ВВЕДЕНИЕ
В последнее время стало актуальным и по-своему модным изучение различных аспектов имеющихся на рынке антивирусов: скорости сканирования, ресурсоемкости, самозащиты, эффективности лечения и т.д. Не последним фактором, в свете растущего количества новых угроз, является скорость реагирования вирусных лабораторий на новые образцы зловредов.
Ранее проводились работы по оценки этой скорости реагирования с помощью таких сервисов, как VirusTotal. Однако эти работы имеют ряд недостатков:
- сам VirusTotal заявляет о необъективности подобных исследований;
- нет уверенности, что некоторым вирусным лабораториям исследуемые образцы не попали по другим каналам с более высоким приоритетом и/или раньше по времени.
По этой причине наша команда решила попытаться выполнить эту работу самостоятельно, максимально снизив риск влияния посторонних факторов.
ПОДГОТОВКА ОБРАЗЦОВ
Основную проблему для выполнения подобного исследования представляет собой поиск вредоносного образца, ранее неизвестного антивирусным компаниям. Проблема сложная, её решение – создание вредоноса самостоятельно, что противоречит убеждениям настоящей команды исследователей, либо упаковка существующего образца неким новым пакером/криптором, ранее неизвестного вендорам. Последнее и было взято на вооружение.
Существует множество алгоритмов, реализуемых в пакерах/крипторах. Как правило, распаковка подобных файлов чрезвычайно сложна, а в ряде случаев – нецелесообразна, что приводит к появлению детектов типа Krap, Packed, Black.a и т.д., то есть образец детектируется по методу упаковки и характерным сигнатурам пакера, а не по вредоносному коду. С одной стороны – это приводит к сравнительно быстрому анализу и детектированию вредоносного кода со стороны вирусных лабораторий, а также снижению нагрузки на систему пользователя антивируса в ходе процесса распаковки, с другой – к многочисленным ложным срабатываниям на пиратские кейгены/патчи, авторы которых скрывают свои наработки от конкурентов с помощью таких же пакеров/крипторов.
Авторами разработан оригинальный алгоритм упаковки, позволяющий сбить сигнатуры, заключавшийся в следующем:
- Образец дроппера упаковывался в архив одним из популярных архиваторов с шифрованием содержимого и заголовка архива.
- В единый исполняемый файл упаковывался как архив, так и утилита для разархивирования и скрипт на командном языке Windows, запускающий разархивирование с искомым паролем в %temp%, а затем запускающий собственно дроппер.
- Полученный файл упаковывался UPX.
Детали обработки умышленно не публикуются по понятным причинам, однако заявляем, что работа по перепаковке одного образца не занимает более 1-2 минут.
В качестве исходных дропперов были выбраны образцы актуальных угроз: TDL4, GPCode.ax, Kolab и SpyEye 1.3. Для проверки ложного срабатывания аналогичным образом были упакованы файлы из дистрибутива Windows - regedit.exe, notepad.exe и cmd.exe.
Полученные экземпляры проверялись на физических (Windows XP Pro SP3 Rus с актуальными обновлениями) и виртуальных системах (та же система на VMWare Workstation 7.1.4 build 385536, хост – Windows 7 Ultimate SP1). Работоспособность образцов была подтверждена, в случае вредоносов система заражалась. Однако обращаем внимание на то, что несмотря на безусловную вредоносность полученных образцов, имеющийся на системе активный резидентный антивирус эффективно предотвращал заражение, своевременно детектируя распакованный дроппер и блокируя его последующий запуск. Системы HIPS также позволяют эффективно предотвратить заражение, однако для этого необходимо некоторое понимание происходящих процессов.
Подчёркиваем, что предлагаемая методика упаковки довольно убога, в реальности встречаются намного более успешные методы, позволяющие обойти как антивирус, так и HIPS. Однако, поставленную задачу – убрать детект – этот метод успешно выполнил и потому был применён в работе.
ХОД ИССЛЕДОВАНИЯ
Три различных перепакованных, как указано выше, образца вредоносов А, В, С и D, у которых расширение было изменено с "ехе" на "е_е" (за исключением образца D), были направлены в вирусные лаборатории по четырём каналам.
- С корпоративного адреса на базе Google Mail s**orov<at>safezone.cc (буквы опущены во избежание спама) на vendors<at>malware-research.co.uk направлялся образец А, упакованный а zip-архив с паролем "infected" (здесь и далее пароли читать как без кавычек). В основе образца A был червь Kolab.
- С корпоративного адреса на базе Google Mail iv**ov<at>safezone.cc (буквы опущены во избежание спама) на ящики вирусных лабораторий, указанные на официальных сайтах, направлялся образец В, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца B был троян SpyEye.
- На официальных сайтах антивирусных компаний на соответствующих формах для сообщения о новой угрозе, был загружен образец С, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца С был дроппер TDL4. В качестве контактного адреса везде, где возможно, указывался корпоративный адрес на базе Google Mail p**rov<at>safezone.cc (буквы опущены во избежание спама).
