# Сравнение скорости реагирования лабораторий антивирусных компаний на новые угрозы



## gjf

*ВВЕДЕНИЕ*

В последнее время стало актуальным и по-своему модным изучение различных аспектов имеющихся на рынке антивирусов: скорости сканирования, ресурсоемкости, самозащиты, эффективности лечения и т.д. Не последним фактором, в свете растущего количества новых угроз, является скорость реагирования вирусных лабораторий на новые образцы зловредов.

Ранее проводились работы по оценки этой скорости реагирования с помощью таких сервисов, как VirusTotal. Однако эти работы имеют ряд недостатков:

сам VirusTotal заявляет о необъективности подобных исследований;
нет уверенности, что некоторым вирусным лабораториям исследуемые образцы не попали по другим каналам с более высоким приоритетом и/или раньше по времени.


По этой причине наша команда решила попытаться выполнить эту работу самостоятельно, максимально снизив риск влияния посторонних факторов.



*ПОДГОТОВКА ОБРАЗЦОВ*

Основную проблему для выполнения подобного исследования представляет собой поиск вредоносного образца, ранее неизвестного антивирусным компаниям. Проблема сложная, её решение – создание вредоноса самостоятельно, что противоречит убеждениям настоящей команды исследователей, либо упаковка существующего образца неким новым пакером/криптором, ранее неизвестного вендорам. Последнее и было взято на вооружение.

Существует множество алгоритмов, реализуемых в пакерах/крипторах. Как правило, распаковка подобных файлов чрезвычайно сложна, а в ряде случаев – нецелесообразна, что приводит к появлению детектов типа Krap, Packed, Black.a и т.д., то есть образец детектируется по методу упаковки и характерным сигнатурам пакера, а не по вредоносному коду. С одной стороны – это приводит к сравнительно быстрому анализу и детектированию вредоносного кода со стороны вирусных лабораторий, а также снижению нагрузки на систему пользователя антивируса в ходе процесса распаковки, с другой – к многочисленным ложным срабатываниям на пиратские кейгены/патчи, авторы которых скрывают свои наработки от конкурентов с помощью таких же пакеров/крипторов.

Авторами разработан оригинальный алгоритм упаковки, позволяющий сбить сигнатуры, заключавшийся в следующем:


Образец дроппера упаковывался в архив одним из популярных архиваторов с шифрованием содержимого и заголовка архива.
В единый исполняемый файл упаковывался как архив, так и утилита для разархивирования и скрипт на командном языке Windows, запускающий разархивирование с искомым паролем в %temp%, а затем запускающий собственно дроппер.
Полученный файл упаковывался UPX.


Детали обработки умышленно не публикуются по понятным причинам, однако заявляем, что работа по перепаковке одного образца не занимает более 1-2 минут.

В качестве исходных дропперов были выбраны образцы актуальных угроз: TDL4, GPCode.ax, Kolab и SpyEye 1.3. Для проверки ложного срабатывания аналогичным образом были упакованы файлы из дистрибутива Windows - regedit.exe, notepad.exe и cmd.exe.

Полученные экземпляры проверялись на физических (Windows XP Pro SP3 Rus с актуальными обновлениями) и виртуальных системах (та же система на VMWare Workstation 7.1.4 build 385536, хост – Windows 7 Ultimate SP1). Работоспособность образцов была подтверждена, в случае вредоносов система заражалась. Однако обращаем внимание на то, что несмотря на безусловную вредоносность полученных образцов, имеющийся на системе активный резидентный антивирус эффективно предотвращал заражение, своевременно детектируя распакованный дроппер и блокируя его последующий запуск. Системы HIPS также позволяют эффективно предотвратить заражение, однако для этого необходимо некоторое понимание происходящих процессов.

Подчёркиваем, что предлагаемая методика упаковки довольно убога, в реальности встречаются намного более успешные методы, позволяющие обойти как антивирус, так и HIPS. Однако, поставленную задачу – убрать детект – этот метод успешно выполнил и потому был применён в работе.


*ХОД ИССЛЕДОВАНИЯ*

Три различных перепакованных, как указано выше, образца вредоносов А, В, С и D, у которых расширение было изменено с "ехе" на "е_е" (за исключением образца D), были направлены в вирусные лаборатории по четырём каналам.


С корпоративного адреса на базе Google Mail s**orov<at>safezone.cc (буквы опущены во избежание спама) на vendors<at>malware-research.co.uk направлялся образец А, упакованный а zip-архив с паролем "infected" (здесь и далее пароли читать как без кавычек). В основе образца A был червь Kolab.
С корпоративного адреса на базе Google Mail iv**ov<at>safezone.cc (буквы опущены во избежание спама) на ящики вирусных лабораторий, указанные на официальных сайтах, направлялся образец В, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца B был троян SpyEye.
На официальных сайтах антивирусных компаний на соответствующих формах для сообщения о новой угрозе, был загружен образец С, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца С был дроппер TDL4. В качестве контактного адреса везде, где возможно, указывался корпоративный адрес на базе Google Mail p**rov<at>safezone.cc (буквы опущены во избежание спама).
На сайт VirusTotal был загружен образец D, детект на момент загрузки:





[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.15.00[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.9.204[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9074​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8387[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Jiangmin _
[/TD]
[TD valign="bottom"]13.0.900[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4812[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.6903[/TD]
[TD valign="bottom"] 2011.06.13[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6210​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-15.02[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"]2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 7.0.3.5[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.62.02.05[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.230[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.1[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9588​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.15.4513[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.80.1[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

В основе образца D был дроппер GPCode.ax.

Как показало предварительное исследование, Avira, Symantec и Jiangmin (последний в исследовании не участвовал) обнаруживают ложный детект на упакованный образец. Доказательством этого может служить аналогичный детект для безвредного файла (regedit.exe), упакованного по нашему методу:





[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.15.00[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.9.204[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9074​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8387[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4812[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.6903[/TD]
[TD valign="bottom"] 2011.06.13[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6210​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-15.02[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 7.0.3.5[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.62.01.04[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.230[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.1[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9588​
[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.15.4513[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.80.1[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]


По этой причине на формы, отвечающих за ложное срабатывание на сайтах компаний, у которых это срабатывание было отмечено, был отправлен упакованный по нашей методике notepad.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах.

Параллельно, на электронные адреса вирусных лабораторий этих компаний был направлен упакованный по нашей методике cmd.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах (обычно – указание в теме письма фразы типа FalseAlarm).

Все указанные работы были проведены в период с 16:00 до 17:00 МСК 15 июня 2011 года. От того момента до окончания проведения тестирования никаким иным образом исследуемые образцы в Сеть не поступали.

Следует отметить, что у ряда вендоров система отправки новых образцов весьма противоречива. Так, компании AhnLab , Protector Plus, SandBox Information Center и McAfee требуют, чтобы у аппликанта (заявителя) был установлен их антивирусный продукт, в противном случае регистрация на сайте для отправки образца будет невозможна. Symantec указывает, что подозрительный файл должен отсылаться "как есть", а не в архиве с паролем, что может затруднить отправку в случае наличия активного антивируса на машине аппликанта или на одном из шлюзов. Emsisoft, NANO Антивирус и F-Prot не предусматривают обратной связи по отправленному файлу. F-Secure после загрузки файла более получаса занимались какой-то работой, в итоге так и не выдали никакого сообщения об удачном получении. NANO Антивирус и Panda требуют довольно нестандартный версии упаковки подозрительный файлов: первый – zip-архив с паролем 123, а второй – rar-архив (!!!) с паролем 111. Более того, NANO Антивирус не поддерживает обратную связь, после загрузки файла 10 минут сайт никак не реагировал и в итоге был закрыт (имеется в виду окно браузера). Rising AV предлагает прислать архив без пароля (что также легко может быть заблокировано на шлюзах), в ответ на файл сервер отвечает, цитируем




> ґ¦Ан URL К±·юОсЖчіцґнЎЈЗлУлПµНі№ЬАнФ±БЄПµЎЈ



Особо хочется выделить Sophos, при оформлении заявки выдающий целый диалог с указанием причины отсылки и пароля на архив – очень удобно и понятно, хоть и на английском. И в раздел юмора – вопрос от ViRobot:

_"




If another antivirus products already detected the file except ViRobot, please write down the name of antivirus product and the detection name including the suspicious virus files."

"Если другой антивирусный продукт уже детектирует этот файл, пожалуйста, укажите имя этого продукта и имя детекта на каждый из подозреваемых файлов."

Нажмите для раскрытия...

_
В ходе исследования регулярно проверялась папка «Спам» во избежание того, чтобы чьё-то сообщение оказалось ошибочно признанным как спам и в итоге – незамеченным.

Тестирование было завершено 22.06.2011 в 16:00 МСК, после этого никакие ответы вирусных лабораторий не принимались, таким образом общее время приёма ответов составило 7 календарных дней или 5 рабочих (без субботы и воскресенья).



