. BitDefender сделали то же самое, но спустя 51 ч – видимо, это становится модным.

      Поскольку DrWeb и Sophos разделили пальму первенства, но только по скорости работы автоматических систем анализа, то в качестве дополнительного задания мы направили им lsass.exe из Windows XP SP3 Pro Rus, упакованный по описанному выше алгоритму. Отправка была произведена 16 июня 2011 года в 15:30 МСК.

      Ответ о принятии образца пришёл опять довольно быстро, но вот результаты анализа отличились: Sophos, которые в прошлый раз управились всего на 20 минут быстрее DrWeb, в этот раз обогнали его радикально – ответ мы получили примерно за час от Sophos, а от DrWeb не получили вообще. Справедливости ради отметим, что автор, отправлявший на исследование в Sophos упакованный lsass.exe, вначале ошибся и отправил упакованный winhlp.exe, но без дополнительного сжатия UPX. Так вот, несмотря на присвоения номера обращения, на winhlp.exe ответ от Sophos получен тоже не был.

      Тем не менее, к сожалению, тест показал, что Sophos заклеймили безобидный файл грозным именем Troj/Agent-SBK, но, правда, показал, что упакованный lsass.exe – чистый. Результат разочаровал: несмотря на один и тот же метод упаковки файл получил разные детекты – значит, детектируется не алгоритм упаковки. С другой стороны – последний файл не нёс никакого вреда, значит Troj/Agent-SBK – ложное срабатывание, сгенерированное автоматической системой. При этом распаковка вложенного файла должного впечатления не произвела – для этого образец достаточно было запустить: никакой процедуры сокрытия распакованного файла и/или его удаления по окончании работы нами не предусматривалось, в отличие от реальных дропперов.

      В QuickHeal ответил настоящий живой человек по имени Rahul! Ответил он весьма скудно, что образец вредоносен, детект будет добавлен вечером, а наше обращение теперь закрыто с low priority.( низкий приоритет)

      Немного отдельно стоит ответ G-Data, которые спросили пароль на архив. После этого углубились в изучение на почти сутки (19 ч), но в итого признали файл вредоносным. В eScan такое изучение длилось 40 ч, итог – Trojan.Agent.Dropper.BBH.

      И былинно провалили тест ESET, объявив файл не вредоносным.

      Безошибочно файл признал трояном Fortinet через 7 ч, через 13 ч подоспели Avira со снятием ложного срабатывания, но вредоносный образец ещё не получил вердикт.

      Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

      Безвредный файл (notepad.exe):


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.66| 2011.06.22| -
      Antiy-AVL| 2.0.3.7| 2011.06.22| -
      Avast| 4.8.1351.0| 2011.06.22| -
      Avast5| 5.0.677.0| 2011.06.22| -
      AVG| 10.0.0.1190| 2011.06.22| -
      BitDefender| 7.2| 2011.06.22| -
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| -
      eSafe| 7.0.17.0 |2011.06.21| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| -
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| -
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| -
      McAfee-GW-Edition| 2010.1D| 2011.06.22| -
      Microsoft| 1.7000| 2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5 |2011.06.21| -
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| -
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| -
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| -
      [/table]


      Вредоносный файл (TDL4)интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял:


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.66| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.22| Trojan/win32.agent.gen
      Avast| 4.8.1351.0| 2011.06.22| Win32:Trojan-gen
      Avast5| 5.0.677.0| 2011.06.22| Win32:Trojan-gen
      AVG| 10.0.0.1190| 2011.06.22| Generic4_c.PYB
      BitDefender| 7.2| 2011.06.22| Trojan.Agent.Dropper.BBH
      CAT-QuickHeal| 11.00| 2011.06.22| TrojanDropper.TDSS.kl
      ClamAV| 0.97.0.0 |2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| Trojan.DownLoader3.31142
      eSafe| 7.0.17.0 |2011.06.21| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| Trojan.Agent.Dropper.BBH
      Fortinet| 4.2.257.0| 2011.06.22| W32/Dropper.8CC0!tr
      GData| 22| 2011.06.22| Trojan.Agent.Dropper.BBH
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| Artemis!E2C552F77F23
      McAfee-GW-Edition| 2010.1D| 2011.06.22| Artemis!E2C552F77F23
      Microsoft| 1.7000| 2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Trj/CI.A
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| -
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| Trojan.Win32.Generic!BT
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| Trojan.Agent!Gu4rKvdJ1c4
      [/table]