- На сайт VirusTotal был загружен образец D, детект на момент загрузки:
| AhnLab-V3 | 2011.06.15.00 | 40708 | - |
| AntiVir | 7.11.9.204 | 40709 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 40709 | - |
| Avast | 4.8.1351.0 | 40709 | - |
| Avast5 | 5.0.677.0 | 40709 | - |
| AVG | 10.0.0.1190 | 40709 | - |
| BitDefender | 45329 | 40709 | - |
| CAT-QuickHeal | 11.00 | 40709 | - |
| ClamAV | 0.97.0.0 | 40709 | - |
| Commtouch | 5.3.2.6 | 40709 | - |
| Comodo | 9074 | 40709 | - |
| DrWeb | 5.0.2.03300 | 40709 | - |
| eSafe | 7.0.17.0 | 40709 | - |
| eTrust-Vet | 36.1.8387 | 40709 | - |
| F-Prot | 4.6.2.117 | 40709 | - |
| F-Secure | 9.0.16440.0 | 40709 | - |
| Fortinet | 4.2.257.0 | 40709 | - |
| GData | 22 | 40709 | - |
| Ikarus | T3.1.1.104.0 | 40709 | - |
| Jiangmin | 13.0.900 | 40708 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4812 | 40708 | - |
| Kaspersky | 9.0.0.837 | 40709 | - |
| McAfee | 5.400.0.1158 | 40709 | - |
| McAfee-GW-Edition | 2010.1D | 40709 | - |
| Microsoft | 1827310 | 40707 | - |
| NOD32 | 6210 | 40709 | - |
| Norman | 40365 | 40709 | - |
| nProtect | 2011-06-15.02 | 40709 | - |
| Panda | 10.0.3.5 | 40708 | - |
| PCTools | 7.0.3.5 | 40709 | - |
| Prevx | 3.0 | 40709 | - |
| Rising | 23.62.02.05 | 40709 | - |
| Sophos | 4.66.0 | 40709 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 40709 | - |
| Symantec | 20111.1.0.186 | 40709 | Suspicious.Cloud.5 |
| TheHacker | 6.7.0.1.230 | 40708 | - |
| TrendMicro | 9.200.0.1012 | 40709 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 40709 | - |
| VBA32 | 3.12.16.1 | 40709 | - |
| VIPRE | 9588 | 40709 | - |
| ViRobot | 2011.6.15.4513 | 40709 | - |
| VirusBuster | 14.0.80.1 | 40708 | - |
В основе образца D был дроппер GPCode.ax.
Как показало предварительное исследование, Avira, Symantec и Jiangmin (последний в исследовании не участвовал) обнаруживают ложный детект на упакованный образец. Доказательством этого может служить аналогичный детект для безвредного файла (regedit.exe), упакованного по нашему методу:
| Antivirus | Version | Update Date | Detection |
|---|---|---|---|
| AhnLab-V3 | 2011.06.15.00 | 2011.06.14 | - |
| AntiVir | 7.11.9.204 | 2011.06.15 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 2011.06.15 | - |
| Avast | 4.8.1351.0 | 2011.06.15 | - |
| Avast5 | 5.0.677.0 | 2011.06.15 | - |
| AVG | 10.0.0.1190 | 2011.06.15 | - |
| BitDefender | 7.2 | 2011.06.15 | - |
| CAT-QuickHeal | 11.00 | 2011.06.15 | - |
| ClamAV | 0.97.0.0 | 2011.06.15 | - |
| Commtouch | 5.3.2.6 | 2011.06.15 | - |
| Comodo | 9074 | 2011.06.15 | - |
| DrWeb | 5.0.2.03300 | 2011.06.15 | - |
| eSafe | 7.0.17.0 | 2011.06.15 | - |
| eTrust-Vet | 36.1.8387 | 2011.06.15 | - |
| F-Prot | 4.6.2.117 | 2011.06.15 | - |
| F-Secure | 9.0.16440.0 | 2011.06.15 | - |
| Fortinet | 4.2.257.0 | 2011.06.15 | - |
| GData | 22 | 2011.06.15 | - |
| Ikarus | T3.1.1.104.0 | 2011.06.15 | - |
| Jiangmin | 13.0.900 | 2011.06.14 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4812 | 2011.06.14 | - |
| Kaspersky | 9.0.0.837 | 2011.06.15 | - |
| McAfee | 5.400.0.1158 | 2011.06.15 | - |
| McAfee-GW-Edition | 2010.1D | 2011.06.15 | - |
| Microsoft | 1.6903 | 2011.06.13 | - |
| NOD32 | 6210 | 2011.06.15 | - |
| Norman | 6.07.10 | 2011.06.15 | - |
| nProtect | 2011-06-15.02 | 2011.06.15 | - |
| Panda | 10.0.3.5 | 2011.06.14 | - |
| PCTools | 7.0.3.5 | 2011.06.15 | - |
| Prevx | 3.0 | 2011.06.15 | - |
| Rising | 23.62.01.04 | 2011.06.15 | - |
| Sophos | 4.66.0 | 2011.06.15 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 2011.06.15 | - |
| Symantec | 20111.1.0.186 | 2011.06.15 | Suspicious.Cloud.5 |
| TheHacker | 6.7.0.1.230 | 2011.06.14 | - |
| TrendMicro | 9.200.0.1012 | 2011.06.15 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 2011.06.15 | - |
| VBA32 | 3.12.16.1 | 2011.06.15 | - |
| VIPRE | 9588 | 2011.06.15 | - |
| ViRobot | 2011.6.15.4513 | 2011.06.15 | - |
| VirusBuster | 14.0.80.1 | 2011.06.14 | - |
По этой причине на формы, отвечающих за ложное срабатывание на сайтах компаний, у которых это срабатывание было отмечено, был отправлен упакованный по нашей методике notepad.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах.
Параллельно, на электронные адреса вирусных лабораторий этих компаний был направлен упакованный по нашей методике cmd.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах (обычно – указание в теме письма фразы типа FalseAlarm).
Все указанные работы были проведены в период с 16:00 до 17:00 МСК 15 июня 2011 года. От того момента до окончания проведения тестирования никаким иным образом исследуемые образцы в Сеть не поступали.
