# Тест на скорость реакции АВ компаний при получении сэмпла на электронную почту



## Severnyj

Сэмпл вчера в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме. Тест проводился для проверки автоматического ответа о наличии заражения.

Итог печален, несмотря на то, что 6 вендоров прислали автоматическое уведомление о принятии тикета на рассмотрение (сообщения немного сокращены):



Спойлер: Подробнее




*Kaspersky Lab*



> Hello,
> 
> This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
> 
> 2cd31ca700e2528cc356e50d5c24150c,
> 
> These files are in process.
> 
> Best Regards, Kaspersky Lab



*CA Technologies*



> Dear customer,
> 
> Thank you for submitting sample to CA.
> We have received your samples and will be responding to you shortly.
> Your SetID is 1693590
> 
> Set contains following files(file-identifier, file-name)
> 23332456 /send/2cd31ca700e2528cc356e50d5c24150c
> 
> Sincerely,
> CA Virtue Team.



*Zillya!*



> Доброго дня,
> 
> Це повідомлення було сгенеровано автоматично внаслідок створення наступного тікета:
> "suspecious",
> увесь текст якого наведено нижче.
> 
> З повагою,
> rt-submit@zillya.com



*eScan MicroWorld Technologie*



> Thank you for contacting us. This is an automated response confirming the receipt of your ticket. One of our agents will get back to you as soon as possible. For your records, the details of the ticket are listed below. When replying, please make sure that the ticket ID is kept in the subject line to ensure that your replies are tracked appropriately.
> 
> Ticket ID: AVI-318129
> Subject: suspecious
> Department: Samples
> Priority: Normal
> Status: Open
> 
> Kind regards,
> 
> eScan Samples Department.



*McAfee*



> McAfee Labs - Beaverton
> Current Scan Engine Version:5400.1158
> Current DAT Version:6374.0000
> Thank you for your submission.
> 
> Analysis ID: 6661198
> 
> File Name Findings Detection Type Extra
> 2cd31ca700e2528cc356|inconclusive | | |no
> 
> inconclusive [2cd31ca700e2528cc356e50d5c24150c]
> 
> Automated analysis was not able to determine that this file is malware. This file is
> being sent for further processing and the DAT files will potentially be updated if
> detection of this sample is warranted.



*ESET*



> Здравствуйте.
> Ваше обращение зарегистрировано под номером 453 898
> Пожалуйста, не отвечайте на данное сообщение и дождитесь ответа на Ваш вопрос от специалистов.
> 
> С уважением, Служба технической поддержки
> ESET Russia.







Ответ о наличии вредоносного кода в файле прислал только AVG, сегодня в 12.20:



Спойлер: Подробнее






> Dear sir,
> 
> Thank you for your email.
> 
> We would like to inform you that the file attached to your previous e-mail was infected. Detection of the infection will be available with one of the upcoming AVG virus definitions updates. AVG updates are released in reaction to the amount and severity of new threats. We recommend checking for new updates at least once a day. Checking every 4 hours will guarantee that your AVG Virus Database is kept up-to-date.
> 
> Thank you for your cooperation.
> 
> David Machac
> AVG Customer Services
> http://www.avg.com






PS. Текущее определение файла:


*ArkaVir* - Generic.23.2063
*DrWeb* - Trojan.Starter.1702
*MBAM* - Trojan.Downloader


Анализ на Anubis
Анализ на ThreatExpert


----------



## akok

Грустно как-то выглядит.


----------



## Severnyj

*Чуть-чуть оффтопика*

Чуть не по теме, но все равно напишу, потому, как в Юмор надо.
Ответ из Avast на отправленные в пятницу зловреды (выделено мной):



> Здравствуйте,
> 
> Спасибо за Ваше письмо.
> 
> Мы получили от вас файлы. Некоторые из них уже *обнажаем*, другие будут добавленные в вирусной базы данных.
> 
> Спасибо большое!
> 
> С уважением,
> 
> Ewelina Wrzosek
> Technical Support
> AVAST Software a. s.
> www.avast.com



_Добавлено через 9 минут 38 секунд_
Тест завершен, отправил сэмпл через формы.

Добавился 


*BitDefender* - Trojan.Ircbot.AAQ


----------



## S.R

*Severnyj*, увы, но эта статистика более чем на 90% отражает реалии происходящего.. 
отсылаешь файлы в вирлаб, а тебе кроме автоответчика ничего..


----------



## akok

С какого ящика отправлялись семплы?


----------



## Severnyj

Gmail.com

Все пожелания насчет упаковки в архив и установки паролей выполнялись.
Адресная книга поделена на группы virus и infected


----------



## gjf

Детект ArkaVIR - явно эвристический. То же касается МВАМ.
Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме. 

Что касается результата - он не печальный, а вполне закономерный. Я понимаю, сколько обращений идёт по почте вендорам, но всё равно - ситуацию надо как-то решать. И именно по этой причине было бы любопытно сравнить с результатами полноценного обращения по форме. Тогда не отмажешься 

Уже озвучивал Константину пожелания по проведению подобного рода тестов, надеюсь, что работу можно будет как-то организовать и написать на эту тему добротный пост. А уж распространить его везде и всюду - я постараюсь...