      Ответ на запрос по электронной почте

      Из ответов на электронную почту следует выделить Avira, ответ которой, цитируем, был следующим:

      Автомат DrWeb присвоил образцу из электронной почты точно тот же детект, что и присланному по веб-форме - Trojan.Downloader3.31146 (несмотря на разную природу упакованных дропперов и то, что по сути образцы ничего из сети не качают). Автомат Sophos не был столь исчерпывающим, как в ответе на веб-форму, сказав, что "файл вредоносен по своей природе", но не указав что и где, собственно, вредоносно. С другой стороны «порадовали» McAfee, прислав некое подобие графика, где показано, что результат автоматического исследования "inconclusive"( неокончательный), а потому файл передан аналитикам. Больше от них мы ничего не получали…

      ESET – по-прежнему всё считают не вредоносным. Искренне надеемся, что наш эксперимент не заразил лабораторию ESET троянцами TDL4 и SpyEye.

      Нас порадовали ВирусБлокАда – белорусы ответили очень быстро, признав файл невредоносным (!!!), однако спустя 20 минут аналитик прислал письмо, где сообщил, что файлу всё-таки присвоили детект. Никаких пояснений, никаких извинений – суровые белорусские парни! Аналогичным, но значительно медленнее – но и вежливее – были eScan, который спустя 16 ч признал файл безопасным, но не успели мы открыть шампанское, как спустя 20 мин вирлаб извинился и сообщил, что после повторного анализа файл признан вредоносным и получил детект – Trojan.Agent.Dropper.BBI. Пришлось опять пить кофе вместо шампанского, но недолго – спустя 25 ч мы получили абсолютно аналогичный детект Trojan.Agent.Dropper.BBI от GData. Кто у кого списал ответ – ответить не берёмся. Интересно, что обработка образца, отправленного eScan по почте, намного меньше времени, чем при отправке по веб-форме (см. выше).

      AVG спустя почти двое суток разрушили молчание и сообщил о детекте, Agnitum же, как и в случае отправки по форме, только через 50 часов передали образец аналитикам на рассмотрение – и с концами. Впрочем, как видно, в таком поведении они не одиноки.

      Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

      Безвредный файл (cmd.exe):


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.67| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.22| Trojan/win32.agent.gen
      Avast| 4.8.1351.0| 2011.06.22| -
      Avast5| 5.0.677.0| 2011.06.22| -
      AVG| 10.0.0.1190| 2011.06.22| -
      BitDefender| 7.2| 2011.06.22| -
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| -
      eSafe| 7.0.17.0| 2011.06.21| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| -
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| -
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| -
      McAfee-GW-Edition| 2010.1D| 2011.06.22| -
      Microsoft| 1.7000| 2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Suspicious file
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| -
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| -
      [/table]


      Вредоносный файл (SpyEye)интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял:


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.67| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.22| Trojan/win32.agent.gen
      Avast| 4.8.1351.0| 2011.06.22| Win32:Malware-gen
      Avast5| 5.0.677.0| 2011.06.22| Win32:Malware-gen
      AVG| 10.0.0.1190| 2011.06.22| Dropper.Generic_c.KUX
      BitDefender| 7.2| 2011.06.22| Trojan.Agent.Dropper.BBI
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| Trojan.DownLoader3.31146
      eSafe| 7.0.17.0| 2011.06.21| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| Trojan.Agent.Dropper.BBI
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| Trojan.Agent.Dropper.BBI
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| Artemis!40FBC78197E1
      McAfee-GW-Edition| 2010.1D| 2011.06.22| Artemis!40FBC78197E1
      Microsoft| 1.7000| 2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Trj/CI.A
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| -
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| Trojan.Win32.Generic!BT
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| Trojan.Agent!gH7U3i81F8M
      [/table]


