Тест на скорость реакции АВ компаний при получении сэмпла на электронную почту

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#1
Сэмпл вчера в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме. Тест проводился для проверки автоматического ответа о наличии заражения.

Итог печален, несмотря на то, что 6 вендоров прислали автоматическое уведомление о принятии тикета на рассмотрение (сообщения немного сокращены):

  • Kaspersky Lab

    Hello,

    This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

    2cd31ca700e2528cc356e50d5c24150c,

    These files are in process.

    Best Regards, Kaspersky Lab
  • CA Technologies

    Dear customer,

    Thank you for submitting sample to CA.
    We have received your samples and will be responding to you shortly.
    Your SetID is 1693590

    Set contains following files(file-identifier, file-name)
    23332456 /send/2cd31ca700e2528cc356e50d5c24150c

    Sincerely,
    CA Virtue Team.
  • Zillya!

    Доброго дня,

    Це повідомлення було сгенеровано автоматично внаслідок створення наступного тікета:
    "suspecious",
    увесь текст якого наведено нижче.

    З повагою,
    rt-submit@zillya.com
  • eScan MicroWorld Technologie

    Thank you for contacting us. This is an automated response confirming the receipt of your ticket. One of our agents will get back to you as soon as possible. For your records, the details of the ticket are listed below. When replying, please make sure that the ticket ID is kept in the subject line to ensure that your replies are tracked appropriately.

    Ticket ID: AVI-318129
    Subject: suspecious
    Department: Samples
    Priority: Normal
    Status: Open

    Kind regards,

    eScan Samples Department.
  • McAfee

    McAfee Labs - Beaverton
    Current Scan Engine Version:5400.1158
    Current DAT Version:6374.0000
    Thank you for your submission.

    Analysis ID: 6661198

    File Name Findings Detection Type Extra
    2cd31ca700e2528cc356|inconclusive | | |no

    inconclusive [2cd31ca700e2528cc356e50d5c24150c]

    Automated analysis was not able to determine that this file is malware. This file is
    being sent for further processing and the DAT files will potentially be updated if
    detection of this sample is warranted.
  • ESET

    Здравствуйте.
    Ваше обращение зарегистрировано под номером 453 898
    Пожалуйста, не отвечайте на данное сообщение и дождитесь ответа на Ваш вопрос от специалистов.

    С уважением, Служба технической поддержки
    ESET Russia.

Ответ о наличии вредоносного кода в файле прислал только AVG, сегодня в 12.20:

Dear sir,

Thank you for your email.

We would like to inform you that the file attached to your previous e-mail was infected. Detection of the infection will be available with one of the upcoming AVG virus definitions updates. AVG updates are released in reaction to the amount and severity of new threats. We recommend checking for new updates at least once a day. Checking every 4 hours will guarantee that your AVG Virus Database is kept up-to-date.

Thank you for your cooperation.

David Machac
AVG Customer Services
http://www.avg.com

PS. Текущее определение файла:

  • ArkaVir - Generic.23.2063
  • DrWeb - Trojan.Starter.1702
  • MBAM - Trojan.Downloader

 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,429
Симпатии
12,562
Баллы
2,203
#2
Грустно как-то выглядит.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#3
Чуть-чуть оффтопика

Чуть не по теме, но все равно напишу, потому, как в Юмор надо.
Ответ из Avast на отправленные в пятницу зловреды (выделено мной):

Здравствуйте,

Спасибо за Ваше письмо.

Мы получили от вас файлы. Некоторые из них уже обнажаем, другие будут добавленные в вирусной базы данных.

Спасибо большое!

С уважением,

Ewelina Wrzosek
Technical Support
AVAST Software a. s.
www.avast.com
Добавлено через 9 минут 38 секунд
Тест завершен, отправил сэмпл через формы.

Добавился

  • BitDefender - Trojan.Ircbot.AAQ
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
Баллы
443
#4
Severnyj, увы, но эта статистика более чем на 90% отражает реалии происходящего..
отсылаешь файлы в вирлаб, а тебе кроме автоответчика ничего..
 

akok

Команда форума
Администратор
Сообщения
15,429
Симпатии
12,562
Баллы
2,203
#5
С какого ящика отправлялись семплы?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#6
Gmail.com

Все пожелания насчет упаковки в архив и установки паролей выполнялись.
Адресная книга поделена на группы virus и infected
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
Баллы
398
#7
Детект ArkaVIR - явно эвристический. То же касается МВАМ.
Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме.