*ОТКЛИКИ ВИРУСНЫХ ЛАБОРАТОРИЙ*


Безусловно, самый высокий приоритет ожидался у обращений, выполненных с официального сайта – не зря же необходимо вводить капчи, заполнять формы и трудиться, чтобы помочь вирусной лаборатории! Однако на практике это оказалось отнюдь не таким очевидным.


*Таблица 1. Результаты загрузки образцов на веб-формы антивирусных компаний.*

                                

[TD valign="bottom"]Компания[/TD]
[TD valign="bottom"] Адрес веб-формы[/TD]
[TD valign="bottom"] Уведомление о получении[/TD]
[TD valign="bottom"] Присвоение детекта[/TD]

[TD valign="bottom"]
Ad-Aware
[/TD]
[TD valign="bottom"]





Upload malware samples: Submit suspicious files | Adaware


Want to share a new malware virus with us? Submit a virus / malware sample here. Participate in building our shared detection database!




www.lavasoft.com




[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Agnitum
[/TD]
[TD valign="bottom"]


http://www.agnitum.ru/support/submit_files.php


[/TD]
[TD valign="bottom"] Да.[/TD]
[TD valign="bottom"] Спустя 50 ч сообщили, что переслали на отдел аналитиков.[/TD]

[TD valign="bottom"]
AhnLab
[/TD]
[TD valign="bottom"]


http://global.ahnlab.com/en/site/support/virusreport/virusReport.do


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
ArcaVir
[/TD]
[TD valign="bottom"]





Arcabit - Najlepszy Polski Program Antywirusowy







www.arcabit.com




[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
аvast!
[/TD]
[TD valign="bottom"]


https://support.avast.com/index.php?_m=tickets&_a=submit


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
AVG 
[/TD]
[TD valign="bottom"]


http://samplesubmit.avg.com/


[/TD]
[TD valign="bottom"]Да, выдали результат детектирования текущими базами: детекта нет[/TD]

[TD valign="bottom"]
Avira Antivir 
[/TD]
[TD valign="bottom"]





Download Security Software for Windows, Mac, Android & iOS | Avira Antivirus


Discover a range of award-winning security, privacy & performance tools for all devices. • Antivirus • VPN • System Speedup • Mobile & more. Download now




analysis.avira.com




[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]Автомат: < 2 ч False сняли через 13 ч.[/TD]

[TD valign="bottom"]
BitDefender 
[/TD]
[TD valign="bottom"]


http://www.bitdefender.com/world/Defense/fileSubmission


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]Спустя 51 ч сообщили, что переслали на отдел аналитиков.[/TD]

[TD valign="bottom"]
CA Technologies 
[/TD]
[TD valign="bottom"]


http://gsa.ca.com/submitmalware.aspx


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
ClamWin 
[/TD]
[TD valign="bottom"]


http://cgi.clamav.net/sendvirus.cgi


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
COMODO 
[/TD]
[TD valign="bottom"]





Free Internet Security and Antivirus | Security Solutions from Comodo


Comodo, the leading Internet Security Provider offers Free Antivirus, SSL Certificate and other Internet Security related products with complete protection




www.comodo.com




[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Dr.Web 
[/TD]
[TD valign="bottom"]


http://support.drweb.com/sendnew/


[/TD]
[TD valign="bottom"] Да[/TD]
[TD valign="bottom"]Автомат: < 2 ч: Trojan.Downloader3.31146[/TD]

[TD valign="bottom"]
Emsisoft 
[/TD]
[TD valign="bottom"]








Emsisoft | Submit a Suspicious File


If you have discovered a file that may be infected with malware, you can send it to our analysis team for further investigation.




www.emsisoft.com




[/TD]
[TD valign="bottom"]Нет и не предусмотрено[/TD]

[TD valign="bottom"]
eScan MicroWorld Technologie 
[/TD]
[TD valign="bottom"]


http://support.mwti.net/support/index.php?_m=tickets&_a=submit


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]40 ч: Trojan.Agent.Dropper.BBH[/TD]

[TD valign="bottom"]
ESET 
[/TD]
[TD valign="bottom"]





Что делать если вы обнаружили новый вирус или произошло ложное срабатывание?


Что делать если вы обнаружили новый вирус или произошло ложное срабатывание?




www.esetnod32.ru




[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]< 2 ч – провал, неопасен[/TD]

[TD valign="bottom"]
F-PROT Antivirus 
[/TD]
[TD valign="bottom"]


http://www.f-prot.com/virusinfo/submission_form.html


[/TD]
[TD valign="bottom"]Нет и не предусмотрено[/TD]

[TD valign="bottom"]
F-Secure 
[/TD]
[TD valign="bottom"]


http://www.f-secure.com/samples/


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Fortinet 
[/TD]
[TD valign="bottom"]


http://www.fortiguard.com/antivirus/virus_scanner.html


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]7 ч: W32/Dropper.8CC0!tr[/TD]

[TD valign="bottom"]
Kaspersky 
[/TD]
[TD valign="bottom"]





Kaspersky Virus Desk







support.kaspersky.ru




[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
GData 
[/TD]
[TD valign="bottom"]


https://vdf1.gdatasoftware.com/SU/SampleUpload/


[/TD]
[TD valign="bottom"]Сразу ответил аналитик (запрос пароля)[/TD]
[TD valign="bottom"]19 ч[/TD]

[TD valign="bottom"]
Microsoft 
[/TD]
[TD valign="bottom"]





Submit a file for malware analysis - Microsoft Security Intelligence


Submit suspected malware or incorrectly detected files for analysis. Submitted files will be added to or removed from antimalware definitions based on the analysis results.



www.microsoft.com




[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
MooSoft 
[/TD]
[TD valign="bottom"]


http://moosoft.com/submit-sample


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Nano AV 
[/TD]
[TD valign="bottom"]





Обратная связь


Бесплатный NANO Антивирус для защиты компьютера от вирусов, троянов, червей и иного вредонос ного ПО. Предлагаем скачать антивирус бесплатно на официальном сайте NANO Security.




www.nanoav.ru




[/TD]
[TD valign="bottom"]Нет и не предусмотрено[/TD]

[TD valign="bottom"]
Norman Antivirus
[/TD]
[TD valign="bottom"]


http://sandbox.norman.no/live_4.html


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]Прислали протокол анализа в песочнице, где ничего не нашли.[/TD]

[TD valign="bottom"]
PC Tools Spyware Doctor 
[/TD]
[TD valign="bottom"]





Official Site | Norton™ - Antivirus & Anti-Malware Software


Norton™ provides industry-leading antivirus and security software for your PC, Mac®, and mobile devices. Download a Norton™ 360 plan - help protect your devices against viruses, ransomware, malware and other online threats.




www.pctools.com




[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Protector Plus 
[/TD]
[TD valign="bottom"]


http://www.pspl.com/support/samplesubmit.htm


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Quick Heal 
[/TD]
[TD valign="bottom"]


http://support.quickheal.com/esupport/index.php?_m=tickets&_a=submit


[/TD]
[TD valign="bottom"]Сразу ответил аналитик[/TD]
[TD valign="bottom"]< 2 ч.[/TD]

[TD valign="bottom"]
Rising AV 
[/TD]
[TD valign="bottom"]


http://sample.rising-global.com/webmail/upload_en.htm


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Sophos 
[/TD]
[TD valign="bottom"]





Sophos Next Generation Data Protection: Security Made Simple


Cybersecurity Evolved. Advanced Endpoint, EDR, Network, Mobile, Cloud, Wi-Fi, Phishing Email and Encryption Security Synchronized in Real-Time.




secure.sophos.com




[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]Автомат с подробным протоколом: < 2 ч: Troj/Bckldr-RHW и Troj/TDSS-HI[/TD]

[TD valign="bottom"]
Spybot-S&D 
[/TD]
[TD valign="bottom"]


http://www.safer-networking.org/ru/contact/detections.html


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Symantec, Norton 
[/TD]
[TD valign="bottom"]


Upload a suspected infected file (Retail)


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Trend Micro 
[/TD]
[TD valign="bottom"]


http://subwiz.trendmicro.com/SubWiz/UndetectedMalware-form.asp?TMsessionid=E4DC58D1A1D74AA895098326221B9D41&proc=7


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
ViRobot 
[/TD]
[TD valign="bottom"]


(주)하우리


[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
VirusBuster 
[/TD]
[TD valign="bottom"]


https://support.virusbuster.hu/index.php?_m=tickets&_a=submit


[/TD]
[TD valign="bottom"] [/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Zillya! 
[/TD]
[TD valign="bottom"]





Zillya! - Техническая поддержка продуктов Zillya!: связаться с нами, видеоинструкции, оффлайн обновление баз, переслать файл на проверку


Техническая поддержка продуктов Zillya! Антивирус - связаться с нами, видеоинструкции, оффлайн обновление баз, переслать файл на проверку




www.zillya.ua




[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

*Таблица 2. Результаты отправки образцов на электронную почту лабораторий антивирусных компаний.*