      Ответ на запрос на vendors<at>malware-research.co.uk

      Полная тишина длилась почти пять часов. Ни благодарностей, ни отчётов о проблемах с доставкой – ничего. И лишь потом лениво поползли отчёты вирусных лабораторий. Первым пришёл DrWeb, которые сообщили о приёме на исследование, которое, забегая вперёд, длилось час и закончилось детектом от автоматической системы – но тут почему-то диагноз был не троян-даунлоадер, а Trojan.AVKill.6773. Почти одновременно с Вебом ответили CA Technologies и Лаборатория Касперского о приёме на анализ, но результатов не прислали. А теперь – сенсация: McAfee признали файл чистым! При чём традиционно отписались графиком автомата, но ниже – уже с припиской аналитика о чистоте.

      Спустя семь (!!!) часов ответили Avira – так же, как и в случае прямого обращения по электронной почте, набором html-тегов, потому понять, принят файл на анализ или нет не представляется возможным.

      Один из авторов этой статьи помнит времена, когда отправка на vendors<at>malware-research.co.uk вызывала буквально сразу шквал ответов от вирлабов, а потому, принимая настоящие задержки и скудность реакции можно утверждать, что данный адрес как средство отправки и изучения новых зловредов больше использоваться не может.

      Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal. Итак, Kolab считают:


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.67| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.22| -
      Avast| 4.8.1351.0| 2011.06.22| Win32:Malware-gen
      Avast5| 5.0.677.0| 2011.06.22| Win32:Malware-gen
      AVG| 10.0.0.1190| 2011.06.22| -
      BitDefender| 7.2| 2011.06.22| -
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| Heur.Suspicious
      DrWeb| 5.0.2.03300| 2011.06.22| Trojan.AVKill.6773
      eSafe| 7.0.17.0| 2011.06.21| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| -
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| Win32:Malware-gen
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| -
      McAfee-GW-Edition| 2010.1D| 2011.06.22| -
      Microsoft| 1.7000| 2011.06.22| Trojan:Win32/Ircbrute
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Trj/CI.A
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| -
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| -
      [/table]


      Развитие событий на VirusTotal

      Ни для кого не секрет, что ресурсы типа VirusTotal отправляют все неизвестные образцы ведорам. Как правило, онлайновые мультисканеры, которые не поступают так же, либо платные, либо не отличаются количеством антивирусных движков. Закономерно, что, отправив образец на VirusTotal, мы ожидали некое изменение в списке детектируемых угроз.

      В принципе, так и случилось. Только не совсем так, как мы ожидали. При повторной загрузке исследуемых файлов спустя 4 часа, обнаружилось следующее: перепакованный GPCode.ax стали узнавать эвристикой Ikarus и Emsisoft (детект последних как Downloader.Delphi!IK навевает на мысли, у кого на букву "Ik" этот детект был позаимствован, но на несчастном упакованном regedit.exe оказалось, что детект – просто общая тенденция на упаковщик, что в последнем случае просто привело к ложному срабатыванию. Странно и интересно, но в этом случае Emsisoft свои данные почему-то не предоставили вообще.

      Через 10 часов подтянулись и облачные детекты McAfee – к сожалению, опять же на безобидный regedit.exe. Появился и характерный детект от Emsisoft. Для вредоносного GPCode.ax ситуация выровнялась: оба файла по мнению VirusTotal одинаково вредоносны, однако теперь почему-то для вредоноса в отчёте опять исчез Emsisoft.

      Обнаружилось, что, по-видимому, у VirusTotal какая-то ограниченная договоренность с Emsisoft, поскольку результаты сканирования этим движком показываются через раз – через два без какой бы то ни было системы. По той причине, что детект Emsisoft давал на оба образца – и безвредный и вредоносный, а строка с детектом от этого движка появлялась совершенно случайным образом, больше мы не обращали внимание на этот детект, считая его не показательным.