Следует отметить, что у ряда вендоров система отправки новых образцов весьма противоречива. Так, компании AhnLab , Protector Plus, SandBox Information Center и McAfee требуют, чтобы у аппликанта (заявителя) был установлен их антивирусный продукт, в противном случае регистрация на сайте для отправки образца будет невозможна. Symantec указывает, что подозрительный файл должен отсылаться "как есть", а не в архиве с паролем, что может затруднить отправку в случае наличия активного антивируса на машине аппликанта или на одном из шлюзов. Emsisoft, NANO Антивирус и F-Prot не предусматривают обратной связи по отправленному файлу. F-Secure после загрузки файла более получаса занимались какой-то работой, в итоге так и не выдали никакого сообщения об удачном получении. NANO Антивирус и Panda требуют довольно нестандартный версии упаковки подозрительный файлов: первый – zip-архив с паролем 123, а второй – rar-архив (!!!) с паролем 111. Более того, NANO Антивирус не поддерживает обратную связь, после загрузки файла 10 минут сайт никак не реагировал и в итоге был закрыт (имеется в виду окно браузера). Rising AV предлагает прислать архив без пароля (что также легко может быть заблокировано на шлюзах), в ответ на файл сервер отвечает, цитируем
ґ¦Ан URL К±·юОсЖчіцґнЎЈЗлУлПµНі№ЬАнФ±БЄПµЎЈ
Особо хочется выделить Sophos, при оформлении заявки выдающий целый диалог с указанием причины отсылки и пароля на архив – очень удобно и понятно, хоть и на английском. И в раздел юмора – вопрос от ViRobot:
If another antivirus products already detected the file except ViRobot, please write down the name of antivirus product and the detection name including the suspicious virus files."
"Если другой антивирусный продукт уже детектирует этот файл, пожалуйста, укажите имя этого продукта и имя детекта на каждый из подозреваемых файлов."
В ходе исследования регулярно проверялась папка «Спам» во избежание того, чтобы чьё-то сообщение оказалось ошибочно признанным как спам и в итоге – незамеченным.
Тестирование было завершено 22.06.2011 в 16:00 МСК, после этого никакие ответы вирусных лабораторий не принимались, таким образом общее время приёма ответов составило 7 календарных дней или 5 рабочих (без субботы и воскресенья).
ОТКЛИКИ ВИРУСНЫХ ЛАБОРАТОРИЙ
Безусловно, самый высокий приоритет ожидался у обращений, выполненных с официального сайта – не зря же необходимо вводить капчи, заполнять формы и трудиться, чтобы помочь вирусной лаборатории! Однако на практике это оказалось отнюдь не таким очевидным.
Таблица 1. Результаты загрузки образцов на веб-формы антивирусных компаний.
| Компания | Адрес веб-формы | Уведомление о получении | Присвоение детекта |
|---|---|---|---|
| Ad-Aware | Upload malware samples: Submit suspicious files | Adaware www.lavasoft.com | - | |
| Agnitum | http://www.agnitum.ru/support/submit_files.php | Да. | Спустя 50 ч сообщили, что переслали на отдел аналитиков. |
| AhnLab | http://global.ahnlab.com/en/site/support/virusreport/virusReport.do | ||
| ArcaVir | Arcabit - Najlepszy Polski Program Antywirusowy www.arcabit.com | ||
| avast! | https://support.avast.com/index.php?_m=tickets&_a=submit | Да | |
| AVG | samplesubmit.avg.com samplesubmit.avg.com | Да, выдали результат детектирования текущими базами: детекта нет | |
| Avira Antivir | analysis.avira.com | Да | Автомат: < 2 ч False сняли через 13 ч. |
| BitDefender | www.bitdefender.comwww.bitdefender.com | Да | Спустя 51 ч сообщили, что переслали на отдел аналитиков. |
| CA Technologies | http://gsa.ca.com/submitmalware.aspx | Да | |
| ClamWin | http://cgi.clamav.net/sendvirus.cgi | ||
| COMODO | www.comodo.com | ||
| Dr.Web | support.drweb.com | Да | Автомат: < 2 ч: Trojan.Downloader3.31146 |
| Emsisoft | www.emsisoft.com | Нет и не предусмотрено | |
| eScan MicroWorld Technologie | http://support.mwti.net/support/index.php?_m=tickets&_a=submit | Да | 40 ч: Trojan.Agent.Dropper.BBH |
| ESET | Да | < 2 ч – провал, неопасен | |
| F-PROT Antivirus | www.f-prot.comwww.f-prot.com | Нет и не предусмотрено | |
| F-Secure | http://www.f-secure.com/samples/ | Да | |
| Fortinet | http://www.fortiguard.com/antivirus/virus_scanner.html | Да | 7 ч: W32/Dropper.8CC0!tr |
| Kaspersky | support.kaspersky.ru | support.kaspersky.ru | Да |
| GData | https://vdf1.gdatasoftware.com/SU/SampleUpload/ | Сразу ответил аналитик (запрос пароля) | 19 ч |
| Microsoft | www.microsoft.com | ||
| MooSoft | http://moosoft.com/submit-sample | ||
| Nano AV | E-Style Software Corp. – Advanced Anti-Virus, Malware and Cyber Threat Protection | Нет и не предусмотрено | |
| Norman Antivirus | sandbox.norman.no sandbox.norman.no | Да | Прислали протокол анализа в песочнице, где ничего не нашли. |
| PC Tools Spyware Doctor | www.pctools.com | ||
| Protector Plus | http://www.pspl.com/support/samplesubmit.htm | ||
| Quick Heal | http://support.quickheal.com/esupport/index.php?_m=tickets&_a=submit | Сразу ответил аналитик | < 2 ч. |
| Rising AV | sample.rising-global.com | ||
| Sophos | secure.sophos.com | Да | Автомат с подробным протоколом: < 2 ч: Troj/Bckldr-RHW и Troj/TDSS-HI |
| Spybot-S&D | http://www.safer-networking.org/ru/contact/detections.html | ||
| Symantec, Norton | Upload a suspected infected file (Retail) | Да | |
| Trend Micro | http://subwiz.trendmicro.com/SubWiz...ionid=E4DC58D1A1D74AA895098326221B9D41&proc=7 | ||
| ViRobot | (주)하우리 | Да | |
| VirusBuster | https://support.virusbuster.hu/index.php?_m=tickets&_a=submit | ||
| Zillya! | www.zillya.ua | Да |
Таблица 2. Результаты отправки образцов на электронную почту лабораторий антивирусных компаний.