                             

[TD valign="bottom"]Компания[/TD]
[TD valign="bottom"]Электронная почта[/TD]
[TD valign="bottom"]Уведомление о получении[/TD]
[TD valign="bottom"]Присвоение детекта[/TD]

[TD valign="bottom"]
*Agnitum *
[/TD]
[TD valign="bottom"]
malware@agnitum.com
ticket@agnitum.com
[/TD]
[TD valign="bottom"]Спустя 50 ч сообщили, что переслали на отдел аналитиков.[/TD]

[TD valign="bottom"]
ArcaVir 
[/TD]
[TD valign="bottom"]
virus@arcabit.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
аvast! 
[/TD]
[TD valign="bottom"]
virus@avast.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
AVG 
[/TD]
[TD valign="bottom"]
virus@avg.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"]47 ч[/TD]

[TD valign="bottom"]
Avira Antivir 
[/TD]
[TD valign="bottom"]
virus@avira.com
[/TD]
[TD valign="bottom"]Да, но ответ нечитабельный[/TD]

[TD valign="bottom"]
BitDefender 
[/TD]
[TD valign="bottom"]
virus_submission@bitdefender.com
[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
CA Technologies 
[/TD]
[TD valign="bottom"]
virus@ca.com
[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
ClamWin 
[/TD]
[TD valign="bottom"]
clamwin@clamwin.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Command AV 
[/TD]
[TD valign="bottom"]
virus@authentium.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
COMODO 
[/TD]
[TD valign="bottom"]
malwaresubmit@avlab.comodo.com
[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Dr.Web 
[/TD]
[TD valign="bottom"]
vms@drweb.com
[/TD]
[TD valign="bottom"] Да[/TD]
[TD valign="bottom"]Автомат: < 2 ч: Trojan.Downloader3.31146[/TD]

[TD valign="bottom"]
Emsisoft 
[/TD]
[TD valign="bottom"]
submit@emsisoft.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
*eScan MicroWorld Technologie *
[/TD]
[TD valign="bottom"]
samples@escanav.com
samples@mwti.net
[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]16 ч: файл неопасен, через 20 мин – Trojan.Agent.Dropper.BBI[/TD]

[TD valign="bottom"]ESET[/TD]
[TD valign="bottom"]
support@esetnod32.ru
samples@eset.com
[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]< 2 ч – провал, неопасен[/TD]

[TD valign="bottom"]
F-PROT Antivirus
[/TD]
[TD valign="bottom"]
viruslab@f-prot.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Fortinet
[/TD]
[TD valign="bottom"]
submitvirus@fortinet.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Ikarus 
[/TD]
[TD valign="bottom"]
sample@ikarus.at
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Jiangmin 
[/TD]
[TD valign="bottom"]
support@jiangmin.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Kaspersky 
[/TD]
[TD valign="bottom"]
newvirus@kaspersky.com
[/TD]
[TD valign="bottom"] Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
GData
[/TD]
[TD valign="bottom"]
support@antivirusin.ru
[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"]25 ч: Trojan.Agent.Dropper.BBI[/TD]

[TD valign="bottom"]McAfee[/TD]
[TD valign="bottom"]
virus_research@nai.com
virus_research@avertlabs.com
[/TD]
[TD valign="bottom"]Да, автомат сообщил, что файл передан аналитику, поскольку автоматически не распознан[/TD]

[TD valign="bottom"]
Microsoft 
[/TD]
[TD valign="bottom"]
avsubmit@submit.microsoft.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Nano AV 
[/TD]
[TD valign="bottom"]
virus@nanoav.ru
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Norman Antivirus 
[/TD]
[TD valign="bottom"]
analysis@norman.no
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Panda 
[/TD]
[TD valign="bottom"]
virus@pandasoftware.com
[/TD]
[TD valign="bottom"] Да[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Quick Heal
[/TD]
[TD valign="bottom"]
viruslab@quickheal.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Sophos 
[/TD]
[TD valign="bottom"]
samples@sophos.com
[/TD]
[TD valign="bottom"]Да[/TD]
[TD valign="bottom"] Автомат: < 2 ч[/TD]

[TD valign="bottom"]
Symantec, Norton
[/TD]
[TD valign="bottom"]
avsubmit@symantec.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Trend Micro 
[/TD]
[TD valign="bottom"]
virus_doctor@trendmicro.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
VBA
[/TD]
[TD valign="bottom"]
newvirus@anti-virus.by
[/TD]
[TD valign="bottom"]Ответ сразу от аналитика[/TD]
[TD valign="bottom"]< 2 ч, но сначала был отчёт о безвредности.[/TD]

[TD valign="bottom"]
Vexira 
[/TD]
[TD valign="bottom"]
virus_submission@centralcommand.com
[/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
VirusBuster 
[/TD]
[TD valign="bottom"]
virus@virusbuster.hu
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Webroot 
[/TD]
[TD valign="bottom"]
submissions@webroot.com
[/TD]
[TD valign="bottom"][/TD]
[TD valign="bottom"][/TD]

[TD valign="bottom"]
Zillya! 
[/TD]
[TD valign="bottom"]
virus@zillya.com
[/TD]
[TD valign="bottom"] Да[/TD]
[TD valign="bottom"][/TD]

*Таблица 3. Динамика изменения детекта на VirusTotal.*


[table 1 2 0]3^Прошло, |Безвредный файл|(regedit.exe)|Вредоносный файл|(GPCode.ax)
3^ ч |Ссылка на отчёт | Детект |Ссылка на отчёт | Детект
0 |Ссылка | *AntiVir* 7.11.9.204 2011.06.15 DR/Delphi.Gen *Jiangmin* 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка | _AntiVir_ 7.11.9.204 2011.06.15 DR/Delphi.Gen *Jiangmin* 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
4 |Ссылка| *AntiVir* 7.11.9.226 2011.06.15 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.15 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.9.226 2011.06.15 DR/Delphi.Gen *Emsisoft* 5.1.0.8 2011.06.15 Downloader.Delphi!IK *Ikarus* T3.1.1.104.0 2011.06.15 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
10 |Ссылка| *AntiVir* 7.11.9.226 2011.06.15 DR/Delphi.Gen *Emsisoft* 5.1.0.8 2011.06.15 Downloader.Delphi!IK *Ikarus* T3.1.1.104.0 2011.06.15 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.15 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.9.226 2011.06.15 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.15 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.15 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.15 Suspicious.Cloud.5
17 |Ссылка| *AntiVir* 7.11.9.228 2011.06.16 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.16 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.16 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.9.228 2011.06.16 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.16 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.16 Artemis!CC7BF11E7007 *Symantec* 20111.1.0.186 2011.06.16 Suspicious.Cloud.5
26 |Ссылка| *AntiVir* 7.11.9.236 2011.06.16 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.16 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.16 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.9.236 2011.06.16 DR/Delphi.Gen *Ikarus* T3.1.1.104.0 2011.06.16 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.16 Artemis!CC7BF11E7007 *Symantec* 20111.1.0.186 2011.06.16 Suspicious.Cloud.5
44 |Ссылка| *AntiVir* 7.11.10.0 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.17 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.17 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.17 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.17 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.17 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.10.0 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.17 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.17 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.17 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.17 Artemis!CC7BF11E7007 *Sophos* 4.66.0 2011.06.17 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.17 Suspicious.Cloud.5
60 |Ссылка| *AntiVir* 7.11.10.12 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.17 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.17 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.17 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.10.12 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.17 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.17 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.17 Artemis!CC7BF11E7007 *Sophos* 4.66.0 2011.06.18 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.18 Suspicious.Cloud.5
78 |Ссылка| *AntiVir* 7.11.10.12 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.18 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.18 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.18 Artemis!3918A65C62C6 *Symantec* 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.10.12 2011.06.17 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.18 Trojan/win32.agent.gen *Emsisoft* 5.1.0.8 2011.06.18 Downloader.Delphi!IK *Ikarus* T3.1.1.104.0 2011.06.18 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.18 Artemis!CC7BF11E7007 *Sophos* 4.66.0 2011.06.18 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.18 Suspicious.Cloud.5
116 |Ссылка| *AntiVir* 7.11.10.17 2011.06.20 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.20 Trojan/win32.agent.gen *Emsisoft *5.1.0.8 2011.06.20 Downloader.Delphi!IK *eSafe* 7.0.17.0 2011.06.19 Win32.DRDelphi *Ikarus* T3.1.1.104.0 2011.06.20 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.19 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.20 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.19 Artemis!3918A65C62C6 *Panda* 10.0.3.5 2011.06.19 Suspicious file |Ссылка| *AntiVir* 7.11.10.17 2011.06.20 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.20 Trojan/win32.agent.gen *eSafe* 7.0.17.0 2011.06.19 Win32.DRDelphi *Ikarus* T3.1.1.104.0 2011.06.20 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.19 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.20 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.19 Artemis!CC7BF11E7007 *Panda* 10.0.3.5 2011.06.19 Suspicious file *Sophos* 4.66.0 2011.06.20 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.20 Suspicious.Cloud.5
141 |Ссылка| *AntiVir* 7.11.10.42 2011.06.21 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.21 Trojan/win32.agent.gen *eSafe* 7.0.17.0 2011.06.19 Win32.DRDelphi *Ikarus* T3.1.1.104.0 2011.06.21 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.20 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.21 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.20 Artemis!3918A65C62C6 *Panda* 10.0.3.5 2011.06.20 Suspicious file *Symantec* 20111.1.0.186 2011.06.21 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.10.42 2011.06.21 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.21 Trojan/win32.agent.gen *DrWeb* 5.0.2.03300 2011.06.21 Trojan.MulDrop2.33607 *eSafe* 7.0.17.0 2011.06.19 Win32.DRDelphi *Ikarus* T3.1.1.104.0 2011.06.21 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.20 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.21 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.20 Artemis!CC7BF11E7007 *Panda* 10.0.3.5 2011.06.20 Suspicious file *Sophos* 4.66.0 2011.06.21 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.21 Suspicious.Cloud.5
168 |Ссылка| *AntiVir* 7.11.10.66 2011.06.22 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.22 Trojan/win32.agent.gen *Ikarus* T3.1.1.104.0 2011.06.22 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.22 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.22 Artemis!3918A65C62C6 *McAfee-GW-Edition* 2010.1D 2011.06.22 Artemis!3918A65C62C6 *Panda* 10.0.3.5 2011.06.21 Suspicious file *Symantec* 20111.1.0.186 2011.06.22 Suspicious.Cloud.5 |Ссылка| *AntiVir* 7.11.10.66 2011.06.22 DR/Delphi.Gen *Antiy-AVL* 2.0.3.7 2011.06.22 Trojan/win32.agent.gen *DrWeb* 5.0.2.03300 2011.06.22 Trojan.MulDrop2.33607 *eSafe* 7.0.17.0 2011.06.21 Win32.DRDelphi *Ikarus* T3.1.1.104.0 2011.06.22 Downloader.Delphi *Jiangmin* 13.0.900 2011.06.22 Backdoor/Hupigon.bhsf *McAfee* 5.400.0.1158 2011.06.22 Artemis!CC7BF11E7007 *McAfee-GW-Edition* 2010.1D 2011.06.22 Artemis!CC7BF11E7007 *Panda* 10.0.3.5 2011.06.21 Suspicious file *Sophos* 4.66.0 2011.06.22 Mal/Generic-L *Symantec* 20111.1.0.186 2011.06.22 Suspicious.Cloud.5
[/table]