      Несмотря на то, что Avira сняли детект на ложное срабатывание через 13 ч с момента начала эксперимента, скан безвредного regedit на VirusTotal спустя 17 ч не показал никаких улучшений. Картина для вредоносного файла осталась той же.

      Более или менее интересная картина обнаружилась спустя 44 ч: появился одинаковый детект на оба образца со стороны Ikarus – и о чудо! – Sophos эвристиком стали подозревать вредоносный файл и при этом пропускать безвредный. Это значительно воодушевило болельщиков за Sophos в нашей команде, после некоторого ропота, возникшего в результате детекта на упакованный lsass.exe, о чём писалось выше.

      Примерно через 5 суток Panda стали давать как верный, так и ложный эвристический детект (при этом ответа на прямое обращение по почте от них мы ещё так и не получили, несмотря на подтверждение о получении). eSafe тоже стали подозревать оба образца. При этом, «облачный» детект от Symantec почему-то остался только на вредоносном образце, в случае же безвредного файла результаты сканирования движком Symantec вообще приведены не были, что составило компанию уже наблюдавшейся ситуации с Emsisoft. Позже такая же ситуация повторилась и с eSafe (см. ниже). Воистину, VirusTotal – такой Total…

      Через 6 суток наступил праздник вредоносный образец стал детектироваться со стороны DrWeb - Trojan.MulDrop2.33607. При этом безвредный образец Веб пропустил, что весьма обрадовало болельщиков этой команды. Имя детекта, отличное от «даунлоадеров», которые мы получили в ответ на запрос по веб-форме и почте, косвенно указывает, что образец был разобран аналитиками, а не автоматической системой.

      Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

      Безвредный файл (regedit.exe):


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.66| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7|2011.06.22| Trojan/win32.agent.gen
      Avast| 4.8.1351.0| 2011.06.22| -
      Avast5| 5.0.677.0| 2011.06.22| -
      AVG| 10.0.0.1190| 2011.06.22| -
      BitDefender| 7.2| 2011.06.22| -
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| -
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| -
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| -
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| Artemis!3918A65C62C6
      McAfee-GW-Edition| 2010.1D| 2011.06.22| Artemis!3918A65C62C6
      Microsoft| 1.7000| 2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Suspicious file
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| -
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| -
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| -
      [/table]


      Вредоносный файл (SpyEye):