| Компания | Электронная почта | Уведомление о получении | Присвоение детекта |
|---|---|---|---|
| Agnitum | malware@agnitum.comticket@agnitum.com | Спустя 50 ч сообщили, что переслали на отдел аналитиков. | |
| ArcaVir | virus@arcabit.com | ||
| avast! | virus@avast.com | ||
| AVG | virus@avg.com | 47 ч | |
| Avira Antivir | virus@avira.com | Да, но ответ нечитабельный | |
| BitDefender | virus_submission@bitdefender.com | ||
| CA Technologies | virus@ca.com | Да | |
| ClamWin | clamwin@clamwin.com | ||
| Command AV | virus@authentium.com | ||
| COMODO | malwaresubmit@avlab.comodo.com | ||
| Dr.Web | vms@drweb.com | Да | Автомат: < 2 ч: Trojan.Downloader3.31146 |
| Emsisoft | submit@emsisoft.com | ||
| eScan MicroWorld Technologie | samples@escanav.comsamples@mwti.net | Да | 16 ч: файл неопасен, через 20 мин – Trojan.Agent.Dropper.BBI |
| ESET | support@esetnod32.rusamples@eset.com | Да | < 2 ч – провал, неопасен |
| F-PROT Antivirus | viruslab@f-prot.com | ||
| Fortinet | submitvirus@fortinet.com | ||
| Ikarus | sample@ikarus.at | ||
| Jiangmin | support@jiangmin.com | ||
| Kaspersky | newvirus@kaspersky.com | Да | |
| GData | support@antivirusin.ru | Да | 25 ч: Trojan.Agent.Dropper.BBI |
| McAfee | virus_research@nai.comvirus_research@avertlabs.com | Да, автомат сообщил, что файл передан аналитику, поскольку автоматически не распознан | |
| Microsoft | avsubmit@submit.microsoft.com | ||
| Nano AV | virus@nanoav.ru | ||
| Norman Antivirus | analysis@norman.no | ||
| Panda | virus@pandasoftware.com | Да | |
| Quick Heal | viruslab@quickheal.com | ||
| Sophos | samples@sophos.com | Да | Автомат: < 2 ч |
| Symantec, Norton | avsubmit@symantec.com | ||
| Trend Micro | virus_doctor@trendmicro.com | ||
| VBA | newvirus@anti-virus.by | Ответ сразу от аналитика | < 2 ч, но сначала был отчёт о безвредности. |
| Vexira | virus_submission@centralcommand.com | ||
| VirusBuster | virus@virusbuster.hu | ||
| Webroot | submissions@webroot.com | ||
| Zillya! | virus@zillya.com | Да |
Таблица 3. Динамика изменения детекта на VirusTotal.
| Время (ч) | Безвредный файл (regedit.exe) | Вредоносный файл (GPCode.ax) |
|---|---|---|
0 | AntiVir 7.11.9.204 2011.06.15 DR/Delphi.Gen Jiangmin 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 | AntiVir 7.11.9.204 2011.06.15 DR/Delphi.Gen Jiangmin 13.0.900 2011.06.14 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |
4 | AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 | AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Emsisoft 5.1.0.8 2011.06.15 Downloader.Delphi!IK Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |
10 | AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Emsisoft 5.1.0.8 2011.06.15 Downloader.Delphi!IK Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.15 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 | AntiVir 7.11.9.226 2011.06.15 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.15 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.15 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.15 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.15 Suspicious.Cloud.5 |
17 | AntiVir 7.11.9.228 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 | AntiVir 7.11.9.228 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!CC7BF11E7007 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |
26 | AntiVir 7.11.9.236 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 | AntiVir 7.11.9.236 2011.06.16 DR/Delphi.Gen Ikarus T3.1.1.104.0 2011.06.16 Downloader.Delphi Jiangmin 13.0.900 2011.06.15 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.16 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.16 Artemis!CC7BF11E7007 Symantec 20111.1.0.186 2011.06.16 Suspicious.Cloud.5 |
44 | AntiVir 7.11.10.0 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.17 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.17 Suspicious.Cloud.5 | AntiVir 7.11.10.0 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.16 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.17 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.17 Mal/Generic-L Symantec 20111.1.0.186 2011.06.17 Suspicious.Cloud.5 |
60 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.17 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
78 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
96 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
120 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
144 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
168 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!3918A65C62C6 McAfee-GW-Edition 2010.1D 2011.06.18 Artemis!3918A65C62C6 Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 | AntiVir 7.11.10.12 2011.06.17 DR/Delphi.Gen Antiy-AVL 2.0.3.7 2011.06.17 Trojan/win32.agent.gen Ikarus T3.1.1.104.0 2011.06.17 Downloader.Delphi Jiangmin 13.0.900 2011.06.18 Backdoor/Hupigon.bhsf McAfee 5.400.0.1158 2011.06.18 Artemis!CC7BF11E7007 McAfee-GW-Edition 2010.1D 2011.06.17 Artemis!CC7BF11E7007 Sophos 4.66.0 2011.06.18 Mal/Generic-L Symantec 20111.1.0.186 2011.06.18 Suspicious.Cloud.5 |
Ответ на запрос по веб-форме
Первыми ласточками по веб-формам были Avira, Sophos, DrWeb, QuickHeal и ESET. Из них автоматическими службами первичного анализа, а не живыми аналитиками оказались DrWeb, Sophos и Avira, о чём они честно признались в ответе. Следует особо отметить Sophos: несмотря на то, что отвечал автомат, они предоставили протокол, в котором указали, что детектируются и дроппер TDL4 (Troj/TDSS-HI) и наш упакованный образец (Troj/Bckldr-RHW). DrWeb просто обозвали образец Trojan.Downloader3.31146. Avira поставили свой диагноз, как и на ложном срабатывании (см. выше).