Что касается результата - он не печальный, а вполне закономерный. Я понимаю, сколько обращений идёт по почте вендорам, но всё равно - ситуацию надо как-то решать. И именно по этой причине было бы любопытно сравнить с результатами полноценного обращения по форме. Тогда не отмажешься ;)

Уже озвучивал Константину пожелания по проведению подобного рода тестов, надеюсь, что работу можно будет как-то организовать и написать на эту тему добротный пост. А уж распространить его везде и всюду - я постараюсь...
proxy.php?image=http%3A%2F%2Ffc02.deviantart.net%2Fimages2%2Fi%2F2004%2F02%2Fe%2Ff%2FEvil_smile.gif&hash=49985eb17f5920694eba2938ebbe81a7
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#8
Детект ArkaVIR - явно эвристический. То же касается МВАМ.
Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме.
в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме.
В том-то и дело, что отправил почти всем, а автоматический регистратор работает только у этих 6-ых, но отправка других сэмплов показала, что хорошо работает регистратор еще у Fortinet (присылают данные о принятия тикета и данные об обнаружении зловреда, но имя зловреда не указывают) и у VirusBuster, но сообщение приходит на венгерском языке, еще забыл про Доктора Веба, но сэмпл был в его базах, поэтому не отправлялся.

По сравнению "почта - форма" скажу, что тот же Sophos не предпринял никаких действий при отправке сэмпла на почту, но при отправке через форму регистрация и добавление произошли как всегда очень быстро - в течение 2 - 4 часов.

Hello,

Thank you for contacting Sophos Technical Support.

**Please note that this is an automated response. If you have any questions, require assistance or clarification on this analysis, please feel free to reply to this email quoting this case number in the subject line.**

The file(s) submitted were malicious in nature and detection will be available on the Sophos Databank shortly.

* 2cd31ca700e2528cc356e50d5c24150c -- identity created/updated (New detection Troj/Agent-RZW)
* msdn.exe -- identity created/updated (New detection Troj/Agent-RZW)

Схожая ситуация и у BitDefender, разве, что сообщение не столь информативное:

Dear Customer,

Thank you for your interest in our security solution, BitDefender.

File is already detected.

Best regards,

George Poienaru
BitDefender Technical Support Engineer

Немного расстраивает в последнее время Comodo, ответов-то от них никогда не приходило, но в последнее время и в базы ничего не добавляют из присланного, как по почте, так и по форме.

У eScan уже 2 или 3 раза резался файл сэмпла отправленный через форму, надо попробовать отправку запароленного архива.

У McAfee регистрация и распаковка полностью автоматизирована и при указании неверного пароля на архив приходит сообщение об ошибке.
Также пользователю сообщается, что пока файл на анализе, пользователь при большом подозрении на зловредность высланного сэмпла может скачать индивидуальное обновление, которое будет детектировать подозрительный файл на его компьютере.

В последнее время начали приходить ответы и от Майкрософт, но только при отправке по форме. Ответы достаточно информативны, хотя и приходят с опозданием на 1 - 2 дня.

Analysis of the file(s) in Submission ID MMPC11061326513685 is now complete.

This is the final email that you will receive regarding this submission.

The Microsoft Malware Protection Center (MMPC) has investigated the following file(s) which we received on 6/13/2011 5:01:14 AM Pacific Time.
Below is the determination for your submission.

========
Submission ID MMPC11061326513685

Submitted Files
=============================================
2cd31ca700e2528cc356e50d5c24150c [Backdoor:MSIL/IRCbot.A]

The following links contain more information regarding the detections listed above:
http://go.microsoft.com/fwlink/?linkid=95666&Entry.aspx&name=Backdoor:MSIL/IRCbot.A

К моему сожалению тестированием в основном могу заниматься только по выходным, а как показали первые тесты некоторые, особенно европейские компании по выходным не работают.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,429
Симпатии
12,562
Баллы
2,203
#10
gjf, тот тест абсолютно не информативен. Никто не знает (кроме разработчиков) на каком уровне детекта идет рассылка. Тем более проверки начались с !30! мая. За этот срок половину вендоров получили вреднос по другим путям (пауки, пользователи). Невозможно определить срок с какого момента к этому списку подключился VT.

Добавлено через 2 минуты 4 секунды
добротный материал - я могу изложить основные критерии.
Вечером займусь отбором семплов.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Симпатии
643
Баллы
398
#11
Короче, я уже всё сделал. Образцы у меня, детект я сбил, вредоносность очевидна.
Нужно сделать следующее.
Первый образец отправить во все вирлабы по почте, адрес - гугловский, вес правила по паролям и прочему соблюдать, ответ от вирлаба фиксировать, как и сохранять письмо в отправленных. Слать отдельными письмами, а не мультиполучателем.
Второй образец - оформить по форме на офсайте. Ссылки на эти формы можно увидеть здесь, например. При этом в качестве контакта указать другой акк на гуглопочте, все ответы вирлабов фиксировать с указанием времени.

Желательно, чтобы отправка по почте делалась максимально одновременно - возможно, следует задействовать нескольких человек, которые "сверят часы" по аське. То же касается и форм на офсайте.

Если рабочая группа, которая выполнит эту работу, сформируется, а также всё понятно - в асе обращайтесь, я выдам образцы. Но желательно чтобы это было быстро - в случае провала из-за непоняток и нескоординированности сбивать сигнатуры нынче непросто.
 
Сверху Снизу