      [table 1 2 0]AhnLab-V3| 2011.06.22.02| 2011.06.22| -
      AntiVir| 7.11.10.66| 2011.06.22| DR/Delphi.Gen
      Antiy-AVL| 2.0.3.7| 2011.06.22| Trojan/win32.agent.gen
      Avast| 4.8.1351.0| 2011.06.22| -
      Avast5| 5.0.677.0| 2011.06.22| -
      AVG| 10.0.0.1190| 2011.06.22| -
      BitDefender| 7.2| 2011.06.22| -
      CAT-QuickHeal| 11.00| 2011.06.22| -
      ClamAV| 0.97.0.0| 2011.06.22| -
      Commtouch| 5.3.2.6| 2011.06.22| -
      Comodo| 9154| 2011.06.22| -
      DrWeb| 5.0.2.03300| 2011.06.22| Trojan.MulDrop2.33607
      eSafe| 7.0.17.0| 2011.06.21| Win32.DRDelphi
      eTrust-Vet| 36.1.8400| 2011.06.22| -
      F-Prot| 4.6.2.117| 2011.06.22| -
      F-Secure| 9.0.16440.0| 2011.06.22| -
      Fortinet| 4.2.257.0| 2011.06.22| -
      GData| 22| 2011.06.22| -
      Ikarus| T3.1.1.104.0| 2011.06.22| Downloader.Delphi
      Jiangmin| 13.0.900| 2011.06.22| Backdoor/Hupigon.bhsf
      K7AntiVirus| 9.106.4831| 2011.06.21| -
      Kaspersky| 9.0.0.837| 2011.06.22| -
      McAfee| 5.400.0.1158| 2011.06.22| Artemis!CC7BF11E7007
      McAfee-GW-Edition| 2010.1D| 2011.06.22| Artemis!CC7BF11E7007
      Microsoft| 1.7000|2011.06.22| -
      NOD32| 6228| 2011.06.22| -
      Norman| 6.07.10| 2011.06.22| -
      nProtect| 2011-06-22.02| 2011.06.22| -
      Panda| 10.0.3.5| 2011.06.21| Suspicious file
      PCTools| 8.0.0.5| 2011.06.22| -
      Prevx| 3.0| 2011.06.22| -
      Rising| 23.63.02.03| 2011.06.22| -
      Sophos| 4.66.0| 2011.06.22| Mal/Generic-L
      SUPERAntiSpyware| 4.40.0.1006| 2011.06.22| -
      Symantec| 20111.1.0.186| 2011.06.22| Suspicious.Cloud.5
      TheHacker| 6.7.0.1.237| 2011.06.22| -
      TrendMicro| 9.200.0.1012| 2011.06.22| -
      TrendMicro-HouseCall| 9.200.0.1012| 2011.06.22| -
      VBA32| 3.12.16.2| 2011.06.22| -
      VIPRE| 9656| 2011.06.22| -
      ViRobot| 2011.6.22.4527| 2011.06.22| -
      VirusBuster| 14.0.90.0| 2011.06.21| -
      [/table]

    5. ВЫВОДЫ


      После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов. Связано это с тем, что итог оказался вовсе не тем, который мы ожидали: довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали. Некоторые вирусные лаборатории откровенно забили на ответ, хотя добавили детект (за что спасибо), а некоторые – даже не потрудились рассмотреть образец. Эвристические анализаторы, «облачный» анализ и эмуляторы автоматических систем оказались в большей степени генераторами ложных детектов, чем полноценной защитой. Авторам несколько непонятно, на что уходят основные трудовые силы и финансовые ресурсы, а также чем занимаются аналитики ведущих антивирусных компаний. Вспоминается старая история о том, зачем быстро убирать мусор – иначе люди поймут ненадобность дворников….

      Отдельно – и с натяжкой – хотелось бы выделить лаборатории DrWeb и Sophos. Неплохие результаты показали Fortinet, eScan, VBA и GData. Просто поразительно неожиданный результат у QuickHeal. Остальные вендоры весьма невпечатляющи, а некоторые (например, Eset, McAfee) – частично или полностью провалили тест.

      Забавной оказалась ситуация с VT: учитывая, что «Date first seen: 2011-06-15 12:38:56 (UTC) / Date last seen: 2011-06-15 13:46:47 (UTC)», что отвечает 16:38 МСК, похоже, что какой-то из вирлабов просто «уточняет» информацию у VT перед тем, как самим начать изучать. Это однозначно не DrWeb, CA Technologies, Лаборатория Касперского, Avira или McAfee – поскольку эти лаборатории получили файл по каналу vendors<at>malware-research.co.uk, но он на VT ранее «засвечен» не был. В любом случае, такая отсылка не повредила тесту, поскольку практически все лаборатории уже получили образцы по вполне официальным путям.

      Понимая некоторую возможную скандальность материала, вся переписка с вендорами и оригинальные ответы сохранены и могут быть предоставлены по первому требованию. Мы сознательно не привели ни имён вирусных аналитиков, ни номеров обращений в тексте, чтобы не создавать проблем у конкретных сотрудников вирусных лабораторий, однако мы можем это сделать в случае, если материал этой статьи будет подвержен сомнению с точки зрения правдоподобности.

      Предлагаем читателям самостоятельно сделать выводы из приведённой информации. А от себя просто опубликуем картинку, авторство которой принадлежит компании Ikarus в относительно недалёком 2008 году.