Norman прислали краткий результат анализа в песочнице, согласно которому ничего вредоносного обнаружено не было. Порекомендовали обратиться в местное отделение компании Norman для анализа вручную – видимо уверены, что лечение нам интересно куда более чем им, как представителям антивирусной компании. Agnitum сразу подтвердили получение файла, но только спустя 50 ч (!!!) пришло сообщение, что файл передан аналитикам. Непонятно, что делалось до этого времени. BitDefender сделали то же самое, но спустя 51 ч – видимо, это становится модным.
Поскольку DrWeb и Sophos разделили пальму первенства, но только по скорости работы автоматических систем анализа, то в качестве дополнительного задания мы направили им lsass.exe из Windows XP SP3 Pro Rus, упакованный по описанному выше алгоритму. Отправка была произведена 16 июня 2011 года в 15:30 МСК.
Ответ о принятии образца пришёл опять довольно быстро, но вот результаты анализа отличились: Sophos, которые в прошлый раз управились всего на 20 минут быстрее DrWeb, в этот раз обогнали его радикально – ответ мы получили примерно за час от Sophos, а от DrWeb не получили вообще. Справедливости ради отметим, что автор, отправлявший на исследование в Sophos упакованный lsass.exe, вначале ошибся и отправил упакованный winhlp.exe, но без дополнительного сжатия UPX. Так вот, несмотря на присвоения номера обращения, на winhlp.exe ответ от Sophos получен тоже не был.
Тем не менее, к сожалению, тест показал, что Sophos заклеймили безобидный файл грозным именем Troj/Agent-SBK, но, правда, показал, что упакованный lsass.exe – чистый. Результат разочаровал: несмотря на один и тот же метод упаковки файл получил разные детекты – значит, детектируется не алгоритм упаковки. С другой стороны – последний файл не нёс никакого вреда, значит Troj/Agent-SBK – ложное срабатывание, сгенерированное автоматической системой. При этом распаковка вложенного файла должного впечатления не произвела – для этого образец достаточно было запустить: никакой процедуры сокрытия распакованного файла и/или его удаления по окончании работы нами не предусматривалось, в отличие от реальных дропперов.
В QuickHeal ответил настоящий живой человек по имени Rahul! Ответил он весьма скудно, что образец вредоносен, детект будет добавлен вечером, а наше обращение теперь закрыто с low priority.( низкий приоритет)
Немного отдельно стоит ответ G-Data, которые спросили пароль на архив. После этого углубились в изучение на почти сутки (19 ч), но в итого признали файл вредоносным. В eScan такое изучение длилось 40 ч, итог – Trojan.Agent.Dropper.BBH.
И былинно провалили тест ESET, объявив файл не вредоносным.
Безошибочно файл признал трояном Fortinet через 7 ч, через 13 ч подоспели Avira со снятием ложного срабатывания, но вредоносный образец ещё не получил вердикт.
Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.
Безвредный файл (notepad.exe):
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.66 | 22.06.2011 | - |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | - |
| Avast | 4.8.1351.0 | 22.06.2011 | - |
| Avast5 | 5.0.677.0 | 22.06.2011 | - |
| AVG | 10.0.0.1190 | 22.06.2011 | - |
| BitDefender | 22.06.2011 | - | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | - | 22.06.2011 | - |
| DrWeb | 5.0.2.03300 | 22.06.2011 | - |
| eSafe | 7.0.17.0 | 21.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | - |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | - | 22.06.2011 | - |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | - |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | - |
| Microsoft | 22.06.2011 | - | |
| NOD32 | - | 22.06.2011 | - |
| Norman | 06.07.2010 | 22.06.2011 | - |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | - |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | - |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | - | 22.06.2011 | - |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | - |
Вредоносный файл (TDL4) – интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял:
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.66 | 22.06.2011 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | Trojan/win32.agent.gen |
| Avast | 4.8.1351.0 | 22.06.2011 | Win32:Trojan-gen |
| Avast5 | 5.0.677.0 | 22.06.2011 | Win32:Trojan-gen |
| AVG | 10.0.0.1190 | 22.06.2011 | Generic4_c.PYB |
| BitDefender | 22.06.2011 | Trojan.Agent.Dropper.BBH | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | TrojanDropper.TDSS.kl |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 9154 | 22.06.2011 | - |
| DrWeb | 5.0.2.03300 | 22.06.2011 | Trojan.DownLoader3.31142 |
| eSafe | 7.0.17.0 | 21.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | Trojan.Agent.Dropper.BBH |
| Fortinet | 4.2.257.0 | 22.06.2011 | W32/Dropper.8CC0!tr |
| GData | 22 | 22.06.2011 | Trojan.Agent.Dropper.BBH |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | Artemis!E2C552F77F23 |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | Artemis!E2C552F77F23 |
| Microsoft | 22.06.2011 | - | |
| NOD32 | 6228 | 22.06.2011 | - |
| Norman | 06.07.2010 | 22.06.2011 | - |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | Trj/CI.A |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | - |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 9656 | 22.06.2011 | Trojan.Win32.Generic!BT |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | Trojan.Agent!Gu4rKvdJ1c4 |
Ответ на запрос по электронной почте
Из ответов на электронную почту следует выделить Avira, ответ которой, цитируем, был следующим:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<style type="text/css">
body, td, p, div, span { font-size: 12px; font-family: Arial; }
</style>
</head>
<body>
</body>
</html>
Нажмите для раскрытия...