*Ответ на запрос по веб-форме*

Первыми ласточками по веб-формам были Avira, Sophos, DrWeb, QuickHeal и ESET. Из них автоматическими службами первичного анализа, а не живыми аналитиками оказались DrWeb, Sophos и Avira, о чём они честно признались в ответе. Следует особо отметить Sophos: несмотря на то, что отвечал автомат, они предоставили протокол, в котором указали, что детектируются и дроппер TDL4 (Troj/TDSS-HI) и наш упакованный образец (Troj/Bckldr-RHW). DrWeb просто обозвали образец Trojan.Downloader3.31146. Avira поставили свой диагноз, как и на ложном срабатывании (см. выше).

Norman прислали краткий результат анализа в песочнице, согласно которому ничего вредоносного обнаружено не было. Порекомендовали обратиться в местное отделение компании Norman для анализа вручную – видимо уверены, что лечение нам интересно куда более чем им, как представителям антивирусной компании. Agnitum сразу подтвердили получение файла, но только спустя 50 ч (!!!) пришло сообщение, что файл передан аналитикам. Непонятно, что делалось до этого времени. BitDefender сделали то же самое, но спустя 51 ч – видимо, это становится модным.

Поскольку DrWeb и Sophos разделили пальму первенства, но только по скорости работы автоматических систем анализа, то в качестве дополнительного задания мы направили им lsass.exe из Windows XP SP3 Pro Rus, упакованный по описанному выше алгоритму. Отправка была произведена 16 июня 2011 года в 15:30 МСК.

Ответ о принятии образца пришёл опять довольно быстро, но вот результаты анализа отличились: Sophos, которые в прошлый раз управились всего на 20 минут быстрее DrWeb, в этот раз обогнали его радикально – ответ мы получили примерно за час от Sophos, а от DrWeb не получили вообще. Справедливости ради отметим, что автор, отправлявший на исследование в Sophos упакованный lsass.exe, вначале ошибся и отправил упакованный winhlp.exe, но без дополнительного сжатия UPX. Так вот, несмотря на присвоения номера обращения, на winhlp.exe ответ от Sophos получен тоже не был.

Тем не менее, к сожалению, тест показал, что Sophos заклеймили безобидный файл грозным именем Troj/Agent-SBK, но, правда, показал, что упакованный lsass.exe – чистый. Результат разочаровал: несмотря на один и тот же метод упаковки файл получил разные детекты – значит, детектируется не алгоритм упаковки. С другой стороны – последний файл не нёс никакого вреда, значит Troj/Agent-SBK – ложное срабатывание, сгенерированное автоматической системой. При этом распаковка вложенного файла должного впечатления не произвела – для этого образец достаточно было запустить: никакой процедуры сокрытия распакованного файла и/или его удаления по окончании работы нами не предусматривалось, в отличие от реальных дропперов.

В QuickHeal ответил настоящий живой человек по имени Rahul! Ответил он весьма скудно, что образец вредоносен, детект будет добавлен вечером, а наше обращение теперь закрыто с low priority.( низкий приоритет)

Немного отдельно стоит ответ G-Data, которые спросили пароль на архив. После этого углубились в изучение на почти сутки (19 ч), но в итого признали файл вредоносным. В eScan такое изучение длилось 40 ч, итог – Trojan.Agent.Dropper.BBH.

И былинно провалили тест ESET, объявив файл не вредоносным.

Безошибочно файл признал трояном Fortinet через 7 ч, через 13 ч подоспели Avira со снятием ложного срабатывания, но вредоносный образец ещё не получил вердикт.

Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

*Безвредный файл (notepad.exe)*:



[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.66[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"]
21.06.2011​
[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"]
21.06.2011​
[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

*Вредоносный файл (TDL4)* – *интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял*:



[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.66[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan/win32.agent.gen[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Trojan-gen[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Trojan-gen[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Generic4_c.PYB[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBH[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] TrojanDropper.TDSS.kl[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"]
22.06.2011​
[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.DownLoader3.31142[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"]
21.06.2011​
[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBH[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] W32/Dropper.8CC0!tr[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBH[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!E2C552F77F23[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!E2C552F77F23[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Trj/CI.A[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Win32.Generic!BT[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Trojan.Agent!Gu4rKvdJ1c4[/TD]

*Ответ на запрос по электронной почте*

Из ответов на электронную почту следует выделить Avira, ответ которой, цитируем, был следующим:


_



<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<style type="text/css">
body, td, p, div, span { font-size: 12px; font-family: Arial; }
</style>
</head>
<body>

</body>
</html>

Нажмите для раскрытия...

_


> Нажмите для раскрытия...



Автомат DrWeb присвоил образцу из электронной почты точно тот же детект, что и присланному по веб-форме - Trojan.Downloader3.31146 (несмотря на разную природу упакованных дропперов и то, что по сути образцы ничего из сети не качают). Автомат Sophos не был столь исчерпывающим, как в ответе на веб-форму, сказав, что "файл вредоносен по своей природе", но не указав что и где, собственно, вредоносно. С другой стороны «порадовали» McAfee, прислав некое подобие графика, где показано, что результат автоматического исследования "inconclusive"( неокончательный), а потому файл передан аналитикам. Больше от них мы ничего не получали…

ESET – по-прежнему всё считают не вредоносным. Искренне надеемся, что наш эксперимент не заразил лабораторию ESET троянцами TDL4 и SpyEye.

Нас порадовали ВирусБлокАда – белорусы ответили очень быстро, признав файл невредоносным (!!!), однако спустя 20 минут аналитик прислал письмо, где сообщил, что файлу всё-таки присвоили детект. Никаких пояснений, никаких извинений – суровые белорусские парни! Аналогичным, но значительно медленнее – но и вежливее – были eScan, который спустя 16 ч признал файл безопасным, но не успели мы открыть шампанское, как спустя 20 мин вирлаб извинился и сообщил, что после повторного анализа файл признан вредоносным и получил детект – Trojan.Agent.Dropper.BBI. Пришлось опять пить кофе вместо шампанского, но недолго – спустя 25 ч мы получили абсолютно аналогичный детект Trojan.Agent.Dropper.BBI от GData. Кто у кого списал ответ – ответить не берёмся. Интересно, что обработка образца, отправленного eScan по почте, намного меньше времени, чем при отправке по веб-форме (см. выше).

AVG спустя почти двое суток разрушили молчание и сообщил о детекте, Agnitum же, как и в случае отправки по форме, только через 50 часов передали образец аналитикам на рассмотрение – и с концами. Впрочем, как видно, в таком поведении они не одиноки.

Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

*Безвредный файл (cmd.exe)*:



[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.67[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan/win32.agent.gen[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]Ikarus[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Suspicious file[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

*Вредоносный файл (SpyEye)* – *интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял*:



[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.67[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan/win32.agent.gen[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Malware-gen[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Malware-gen[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Dropper.Generic_c.KUX[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBI[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.DownLoader3.31146[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBI[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Agent.Dropper.BBI[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!40FBC78197E1[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!40FBC78197E1[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Trj/CI.A[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.Win32.Generic!BT[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Trojan.Agent!gH7U3i81F8M[/TD]


*Ответ на запрос на vendors<at>malware-research.co.uk*

Полная тишина длилась почти пять часов. Ни благодарностей, ни отчётов о проблемах с доставкой – ничего. И лишь потом лениво поползли отчёты вирусных лабораторий. Первым пришёл DrWeb, которые сообщили о приёме на исследование, которое, забегая вперёд, длилось час и закончилось детектом от автоматической системы – но тут почему-то диагноз был не троян-даунлоадер, а Trojan.AVKill.6773. Почти одновременно с Вебом ответили CA Technologies и Лаборатория Касперского о приёме на анализ, но результатов не прислали. А теперь – сенсация: McAfee признали файл чистым! При чём традиционно отписались графиком автомата, но ниже – уже с припиской аналитика о чистоте.

Спустя семь (!!!) часов ответили Avira – так же, как и в случае прямого обращения по электронной почте, набором html-тегов, потому понять, принят файл на анализ или нет не представляется возможным.

Один из авторов этой статьи помнит времена, когда отправка на vendors<at>malware-research.co.uk вызывала буквально сразу шквал ответов от вирлабов, а потому, принимая настоящие задержки и скудность реакции можно утверждать, что данный адрес как средство отправки и изучения новых зловредов больше использоваться не может.

Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal. Итак, *Kolab считают*:




[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.67[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Malware-gen[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Malware-gen[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Heur.Suspicious[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.AVKill.6773[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Win32:Malware-gen[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan:Win32/Ircbrute[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Trj/CI.A[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

*Развитие событий на VirusTotal*

Ни для кого не секрет, что ресурсы типа VirusTotal отправляют все неизвестные образцы ведорам. Как правило, онлайновые мультисканеры, которые не поступают так же, либо платные, либо не отличаются количеством антивирусных движков. Закономерно, что, отправив образец на VirusTotal, мы ожидали некое изменение в списке детектируемых угроз.

В принципе, так и случилось. Только не совсем так, как мы ожидали. При повторной загрузке исследуемых файлов спустя 4 часа, обнаружилось следующее: перепакованный GPCode.ax стали узнавать эвристикой Ikarus и Emsisoft (детект последних как Downloader.Delphi!IK навевает на мысли, у кого на букву "Ik" этот детект был позаимствован, но на несчастном упакованном regedit.exe оказалось, что детект – просто общая тенденция на упаковщик, что в последнем случае просто привело к ложному срабатыванию. Странно и интересно, но в этом случае Emsisoft свои данные почему-то не предоставили вообще.

Через 10 часов подтянулись и облачные детекты McAfee – к сожалению, опять же на безобидный regedit.exe. Появился и характерный детект от Emsisoft. Для вредоносного GPCode.ax ситуация выровнялась: оба файла по мнению VirusTotal одинаково вредоносны, однако теперь почему-то для вредоноса в отчёте опять исчез Emsisoft.

Обнаружилось, что, по-видимому, у VirusTotal какая-то ограниченная договоренность с Emsisoft, поскольку результаты сканирования этим движком показываются через раз – через два без какой бы то ни было системы. По той причине, что детект Emsisoft давал на оба образца – и безвредный и вредоносный, а строка с детектом от этого движка появлялась совершенно случайным образом, больше мы не обращали внимание на этот детект, считая его не показательным.

Несмотря на то, что Avira сняли детект на ложное срабатывание через 13 ч с момента начала эксперимента, скан безвредного regedit на VirusTotal спустя 17 ч не показал никаких улучшений. Картина для вредоносного файла осталась той же.

Более или менее интересная картина обнаружилась спустя 44 ч: появился одинаковый детект на оба образца со стороны Ikarus – и о чудо! – Sophos эвристиком стали подозревать вредоносный файл и при этом пропускать безвредный. Это значительно воодушевило болельщиков за Sophos в нашей команде, после некоторого ропота, возникшего в результате детекта на упакованный lsass.exe, о чём писалось выше.

Примерно через 5 суток Panda стали давать как верный, так и ложный эвристический детект (при этом ответа на прямое обращение по почте от них мы ещё так и не получили, несмотря на подтверждение о получении). eSafe тоже стали подозревать оба образца. При этом, «облачный» детект от Symantec почему-то остался только на вредоносном образце, в случае же безвредного файла результаты сканирования движком Symantec вообще приведены не были, что составило компанию уже наблюдавшейся ситуации с Emsisoft. Позже такая же ситуация повторилась и с eSafe (см. ниже). Воистину, VirusTotal – такой Total…

Через 6 суток наступил праздник вредоносный образец стал детектироваться со стороны DrWeb - Trojan.MulDrop2.33607. При этом безвредный образец Веб пропустил, что весьма обрадовало болельщиков этой команды. Имя детекта, отличное от «даунлоадеров», которые мы получили в ответ на запрос по веб-форме и почте, косвенно указывает, что образец был разобран аналитиками, а не автоматической системой.

Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.

*Безвредный файл (regedit.exe)*:




[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.66[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"]
22.06.2011​
[/TD]
[TD valign="bottom"] Trojan/win32.agent.gen[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!3918A65C62C6[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!3918A65C62C6[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Suspicious file[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

*Вредоносный файл (SpyEye)*:




[TD valign="bottom"]
_AhnLab-V3_
[/TD]
[TD valign="bottom"] 2011.06.22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AntiVir_
[/TD]
[TD valign="bottom"] 7.11.10.66[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]

[TD valign="bottom"]
_Antiy-AVL_
[/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan/win32.agent.gen[/TD]

[TD valign="bottom"]
_Avast_
[/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Avast5_
[/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_AVG_
[/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_BitDefender_
[/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_CAT-QuickHeal_
[/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ClamAV_
[/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Commtouch_
[/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Comodo_
[/TD]
[TD valign="bottom"]
9154​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_DrWeb_
[/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Trojan.MulDrop2.33607[/TD]

[TD valign="bottom"]
_eSafe_
[/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Win32.DRDelphi[/TD]

[TD valign="bottom"]
_eTrust-Vet_
[/TD]
[TD valign="bottom"] 36.1.8400[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Prot_
[/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_F-Secure_
[/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Fortinet_
[/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_GData_
[/TD]
[TD valign="bottom"]
22​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Ikarus_
[/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Downloader.Delphi[/TD]

[TD valign="bottom"]
_Jiangmin_
[/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]

[TD valign="bottom"]
_K7AntiVirus_
[/TD]
[TD valign="bottom"] 9.106.4831[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Kaspersky_
[/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_McAfee_
[/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!CC7BF11E7007[/TD]

[TD valign="bottom"]
_McAfee-GW-Edition_
[/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Artemis!CC7BF11E7007[/TD]

[TD valign="bottom"]
_Microsoft_
[/TD]
[TD valign="bottom"] 1.7000[/TD]
[TD valign="bottom"]
22.06.2011​
[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_NOD32_
[/TD]
[TD valign="bottom"]
6228​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Norman_
[/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_nProtect_
[/TD]
[TD valign="bottom"] 2011-06-22.02[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Panda_
[/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] Suspicious file[/TD]

[TD valign="bottom"]
_PCTools_
[/TD]
[TD valign="bottom"] 8.0.0.5[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Prevx_
[/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Rising_
[/TD]
[TD valign="bottom"] 23.63.02.03[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Sophos_
[/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Mal/Generic-L[/TD]

[TD valign="bottom"]
_SUPERAntiSpyware_
[/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_Symantec_
[/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]

[TD valign="bottom"]
_TheHacker_
[/TD]
[TD valign="bottom"] 6.7.0.1.237[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_TrendMicro-HouseCall_
[/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VBA32_
[/TD]
[TD valign="bottom"] 3.12.16.2[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VIPRE_
[/TD]
[TD valign="bottom"]
9656​
[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_ViRobot_
[/TD]
[TD valign="bottom"] 2011.6.22.4527[/TD]
[TD valign="bottom"] 2011.06.22[/TD]
[TD valign="bottom"] -[/TD]

[TD valign="bottom"]
_VirusBuster_
[/TD]
[TD valign="bottom"] 14.0.90.0[/TD]
[TD valign="bottom"] 2011.06.21[/TD]
[TD valign="bottom"] -[/TD]

*ВЫВОДЫ*

После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов. Связано это с тем, что итог оказался вовсе не тем, который мы ожидали: довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали. Некоторые вирусные лаборатории откровенно забили на ответ, хотя добавили детект (за что спасибо), а некоторые – даже не потрудились рассмотреть образец. Эвристические анализаторы, «облачный» анализ и эмуляторы автоматических систем оказались в большей степени генераторами ложных детектов, чем полноценной защитой. Авторам несколько непонятно, на что уходят основные трудовые силы и финансовые ресурсы, а также чем занимаются аналитики ведущих антивирусных компаний. Вспоминается старая история о том, зачем быстро убирать мусор – иначе люди поймут ненадобность дворников….