    [​IMG]

    Авторы весьма благодарны всем, кто участвовал в написании статьи, критиковал её и вносил замечания. Вас немного – но большое вам СПАСИБО!


    ______________________________
    Обзор подготовлен на базе ресурса SafeZone, который оказывает безвозмездную помощь в лечении "вирусов", производит обучение пользователей основам удаления вредоносного ПО и является членом ассоциации VIRUSNET.
     
    Последнее редактирование: 26 июн 2011
    32 пользователям это понравилось.
  2.  
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Лучший автор месяца

    Сообщения:
    5.003
    Симпатии:
    8.288
    VirusTotal © Hispasec Sistemas

    Какой-то — это вирлаб вендора-земляка Hispasec Sistemas - Panda (Испания). Они не только уточняют, они и получают информацию от VT сразу же, как только один из ведущих вендоров первой антивирусной десятки что-нибудь задетектит.

    В таком случае Panda сразу ставит свой любимый детект — Suspicious file. См. на результаты в таблице — кто-то ещё сомневается? :)
     
    Последнее редактирование: 25 июн 2011
    1 человеку нравится это.
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.759
    Симпатии:
    8.467
    На это скоро, думаю тоже протестируем, повендорно:)
     
  5. Сергей Без_фамилии
    Оффлайн

    Сергей Без_фамилии Активный пользователь

    Сообщения:
    1
    Симпатии:
    0
    Пару лет назад бый пойман один из зловредов бот сети досившей вебмани украинский. Тоже разсылал по лабам, чтобы включили в детект. Те адресаты, кому был выслан тоже есть в списке и совершенно без изменений. :)
     
  6. MadMaks
    Оффлайн

    MadMaks Активный пользователь

    Сообщения:
    150
    Симпатии:
    13
    Я как думаете, не мог сбить с толку адрес safezone.cc.
    Разработчики подумали, что это не проверка на оперативность, а розыгрыш всем известного и далеко не глупого ресурса, специализирующегося на лечении и обучении...
    И не стали реагировать.
     
  7. Voldemar2007-72
    Оффлайн

    Voldemar2007-72 Активный пользователь

    Сообщения:
    206
    Симпатии:
    356
    Спасибо за тест, очень опознавательный. Последнее время считаю,что лучший антивирус тот кто быстрее и чаще обновляет базы. Только не пойму из бесплатников получается АВИРА в впереди, я правильно понял ???
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.759
    Симпатии:
    8.467
    Зловреды посылались не пачкой сразу всем, а один вендор, одно письмо.
     
  9. AS007
    Оффлайн

    AS007 Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Хороший тест и отличная статья.
    Вот чего здесь не увидел, так это про AV Kaspersky, ну кроме того,
    что получен отчёт о приёме файла и таблицы с VT,
    за то NOD32 провалил..., странно, Вам так не кажется.
    Если писать, так писать про всех, если нет ответа - значит нет ответа
    или Вы не хотите писать про ЛК?
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.020
    Симпатии:
    13.683
    AS007, прошу прощения за скрытый пост, вас антиспам поймал :)

    ЛК не удосужило нас ответом на наши запросы как и часть других вендоров. В данном тесте не выделялись любимчики.

    P>S> ЛК только сегодня добавила детект :)
     
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Лучший автор месяца

    Сообщения:
    5.003
    Симпатии:
    8.288
    Представляю, как эти больше всех упрямились и не хотели признавать актуальность и злободневность проведённого теста. :D

    Добавлено через 4 минуты 32 секунды
    Честно говоря, большая половина вендоров, представленных в VT, в этом плане ленивы и абсолютно бесполезны. Они каким-то хитрым образом прописались в список VT и не делают никакой погоды. Тратить на них время — себя не уважать.
    И непонятно какого рожна VT вмантурил в себя устаревшие версии антивирусных движков и, некоторых, ещё по две штуки. :facepalm:
     
    Последнее редактирование: 26 июн 2011
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.020
    Симпатии:
    13.683
    Есть немного. :)
     
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Лучший автор месяца

    Сообщения:
    5.003
    Симпатии:
    8.288
    Это я к тому, что если бы на VT распространялась моя воля, то убрал бы из списка VirusTotal'а этих ленивцев и всяких там бесполезных двойников, и заменил их ещё примерно таким же количеством других вендоров, о которых большинство людей в Рунете даже и не слышало никогда. И ребятам бы не пришлось тратить своё личное-драгоценное время на отправку семплов в... пустоту.