Автомат DrWeb присвоил образцу из электронной почты точно тот же детект, что и присланному по веб-форме - Trojan.Downloader3.31146 (несмотря на разную природу упакованных дропперов и то, что по сути образцы ничего из сети не качают). Автомат Sophos не был столь исчерпывающим, как в ответе на веб-форму, сказав, что "файл вредоносен по своей природе", но не указав что и где, собственно, вредоносно. С другой стороны «порадовали» McAfee, прислав некое подобие графика, где показано, что результат автоматического исследования "inconclusive"( неокончательный), а потому файл передан аналитикам. Больше от них мы ничего не получали…
ESET – по-прежнему всё считают не вредоносным. Искренне надеемся, что наш эксперимент не заразил лабораторию ESET троянцами TDL4 и SpyEye.
Нас порадовали ВирусБлокАда – белорусы ответили очень быстро, признав файл невредоносным (!!!), однако спустя 20 минут аналитик прислал письмо, где сообщил, что файлу всё-таки присвоили детект. Никаких пояснений, никаких извинений – суровые белорусские парни! Аналогичным, но значительно медленнее – но и вежливее – были eScan, который спустя 16 ч признал файл безопасным, но не успели мы открыть шампанское, как спустя 20 мин вирлаб извинился и сообщил, что после повторного анализа файл признан вредоносным и получил детект – Trojan.Agent.Dropper.BBI. Пришлось опять пить кофе вместо шампанского, но недолго – спустя 25 ч мы получили абсолютно аналогичный детект Trojan.Agent.Dropper.BBI от GData. Кто у кого списал ответ – ответить не берёмся. Интересно, что обработка образца, отправленного eScan по почте, намного меньше времени, чем при отправке по веб-форме (см. выше).
AVG спустя почти двое суток разрушили молчание и сообщил о детекте, Agnitum же, как и в случае отправки по форме, только через 50 часов передали образец аналитикам на рассмотрение – и с концами. Впрочем, как видно, в таком поведении они не одиноки.
Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.
Безвредный файл (cmd.exe):
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.66 | 22.06.2011 | - |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | - |
| Avast | 4.8.1351.0 | 22.06.2011 | - |
| Avast5 | 5.0.677.0 | 22.06.2011 | - |
| AVG | 10.0.0.1190 | 22.06.2011 | - |
| BitDefender | 22.06.2011 | - | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 22.06.2011 | - | |
| DrWeb | 5.0.2.03300 | 22.06.2011 | - |
| eSafe | 7.0.17.0 | 21.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | - |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | 22.06.2011 | - | |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | - |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | - |
| Microsoft | 22.06.2011 | - | |
| NOD32 | 22.06.2011 | - | |
| Norman | 22.06.2011 | - | |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | - |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | - |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 22.06.2011 | - | |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | - |
Вредоносный файл (SpyEye) – интересно, что образец в прошлом уже анализировался 15.06.2011, хотя никто из нас его на VT не отправлял:
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.67 | 22.06.2011 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | Trojan/win32.agent.gen |
| Avast | 4.8.1351.0 | 22.06.2011 | Win32:Malware-gen |
| Avast5 | 5.0.677.0 | 22.06.2011 | Win32:Malware-gen |
| AVG | 10.0.0.1190 | 22.06.2011 | Dropper.Generic_c.KUX |
| BitDefender | 22.06.2011 | Trojan.Agent.Dropper.BBI | |
| CAT-QuickHeal | 11.0 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 22.06.2011 | - | |
| DrWeb | 5.0.2.03300 | 22.06.2011 | Trojan.DownLoader3.31146 |
| eSafe | 7.0.17.0 | 21.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | Trojan.Agent.Dropper.BBI |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | 22.06.2011 | Trojan.Agent.Dropper.BBI | |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | Artemis!40FBC78197E1 |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | Artemis!40FBC78197E1 |
| Microsoft | 22.06.2011 | - | |
| NOD32 | 22.06.2011 | - | |
| Norman | 22.06.2011 | - | |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | Trj/CI.A |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | - |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 22.06.2011 | Trojan.Win32.Generic!BT | |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | Trojan.Agent!gH7U3i81F8M |
Ответ на запрос на vendors<at>malware-research.co.uk
Полная тишина длилась почти пять часов. Ни благодарностей, ни отчётов о проблемах с доставкой – ничего. И лишь потом лениво поползли отчёты вирусных лабораторий. Первым пришёл DrWeb, которые сообщили о приёме на исследование, которое, забегая вперёд, длилось час и закончилось детектом от автоматической системы – но тут почему-то диагноз был не троян-даунлоадер, а Trojan.AVKill.6773. Почти одновременно с Вебом ответили CA Technologies и Лаборатория Касперского о приёме на анализ, но результатов не прислали. А теперь – сенсация: McAfee признали файл чистым! При чём традиционно отписались графиком автомата, но ниже – уже с припиской аналитика о чистоте.
Спустя семь (!!!) часов ответили Avira – так же, как и в случае прямого обращения по электронной почте, набором html-тегов, потому понять, принят файл на анализ или нет не представляется возможным.
Один из авторов этой статьи помнит времена, когда отправка на vendors<at>malware-research.co.uk вызывала буквально сразу шквал ответов от вирлабов, а потому, принимая настоящие задержки и скудность реакции можно утверждать, что данный адрес как средство отправки и изучения новых зловредов больше использоваться не может.
Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal. Итак, Kolab считают:
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.67 | 22.06.2011 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | - |
| Avast | 4.8.1351.0 | 22.06.2011 | Win32:Malware-gen |
| Avast5 | 5.0.677.0 | 22.06.2011 | Win32:Malware-gen |
| AVG | 10.0.0.1190 | 22.06.2011 | - |
| BitDefender | 22.06.2011 | - | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 22.06.2011 | Heur.Suspicious | |
| DrWeb | 5.0.2.03300 | 22.06.2011 | Trojan.AVKill.6773 |
| eSafe | 7.0.17.0 | 21.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | - |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | 22.06.2011 | Win32:Malware-gen | |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | - |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | - |
| Microsoft | 22.06.2011 | Trojan:Win32/Ircbrute | |
| NOD32 | 22.06.2011 | - | |
| Norman | 06.07.2010 | 22.06.2011 | - |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | Trj/CI.A |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | Suspicious.Cloud.5 |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 9656 | 22.06.2011 | - |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | - |
Развитие событий на VirusTotal
Ни для кого не секрет, что ресурсы типа VirusTotal отправляют все неизвестные образцы ведорам. Как правило, онлайновые мультисканеры, которые не поступают так же, либо платные, либо не отличаются количеством антивирусных движков. Закономерно, что, отправив образец на VirusTotal, мы ожидали некое изменение в списке детектируемых угроз.
В принципе, так и случилось. Только не совсем так, как мы ожидали. При повторной загрузке исследуемых файлов спустя 4 часа, обнаружилось следующее: перепакованный GPCode.ax стали узнавать эвристикой Ikarus и Emsisoft (детект последних как Downloader.Delphi!IK навевает на мысли, у кого на букву "Ik" этот детект был позаимствован, но на несчастном упакованном regedit.exe оказалось, что детект – просто общая тенденция на упаковщик, что в последнем случае просто привело к ложному срабатыванию. Странно и интересно, но в этом случае Emsisoft свои данные почему-то не предоставили вообще.
Через 10 часов подтянулись и облачные детекты McAfee – к сожалению, опять же на безобидный regedit.exe. Появился и характерный детект от Emsisoft. Для вредоносного GPCode.ax ситуация выровнялась: оба файла по мнению VirusTotal одинаково вредоносны, однако теперь почему-то для вредоноса в отчёте опять исчез Emsisoft.
Обнаружилось, что, по-видимому, у VirusTotal какая-то ограниченная договоренность с Emsisoft, поскольку результаты сканирования этим движком показываются через раз – через два без какой бы то ни было системы. По той причине, что детект Emsisoft давал на оба образца – и безвредный и вредоносный, а строка с детектом от этого движка появлялась совершенно случайным образом, больше мы не обращали внимание на этот детект, считая его не показательным.
Несмотря на то, что Avira сняли детект на ложное срабатывание через 13 ч с момента начала эксперимента, скан безвредного regedit на VirusTotal спустя 17 ч не показал никаких улучшений. Картина для вредоносного файла осталась той же.
Более или менее интересная картина обнаружилась спустя 44 ч: появился одинаковый детект на оба образца со стороны Ikarus – и о чудо! – Sophos эвристиком стали подозревать вредоносный файл и при этом пропускать безвредный. Это значительно воодушевило болельщиков за Sophos в нашей команде, после некоторого ропота, возникшего в результате детекта на упакованный lsass.exe, о чём писалось выше.
Примерно через 5 суток Panda стали давать как верный, так и ложный эвристический детект (при этом ответа на прямое обращение по почте от них мы ещё так и не получили, несмотря на подтверждение о получении). eSafe тоже стали подозревать оба образца. При этом, «облачный» детект от Symantec почему-то остался только на вредоносном образце, в случае же безвредного файла результаты сканирования движком Symantec вообще приведены не были, что составило компанию уже наблюдавшейся ситуации с Emsisoft. Позже такая же ситуация повторилась и с eSafe (см. ниже). Воистину, VirusTotal – такой Total…
Через 6 суток наступил праздник вредоносный образец стал детектироваться со стороны DrWeb - Trojan.MulDrop2.33607. При этом безвредный образец Веб пропустил, что весьма обрадовало болельщиков этой команды. Имя детекта, отличное от «даунлоадеров», которые мы получили в ответ на запрос по веб-форме и почте, косвенно указывает, что образец был разобран аналитиками, а не автоматической системой.
Окончательная ситуация с детектом отправленного образца была проверена 22.06.2011 в 16:00 МСК с помощью VirusTotal.