Отдельно – и с натяжкой – хотелось бы выделить лаборатории DrWeb и Sophos. Неплохие результаты показали Fortinet, eScan, VBA и GData. Просто поразительно неожиданный результат у QuickHeal. Остальные вендоры весьма невпечатляющи, а некоторые (например, Eset, McAfee) – частично или полностью провалили тест.

Забавной оказалась ситуация с VT: учитывая, что «Date first seen: 2011-06-15 12:38:56 (UTC) / Date last seen: 2011-06-15 13:46:47 (UTC)», что отвечает 16:38 МСК, похоже, что какой-то из вирлабов просто «уточняет» информацию у VT перед тем, как самим начать изучать. Это однозначно не DrWeb, CA Technologies, Лаборатория Касперского, Avira или McAfee – поскольку эти лаборатории получили файл по каналу vendors<at>malware-research.co.uk, но он на VT ранее «засвечен» не был. В любом случае, такая отсылка не повредила тесту, поскольку практически все лаборатории уже получили образцы по вполне официальным путям.

Понимая некоторую возможную скандальность материала, вся переписка с вендорами и оригинальные ответы сохранены и могут быть предоставлены по первому требованию. Мы сознательно не привели ни имён вирусных аналитиков, ни номеров обращений в тексте, чтобы не создавать проблем у конкретных сотрудников вирусных лабораторий, однако мы можем это сделать в случае, если материал этой статьи будет подвержен сомнению с точки зрения правдоподобности.

Предлагаем читателям самостоятельно сделать выводы из приведённой информации. А от себя просто опубликуем картинку, авторство которой принадлежит компании Ikarus в относительно недалёком 2008 году.

______________________________________
*Авторы весьма благодарны всем, кто участвовал в написании статьи, критиковал её и вносил замечания. Вас немного – но большое вам СПАСИБО!*


----------



## SNS-amigo

gjf написал(а):


> Забавной оказалась ситуация с VT: учитывая, что «Date first seen: 2011-06-15 12:38:56 (UTC) / Date last seen: 2011-06-15 13:46:47 (UTC)», что отвечает 16:38 МСК, похоже, что какой-то из вирлабов просто «уточняет» информацию у VT перед тем, как самим начать изучать.



VirusTotal © Hispasec Sistemas

Какой-то — это вирлаб вендора-земляка Hispasec Sistemas - Panda (Испания). Они не только уточняют, они и получают информацию от VT сразу же, как только один из ведущих вендоров первой антивирусной десятки что-нибудь задетектит. 

В таком случае Panda сразу ставит свой любимый детект — Suspicious file. См. на результаты в таблице — кто-то ещё сомневается?


----------



## Severnyj

На это скоро, думаю тоже протестируем, повендорно


----------



## Сергей Без_фамилии

Пару лет назад бый пойман один из зловредов бот сети досившей вебмани украинский. Тоже разсылал по лабам, чтобы включили в детект. Те адресаты, кому был выслан тоже есть в списке и совершенно без изменений.


----------



## MadMaks

Я как думаете, не мог сбить с толку адрес safezone.cc.
Разработчики подумали, что это не проверка на оперативность, а розыгрыш всем известного и далеко не глупого ресурса, специализирующегося на лечении и обучении...
И не стали реагировать.


----------



## GvU

Спасибо за тест, очень опознавательный. Последнее время считаю,что лучший антивирус тот кто быстрее и чаще обновляет базы. Только не пойму из бесплатников получается АВИРА в впереди, я правильно понял ???


----------



## Severnyj

MadMaks написал(а):


> Я как думаете, не мог сбить с толку адрес safezone.cc.
> Разработчики подумали, что это не проверка на оперативность, а розыгрыш всем известного и далеко не глупого ресурса, специализирующегося на лечении и обучении...
> И не стали реагировать.



Зловреды посылались не пачкой сразу всем, а один вендор, одно письмо.


----------



## AS007

Хороший тест и отличная статья.
Вот чего здесь не увидел, так это про AV Kaspersky, ну кроме того,
что получен отчёт о приёме файла и таблицы с VT,
за то NOD32 провалил..., странно, Вам так не кажется.
Если писать, так писать про всех, если нет ответа - значит нет ответа
или Вы не хотите писать про ЛК?


----------



## akok

*AS007*, прошу прощения за скрытый пост, вас антиспам поймал 



AS007 написал(а):


> или Вы не хотите писать про ЛК?


ЛК не удосужило нас ответом на наши запросы как и часть других вендоров. В данном тесте не выделялись любимчики.

P>S> ЛК только сегодня добавила детект


----------



## SNS-amigo

MadMaks написал(а):


> Разработчики подумали, что это не проверка на оперативность, а розыгрыш всем известного и далеко не глупого ресурса





akoK написал(а):


> ЛК только сегодня добавила детект



Представляю, как эти больше всех упрямились и не хотели признавать актуальность и злободневность проведённого теста. 

_Добавлено через 4 минуты 32 секунды_
Честно говоря, большая половина вендоров, представленных в VT, в этом плане ленивы и абсолютно бесполезны. Они каким-то хитрым образом прописались в список VT и не делают никакой погоды. Тратить на них время — себя не уважать. 
И непонятно какого рожна VT вмантурил в себя устаревшие версии антивирусных движков и, некоторых, ещё по две штуки.


----------



## akok

SNS-amigo написал(а):


> не хотели признавать актуальность и злободневность проведённого теста.


Есть немного.


----------



## SNS-amigo

Это я к тому, что если бы на VT распространялась моя воля, то убрал бы из списка VirusTotal'а этих ленивцев и всяких там бесполезных двойников, и заменил их ещё примерно таким же количеством других вендоров, о которых большинство людей в Рунете даже и не слышало никогда. И ребятам бы не пришлось тратить своё личное-драгоценное время на отправку семплов в... пустоту. 

Возможно, тогда мир открыл бы для себя ещё не один КвикХил.


----------



## akok

+ оперативно обновляли АВ движки для сканирования


----------



## SNS-amigo

akoK написал(а):


> + оперативно обновляли АВ движки для сканирования



ОК. А то получается как в басне "Лебедь, Щука и Рак". Энтузиасты стараются, а у Тотала воз и ныне там.


----------



## gjf

SNS-amigo написал(а):


> И непонятно какого рожна VT вмантурил в себя устаревшие версии антивирусных движков и, некоторых, ещё по две штуки.


Ну кого дали - теми и пользуются  Тем паче, что новые движки могут и не поддерживаться в командной строке (а на VT именно такие и используют).



SNS-amigo написал(а):


> Представляю, как эти больше всех упрямились и не хотели признавать актуальность и злободневность проведённого теста.


И не говорите. На АМ остались хроники баталий


----------



## AS007

akoK написал(а):


> *AS007*, прошу прощения за скрытый пост, вас антиспам поймал
> 
> P>S> ЛК только сегодня добавила детект


Я вообще подумал модерируется, и как бы не переживал, но всё равно спасибо.
У антиспама реакция на слова - Kaspersky и NOD32, может так оно и есть  
Я отправлю через веб и мне приходят ответы, из последних что осталось, потому как не складирую это.
НОД32 (когда отправил, не помню, по времени)
Помню, что в архиве и с паролем virus, а не infected, в письме это указал.
*26 Июн 2011 19:22:35*
_Здравствуйте.
Ваше обращение зарегистрировано под номером ххх ххх_
*26 Июн 2011 22:18:43*
_Присланный Вами вирус определяется с версией базы данных сигнатур вирусов № хххх_
-------
Они отвечают по разному, от нескольких часов, до нескольких дней.
Я не то что бы проверить их работоспособность и Вашу статью, постоянно им отправляю.
Может потому что лето, и аналитики в отпуске и роботы перегреваются, шучу конечно, но всё может быть 
Предлагаю повторный тест в сентябре, и сравнить, что изменилось за 2 месяца лета.


----------



## akok

AS007 написал(а):


> Предлагаю повторный тест в сентябре, и сравнить, что изменилось за 2 месяца лета.