    Возможно, тогда мир открыл бы для себя ещё не один КвикХил. :)
     
    Последнее редактирование: 26 июн 2011
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.020
    Симпатии:
    13.683
    + оперативно обновляли АВ движки для сканирования :)
     
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Лучший автор месяца

    Сообщения:
    5.003
    Симпатии:
    8.288
    ОК. А то получается как в басне "Лебедь, Щука и Рак". Энтузиасты стараются, а у Тотала воз и ныне там.
     
  16. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    628
    Симпатии:
    818
    Ну кого дали - теми и пользуются :) Тем паче, что новые движки могут и не поддерживаться в командной строке (а на VT именно такие и используют).

    И не говорите. На АМ остались хроники баталий :)
     
    1 человеку нравится это.
  17. AS007
    Оффлайн

    AS007 Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Я вообще подумал модерируется, и как бы не переживал, но всё равно спасибо.
    У антиспама реакция на слова - Kaspersky и NOD32, может так оно и есть :D
    Я отправлю через веб и мне приходят ответы, из последних что осталось, потому как не складирую это.
    НОД32 (когда отправил, не помню, по времени)
    Помню, что в архиве и с паролем virus, а не infected, в письме это указал.
    26 Июн 2011 19:22:35
    Здравствуйте.
    Ваше обращение зарегистрировано под номером ххх ххх

    26 Июн 2011 22:18:43
    Присланный Вами вирус определяется с версией базы данных сигнатур вирусов № хххх
    -------
    Они отвечают по разному, от нескольких часов, до нескольких дней.
    Я не то что бы проверить их работоспособность и Вашу статью, постоянно им отправляю.
    Может потому что лето, и аналитики в отпуске и роботы перегреваются, шучу конечно, но всё может быть :)
    Предлагаю повторный тест в сентябре, и сравнить, что изменилось за 2 месяца лета.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.020
    Симпатии:
    13.683
    Думаю это сильно большой перерыв :)
     
  19. AS007
    Оффлайн

    AS007 Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    За то лето, закончится. Может стоит в тесте использовать известные почтовые сервисы - майл, яндекс, рамблер, гмайл, возможно это тоже влияет.

    Ну а это, так, для закрепления материала)
    27 Июн 2011 18:10:28
    Virus Monitoring Service Doctor Web Ltd.
    Это сообщение автоматически сформировано в ответ на Ваш запрос
    ...
    Вашему запросу назначен идентификатор [drweb.com #ХХХХХХХ].

    27 Июн 2011 19:09:14
    Ivan Sorokin - Virus Monitoring Service Doctor Web Ltd.
    Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

    В обоих случаях отправлялись баннеры.
    На ЛК пока не чего нет, т.е. не чего не отправлял.
    ЛК на момент отправки обоих баннеров, уже их определял, может они их пишут :)
    Всё, в этой теме больше спамить не буду :victory:
     
  20. TavapHяk
    Оффлайн

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Скажем так, протестировать 1 сентября. Это день знаний, вот и проверить их всех на знания. [​IMG][​IMG]
    А F-Prot, что вообще промолчал?
     
    1 человеку нравится это.
  21. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Лучший автор месяца

    Сообщения:
    5.003
    Симпатии:
    8.288
    Секрет данного явления прост и очевиден, т.е. оказывается F-Prot такие быстрые, что мы просто не успеваем увидеть этого детекта. Молниеносно проскальзывает! :)

    Видишь суслика, нет? А он есть!
     

Поделиться этой страницей