----------



## Severnyj

gjf написал(а):


> Детект ArkaVIR - явно эвристический. То же касается МВАМ.
> Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме.





> в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме.



В том-то и дело, что отправил почти всем, а автоматический регистратор работает только у этих 6-ых, но отправка других сэмплов показала, что хорошо работает регистратор еще у Fortinet (присылают данные о принятия тикета и данные об обнаружении зловреда, но имя зловреда не указывают) и у VirusBuster, но сообщение приходит на венгерском языке, еще забыл про Доктора Веба, но сэмпл был в его базах, поэтому не отправлялся.

По сравнению "почта - форма" скажу, что тот же Sophos не предпринял никаких действий при отправке сэмпла на почту, но при отправке через форму регистрация и добавление произошли как всегда очень быстро - в течение 2 - 4 часов.



Спойлер: Пример ответа






> Hello,
> 
> Thank you for contacting Sophos Technical Support.
> 
> **Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.**
> 
> The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly.
> 
> * 2cd31ca700e2528cc356e50d5c24150c -- identity created/updated (New detection Troj/Agent-RZW)
> * msdn.exe -- identity created/updated (New detection Troj/Agent-RZW)






Схожая ситуация и у BitDefender, разве, что сообщение не столь информативное:



Спойлер: Пример ответа






> Dear Customer,
> 
> Thank you for your interest in our security solution, BitDefender.
> 
> File is already detected.
> 
> Best regards,
> 
> George Poienaru
> BitDefender Technical Support Engineer






Немного расстраивает в последнее время Comodo, ответов-то от них никогда не приходило, но в последнее время и в базы ничего не добавляют из присланного, как по почте, так и по форме.

У eScan уже 2 или 3 раза резался файл сэмпла отправленный через форму, надо попробовать отправку запароленного архива.

У McAfee регистрация и распаковка полностью автоматизирована и при указании неверного пароля на архив приходит сообщение об ошибке.
Также пользователю сообщается, что пока файл на анализе, пользователь при большом подозрении на зловредность высланного сэмпла может скачать индивидуальное обновление, которое будет детектировать подозрительный файл на его компьютере.

В последнее время начали приходить ответы и от Майкрософт, но только при отправке по форме. Ответы достаточно информативны, хотя и приходят с опозданием на 1 - 2 дня.



Спойлер: Пример ответа






> Analysis of the file(s) in Submission ID MMPC11061326513685 is now complete.
> 
> This is the final email that you will receive regarding this submission.
> 
> The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 6/13/2011 5:01:14 AM Pacific Time.
> Below is the determination for your submission.
> 
> ========
> Submission ID MMPC11061326513685
> 
> Submitted Files
> =============================================
> 2cd31ca700e2528cc356e50d5c24150c [Backdoor:MSIL/IRCbot.A]
> 
> The following links contain more information regarding the detections listed above:
> http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Backdoor:MSIL/IRCbot.A






К моему сожалению тестированием в основном могу заниматься только по выходным, а как показали первые тесты некоторые, особенно европейские компании по выходным не работают.


----------



## gjf

Похожая статистика на Хабре.

Народ, тема довольно интересна, если есть желание сделать подобный, добротный материал - я могу изложить основные критерии.


----------



## akok

*gjf*, тот тест абсолютно не информативен. Никто не знает (кроме разработчиков) на каком уровне детекта идет рассылка. Тем более проверки начались с !30! мая. За этот срок половину вендоров получили вреднос по другим путям (пауки, пользователи). Невозможно определить срок с какого момента к этому списку подключился VT.

_Добавлено через 2 минуты 4 секунды_


gjf написал(а):


> добротный материал - я могу изложить основные критерии.



Вечером займусь отбором семплов.


----------



## gjf

Короче, я уже всё сделал. Образцы у меня, детект я сбил, вредоносность очевидна.
Нужно сделать следующее.
Первый образец отправить во все вирлабы по почте, адрес - гугловский, вес правила по паролям и прочему соблюдать, ответ от вирлаба фиксировать, как и сохранять письмо в отправленных. Слать отдельными письмами, а не мультиполучателем.
Второй образец - оформить по форме на офсайте. Ссылки на эти формы можно увидеть здесь, например. При этом в качестве контакта указать другой акк на гуглопочте, все ответы вирлабов фиксировать с указанием времени.

Желательно, чтобы отправка по почте делалась максимально одновременно - возможно, следует задействовать нескольких человек, которые "сверят часы" по аське. То же касается и форм на офсайте.

Если рабочая группа, которая выполнит эту работу, сформируется, а также всё понятно - в асе обращайтесь, я выдам образцы. Но желательно чтобы это было быстро - в случае провала из-за непоняток и нескоординированности сбивать сигнатуры нынче непросто.


----------