Думаю это сильно большой перерыв


----------



## AS007

akoK написал(а):


> Думаю это сильно большой перерыв


За то лето, закончится. Может стоит в тесте использовать известные почтовые сервисы - майл, яндекс, рамблер, гмайл, возможно это тоже влияет.

Ну а это, так, для закрепления материала)
*27 Июн 2011 18:10:28*
Virus Monitoring Service Doctor Web Ltd.
_Это сообщение автоматически сформировано в ответ на Ваш запрос
...
Вашему запросу назначен идентификатор [drweb.com #ХХХХХХХ]._
*27 Июн 2011 19:09:14*
Ivan Sorokin - Virus Monitoring Service Doctor Web Ltd.
_Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении._

В обоих случаях отправлялись баннеры.
На ЛК пока не чего нет, т.е. не чего не отправлял.
ЛК на момент отправки обоих баннеров, уже их определял, может они их пишут 
Всё, в этой теме больше спамить не буду :victory:


----------



## TavapHяk

Скажем так, протестировать *1 сентября*. Это день знаний, вот и проверить их всех на знания.










А F-Prot, что вообще промолчал?


----------



## SNS-amigo

TavapHяk написал(а):


> А F-Prot, что вообще промолчал?



Секрет данного явления прост и очевиден, т.е. оказывается F-Prot такие быстрые, что мы просто не успеваем увидеть этого детекта. Молниеносно проскальзывает!  

_Видишь суслика, нет? А он есть!_


----------



## Саныч

Хорошая работа. Крепкая. Подсуетятся ли? Или трон высок? :mda:


----------



## Severnyj

Небольшой анализ наших безответных и троллевых записей:

За последние несколько дней отправлял еще паки зловредов нашим вендорам, что вышло:


Нам видимо не повезло, что *Microsoft* нам не ответил - ответил почти на все тикеты отправленные *по форме* с указанием мыла.


*Avira* при отправке по почте так же отвечает *бессмысленным HTML-кодом*, добавили, не добавили, или это глюк Gmail - неизвестно.


Стали приходить ответы от *AVG* и *VBA32* - у *VBA* можно увидеть по отправленным карантинам из лечения, раньше такого не было.


Сегодня первый раз получил ответ автомата *Касперского*, что файл карантина отправлен аналитикам, то есть что-то поменялось.


*GDATA* при отправке через форму отвечает каждый раз (при первых моих тестах ответа не было)


Отправка сэмплов через форму на *Rising* все-таки работает, и не возвращает непонятного ответа.


В первых рядах по-прежнему: *Sophos*, *Dr.Web* и *Fortinet* - присылают подробные отчеты. (*кто* кстати, в курсе *бесплатного* использования FortiClient? - какие ограничения? - из поддержки так и не ответили).


У *Trojan Remover* почта то работает, то нет - письма возвращает назад.


*Bitdefender* и *Agnitum* так же отвечают через 48 часов, при этом BD дает ответ о заражении почти сразу, а Аутпост через неделю-две после отправки.


*Avast* - до сих пор их не пойму, - отправил пачку зловредов через форму (при этом на все на ВТ детект 30 - 35 из 43) - пометили, как СПАМ. Отправляю по одному - добавляют выборочно примерно 2/3 из отправленного.


*eScan* - форма то работает, то нет - а именно: иногда приходит ответ о дабалении в базы, а иногда о том, что в присланном мной сообщении прикрепленных файлов нет.


----------



## gjf

VirusBuster надо писать на support@virusbuster.hu - тогда пойдёт аналитикам.


----------



## akok

У ЛК изменился шаблон ответа на email.

С



> Hello,
> 
> This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.



На



> Hello,
> 
> This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.



Смена шаблона произошла 28 июня...


----------



## S.R

Severnyj написал(а):


> Avira при отправке по почте так же отвечает бессмысленным HTML-кодом, добавили, не добавили, или это глюк Gmail - неизвестно.


на @mail аналогичная ситуация. отправил им письмо с описанием проблемы - пока молчат.


----------



## AS007

Severnyj написал(а):


> [*]*Avira* при отправке по почте так же отвечает *бессмысленным HTML-кодом*, добавили, не добавили, или это глюк Gmail - неизвестно.





S.R написал(а):


> на @mail аналогичная ситуация. отправил им письмо с описанием проблемы - пока молчат.


А вот, не соглашусь я с Вами. Отправил два подряд зловреда.




отправлял с веб морды

_Добавлено через 9 минут 34 секунды_
вот конечный результат





PS.Объедините посты, пожалуйста.


----------



## SNS-amigo

akoK написал(а):


> У ЛК изменился шаблон ответа на email.


Если их спросить, почему поменяли и не вышеизложенный тест ли тому виной.

Ответ очевиден — да, нет, конечно, мы сами с усами (т.с. краткая версия, на самом деле там фан-голосья на неделю будет).


----------



## Severnyj

AS007 написал(а):


> А вот, не соглашусь я с Вами. Отправил два подряд зловреда.



А мы про отправку по e-mail говорим, попробуйте, тогда не соглашайтесь


----------



## AS007

Severnyj написал(а):


> А мы про отправку по e-mail говорим, попробуйте, тогда не соглашайтесь


Пробую и не соглашаюсь :sarcastic: если речь шла про Авиру
Первый скриншот - отправил письмо с вирусом, второй - ответ от Авиры.



 - 




_Добавлено через 8 минут 58 секунд_
Я писал не про время сколько отвечают они, а про это, выделено красным


Severnyj]Avira при отправке по почте так же отвечает [B][COLOR="Red написал(а):


> бессмысленным HTML-кодом[/COLOR][/B], добавили, не добавили, или это глюк Gmail - неизвестно.


 и про


S.R написал(а):


> *на @mail аналогичная ситуация*. отправил им письмо с описанием проблемы - пока молчат.


 посмотрите на скриншот, там есть *бессмысленный HTML-код*, и время отправки и принятия писем.

_Добавлено через 2 минуты 39 секунд_
Это то что не вошло в ответ на втором скриншоте


> Файл '0.2991469901240257.exe' отмечен как 'MALWARE'.Наши аналитики присвоили этой угрозе название TR/Ransom.DF.102.Относительно "TR/" речь идет о троянском коне, который в состоянии заполучит ваши данные, нарушить вашу частную сферу и производить нежелательные изменения системы.Образец распознавания был добавлен версией 7.11.10.137 файла определения вирусов (VDF).
> 
> Вы также можете просмотреть результаты анализа по следующему адресу:
> http://analysis.avira.com/samples/d...6EvwTcm0ZUPQCBM3tqL2KMkRLPv&incidentid=774727
> 
> Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
> http://analysis.avira.com/samples/details.php?uniqueid=sQBLU6EvwTcm0ZUPQCBM3tqL2KMkRLPv
> 
> Мы рекомендуем использовать для дальнейших отправок формуляр загрузки файлов. Если результат известен, то он будет сразу отображен там в режиме реального времени. Сообщения о зараженных файлах, в отношении которых подозревается ложное срабатывание, впредь могут быть переданы только через данный формуляр. http://analysis.avira.com/samples/index.php?lang=de
> 
> Примечание: Пожалуйста, обращайтесь со специфичными вопросами по адресу support@avira.com
> 
> С уважением,
> Лаборатория анализа вирусов Avira


----------



## Severnyj

Значит Вам везет у меня сегодня отправка 2ух паков и ответ такой же:



> Avira Lab Response - Tracking number 774770
> X
> Ответить
> от	Avira Virus Lab Response Team noreply@avira.com
> кому
> дата	2 июля 2011 г. 18:05
> тема	Avira Lab Response - Tracking number 774770
> отправлено через	avira.com
> Скрыть подробные сведения 18:05 (5 ч. назад)
> <html>
> <head>
> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
> <style type="text/css">
> body, td, p, div, span { font-size: 12px; font-family: Arial; }
> </style>
> </head>
> <body>
> 
> </body>
> </html>



Отправлял через GMAIL.

Скрины:


----------



## Severnyj

Нашел прикольную страничку с описаниями [URL='_http://lurker.clamav.net/list/clamav-virusdb.html']обновлений баз ClamAV[/URL], где в любом описании обновления, например [URL='_http://lurker.clamav.net/message/20110716.102949.f617e11f.en.html']тут[/URL], видим такое (выделено мной):



> Submission-ID: 20050780
> Sender: *Virus Total*
> Submission notes: Already detected as Trojan.Agent-240208
> Added: No
> Virus name alias: Packed.Win32.Katusha.o (Kaspersky), Win32.Sector.17 (Drweb)



или



> Submission-ID: 20017396
> Sender: *Jotti *
> Sender: *Virus Total*
> Sender: *ShadowServer*
> Sender: *Sunbelt*
> Sender: *Immunet*
> Submission notes: Same as in Submission-ID 20096224
> Added: No


----------



## Smoke

gjf написал(а):


> Предлагаем читателям самостоятельно сделать выводы из приведённой информации. А от себя просто опубликуем картинку, авторство которой принадлежит компании Ikarus в относительно недалёком 2008 году.




Картинку можно перезалить???
тама нету картинки после текста...


----------



## Severnyj

Smoke написал(а):


> Картинку можно перезалить???
> тама нету картинки после текста...



Держите)))


----------



## Amator

Тема относительно стара, но я только сейчас обратил на нее внимание. Где то был вопрос про ЛК, так вот: как то я отправил им файлик-троян, который воровал пароли от аккаунтов Steam - ответ с детектом пришел спустя пол года(если мне память не изменяет). Потом была еще одна отправка - пришел ответ с именем аналитика и результатом анализа. Тем не менее я пользуюсь их ними продуктами.


----------



## akok

Вчера провел небольшое исследование которое не претендует на статус субъективного, это больше "крик души"

*Предисловие:*
Получил я дамп MBR пораженного MBRlock (смотрим тему с описанием). Проверка на www.virustotal.com ничего не давала:
http://www.virustotal.com/file-scan...9dccf5370adb6a1be4d077678d8e9d18b4-1322048806

Теперь поговорим о самом исследовании:

23.11.11 в 15 часов по Киевскому времени я провел рассылку следующим венвендорам:
1. microsoft
2. Лаборатории Касперского (по всем трем каналам пересылки карантинов)
3. DrWeb - он-лайн форма
4. Fortinet - e-mail

Первым отреагировал drweb который отреагировал через 3 часа сообщением автомата 



> Ваш ресурс был обработан Автоматическая система. Эта угроза уже знакомый нам. Соответствующая запись имеется в вирусной базе Dr.Web.
> Угроза: *Trojan.MBRlock.17*



Ну хоть так в общем подтвердили свою репутацию. Молодцы.

На сим пока все: 
http://www.virustotal.com/file-scan...9dccf5370adb6a1be4d077678d8e9d18b4-1322124276


*А теперь о том, почему это исследование нельзя назвать официальным или репрезентативным.*

Этот семпл был разослан на сутки ранее при помощи нашей системы обработки карантинов и получателями были ЛК, Drweb, Fortinet. В ответ получены только ответы автоматов и реакция вирлаба Fortinet который таки не разобрался с семплом.


> Dear Customer,
> 
> Thank you for submitting the sample to Fortinet. Our analysis shows that the submitted sample is not infected with any malicious code.



Молчание больших игроков принудило меня заняться ручной рассылкой используя личные почтовые ящики.

Теперь на правах шутки... грустной шутки.
Лаборатория Касперского получила семпл тремя путями:


Отправка по почте
Отправка через общую форму
Отправка из "личного кабинета" (для пользователей имеющих лицензию)


*Выводы:*
Хоть наше старое исследование и побудило некоторый игроков антивирусного рынка немного изменить подход оформив формы поясняющими надписями, но в реальности ничего не изменилось... есть у тебя лицензия или нет.


----------



## gjf

akoK написал(а):


> Ваш ресурс был обработан Автоматическая система. Эта угроза уже знакомый нам.


Я есть плёх говорить на ваш проклятый рюсский! :-D



akoK написал(а):


> в реальности ничего не изменилось... есть у тебя лицензия или нет.


Костя, а ты всё-таки доверчивый романтик 
Напиши об этом на АМ - я уверен, тебе дадут 100500 ответов, почему это так получилось, а также 100500 доказательств, что ты - дурак


----------



## akok

gjf написал(а):


> Я есть плёх говорить на ваш проклятый рюсский! :-D


Моя вина. В почте включен переводчик от google  


gjf написал(а):


> Напиши об этом на АМ


Не будем ворошить улей  они и так там "нервные" и готовы прыгнуть на любую амбразуру 



> Костя, а ты всё-таки доверчивый романтик


:sarcastic: какой есть

Семпл я еще отправлял через форму в вирлаб Zillya!, но не ожидал никакой реакции. Не скрою удивлен:



> Добрый день, уважаемый Константин.
> 
> Благодарим Вас за активное сотрудничество касательно персональной
> версии нашего антивирусного программного решения Zillya! Антивирус!
> 
> Относительно предоставленного Вами в предыдущем письме архива (Дампа
> MBR), зараженного новой модификацией одной из наиболее актуальных на
> сегодня вредоносных программ Win.Lock, учитывая ее актуальность и
> необходимость оперативного изучения, будем благодарны за информацию от
> Вас, переустановили ли Вы уже зараженную операционную систему и, если
> нет, за возможность ее дополнительного изучения.
> 
> Надеемся на дальнейшее успешное и плодотворное взаимодействие в будущем!


----------



## Severnyj

akoK написал(а):


> Надеемся на дальнейшее успешное и плодотворное взаимодействие в будущем!


Надо им вендорский раздел организовать))


----------



## akok

akoK написал(а):


> Лаборатория Касперского получила семпл тремя путями:


Ответ пришел на адрес который я указывал при регистрации лицензии.



> Здравствуйте,
> 
> tsk0000.dta - Trojan-Ransom.Boot.Mbro.e



_Добавлено через 1 минуту 19 секунд_


Severnyj написал(а):


> Надо им вендорский раздел организовать))


Уже где-то встречал их раздел... нашел stopmalware.kz


----------



## Severnyj

Чем-то у них иконки похожи :


----------



## Drongo

Severnyj написал(а):


> Надо им вендорский раздел организовать))


Но вроде бы Zillya! бесплатно был доступен только для граждан Украины.


----------



## akok

Drongo написал(а):


> Но вроде бы Zillya! бесплатно был доступен только для граждан Украины.


http://zillya.ua/ru/zillya-antivirus.html


----------



## akok

Fortinet реабилитировался после пояснений что они получили.



> Thank you for bringing this to our attention. I've added detection for the previously submitted sample, which will be included in the next regular update.
> 
> The sample will be detected as follows:
> tsk0000.dta - W32/Mbro.E!tr



А может виноват детект на virustotal?


----------



## Severnyj

Avast:



> Мы проверим и добавим в ВБД.
> Ewelina Wrzosek
> Technical Support
> AVAST Software a. s.
> www.avast.com


----------



## groft

Severnyj написал(а):


> Небольшой анализ наших безответных и троллевых записей:
> За последние несколько дней отправлял еще паки зловредов нашим вендорам, что вышло:
> 
> [*]Стали приходить ответы от *AVG* и *VBA32* - у *VBA* можно увидеть по отправленным карантинам из лечения, раньше такого не было.
> [/LIST]


Хоть и давно писали, но увидел лишь сейчас. Сэмплы высылали по почте на какой ящик? Cлучаем не на newvirus?


----------



## Severnyj

Именно на newvirus, если есть изменения укажите пожалуйста другой


----------



## groft

Severnyj написал(а):


> Именно на newvirus, если есть изменения укажите пожалуйста другой


1) Eсли ответ не нужен, и Вы точно знаете, что высланные Вами файлы представляют вирусную угрозу, то пишем сюда: newvirus[@]anti-virus.by
2) Если нужен ответ, то пишем сюда feedback[@]anti-virus.by
3) Высланные файлы через карантин антивируса обрабатываются в любом случае с ответом по почте.


----------



## regist

> Fortinet реабилитировался после пояснений что они получили.



читал где-то тут сообщение от *Severnyj*, сегодня ситуация в точности повторилась шлю им зловреда, в ответ


> Thank you for submitting the sample to Fortinet. Our analysis shows that the sample submitted by you *is not infected* with any malicious code.


 пишу прямо в формеи быстрого ответа этого письма как этот файл обзывают другие антивирусы и какие от него последствия, приходит новый ответ


> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.


----------



## regist

базу антивируса, где работают такие аналитики даже пополнять, как-то и не хочется.


----------



## gjf

Много было сказано, прошёл почти год - но ситуация по-прежнему печальная.

Интересно, что же вендоры буркнут в этот раз?

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1713&p=14136#p14136


----------



## akok

ЛК - не обрабатывают тикеты если нет лицензии как оказывается.


gjf написал(а):


> Интересно, что же вендоры буркнут в этот раз?


Расшифруй, в чем там соль.


----------



## gjf

Там был выложен дроппер ZeroAccess. За две недели вендоры добавил дроппер в детект, но поинфекченный services.exe и шеллкод добавить как-то забыли  Однобокий детект. Видимо, опять понадеялись на автоматику - при чём все...


----------



## akok

Нужно было писать в вирлабы поясняловки.


----------



## regist

akoK написал(а):


> К - не обрабатывают тикеты если нет лицензии как оказывается.


не обрабытывает вообще или просто не присылает ответ аналитика?


----------



## akok

regist написал(а):


> не обрабытывает вообще или просто не присылает ответ аналитика?


Аналитик их не видит.


----------



## akok

Обновил сбитые таблицы


----------