Безвредный файл (regedit.exe):
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.66 | 22.06.2011 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | Trojan/win32.agent.gen |
| Avast | 4.8.1351.0 | 22.06.2011 | - |
| Avast5 | 5.0.677.0 | 22.06.2011 | - |
| AVG | 10.0.0.1190 | 22.06.2011 | - |
| BitDefender | 22.06.2011 | - | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 9154 | 22.06.2011 | - |
| DrWeb | 5.0.2.03300 | 22.06.2011 | - |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | - |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | 22 | 22.06.2011 | - |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | Artemis!3918A65C62C6 |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | Artemis!3918A65C62C6 |
| Microsoft | 22.06.2011 | - | |
| NOD32 | 22.06.2011 | - | |
| Norman | 22.06.2011 | - | |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | Suspicious file |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | - |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | Suspicious.Cloud.5 |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 9656 | 22.06.2011 | - |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | - |
Вредоносный файл (SpyEye):
| AhnLab-V3 | 2011.06.22.02 | 22.06.2011 | - |
| AntiVir | 7.11.10.66 | 22.06.2011 | DR/Delphi.Gen |
| Antiy-AVL | 2.0.3.7 | 22.06.2011 | Trojan/win32.agent.gen |
| Avast | 4.8.1351.0 | 22.06.2011 | - |
| Avast5 | 5.0.677.0 | 22.06.2011 | - |
| AVG | 10.0.0.1190 | 22.06.2011 | - |
| BitDefender | 22.06.2011 | - | |
| CAT-QuickHeal | 11.00 | 22.06.2011 | - |
| ClamAV | 0.97.0.0 | 22.06.2011 | - |
| Commtouch | 5.3.2.6 | 22.06.2011 | - |
| Comodo | 9154 | 22.06.2011 | - |
| DrWeb | 5.0.2.03300 | 22.06.2011 | Trojan.MulDrop2.33607 |
| eSafe | 7.0.17.0 | 21.06.2011 | Win32.DRDelphi |
| eTrust-Vet | 36.1.8400 | 22.06.2011 | - |
| F-Prot | 4.6.2.117 | 22.06.2011 | - |
| F-Secure | 9.0.16440.0 | 22.06.2011 | - |
| Fortinet | 4.2.257.0 | 22.06.2011 | - |
| GData | 22 | 22.06.2011 | - |
| Ikarus | T3.1.1.104.0 | 22.06.2011 | Downloader.Delphi |
| Jiangmin | 13.0.900 | 22.06.2011 | Backdoor/Hupigon.bhsf |
| K7AntiVirus | 9.106.4831 | 21.06.2011 | - |
| Kaspersky | 9.0.0.837 | 22.06.2011 | - |
| McAfee | 5.400.0.1158 | 22.06.2011 | Artemis!CC7BF11E7007 |
| McAfee-GW-Edition | 2010.1D | 22.06.2011 | Artemis!CC7BF11E7007 |
| Microsoft | 22.06.2011 | - | |
| NOD32 | 6228 | 22.06.2011 | - |
| Norman | 22.06.2011 | - | |
| nProtect | 2011-06-22.02 | 22.06.2011 | - |
| Panda | 10.0.3.5 | 21.06.2011 | Suspicious file |
| PCTools | 8.0.0.5 | 22.06.2011 | - |
| Prevx | 3.0 | 22.06.2011 | - |
| Rising | 23.63.02.03 | 22.06.2011 | - |
| Sophos | 4.66.0 | 22.06.2011 | Mal/Generic-L |
| SUPERAntiSpyware | 4.40.0.1006 | 22.06.2011 | - |
| Symantec | 20111.1.0.186 | 22.06.2011 | Suspicious.Cloud.5 |
| TheHacker | 6.7.0.1.237 | 22.06.2011 | - |
| TrendMicro | 9.200.0.1012 | 22.06.2011 | - |
| TrendMicro-HouseCall | 9.200.0.1012 | 22.06.2011 | - |
| VBA32 | 3.12.16.2 | 22.06.2011 | - |
| VIPRE | 22.06.2011 | - | |
| ViRobot | 2011.6.22.4527 | 22.06.2011 | - |
| VirusBuster | 14.0.90.0 | 21.06.2011 | - |
ВЫВОДЫ
После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов. Связано это с тем, что итог оказался вовсе не тем, который мы ожидали: довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали. Некоторые вирусные лаборатории откровенно забили на ответ, хотя добавили детект (за что спасибо), а некоторые – даже не потрудились рассмотреть образец. Эвристические анализаторы, «облачный» анализ и эмуляторы автоматических систем оказались в большей степени генераторами ложных детектов, чем полноценной защитой. Авторам несколько непонятно, на что уходят основные трудовые силы и финансовые ресурсы, а также чем занимаются аналитики ведущих антивирусных компаний. Вспоминается старая история о том, зачем быстро убирать мусор – иначе люди поймут ненадобность дворников….
Отдельно – и с натяжкой – хотелось бы выделить лаборатории DrWeb и Sophos. Неплохие результаты показали Fortinet, eScan, VBA и GData. Просто поразительно неожиданный результат у QuickHeal. Остальные вендоры весьма невпечатляющи, а некоторые (например, Eset, McAfee) – частично или полностью провалили тест.
Забавной оказалась ситуация с VT: учитывая, что «Date first seen: 2011-06-15 12:38:56 (UTC) / Date last seen: 2011-06-15 13:46:47 (UTC)», что отвечает 16:38 МСК, похоже, что какой-то из вирлабов просто «уточняет» информацию у VT перед тем, как самим начать изучать. Это однозначно не DrWeb, CA Technologies, Лаборатория Касперского, Avira или McAfee – поскольку эти лаборатории получили файл по каналу vendors<at>malware-research.co.uk, но он на VT ранее «засвечен» не был. В любом случае, такая отсылка не повредила тесту, поскольку практически все лаборатории уже получили образцы по вполне официальным путям.
Понимая некоторую возможную скандальность материала, вся переписка с вендорами и оригинальные ответы сохранены и могут быть предоставлены по первому требованию. Мы сознательно не привели ни имён вирусных аналитиков, ни номеров обращений в тексте, чтобы не создавать проблем у конкретных сотрудников вирусных лабораторий, однако мы можем это сделать в случае, если материал этой статьи будет подвержен сомнению с точки зрения правдоподобности.
Предлагаем читателям самостоятельно сделать выводы из приведённой информации. А от себя просто опубликуем картинку, авторство которой принадлежит компании Ikarus в относительно недалёком 2008 году.
______________________________________
Авторы весьма благодарны всем, кто участвовал в написании статьи, критиковал её и вносил замечания. Вас немного – но большое вам СПАСИБО!
Последнее редактирование модератором:
