Antivirus

Ann0nim, on Feb 3 2009, 17:37, said:

La punctul m) din regulament spune ca nu trebuie uploadate fisiere potential periculoase. Cum 11 antivirusi  l-au descris fiind troian cred ca este destul de "potential periculos". Asa ca tu trebuie sa fii analizat pentru warn/ban.

Nu va mai acuzati aiurea!

@Toluen: exista asa-numita notiune de False Positive. Am reusit si eu "performanta" de a scrie in C++ un mic program de cateva linii de cod, rezultand un executabil absolut inofensiv, dar care era detectat euristic de cativa antivirusi. De ce? Pentru ca scanarea euristica prouce multe alarme false, bazandu-se doar pe aspectul "general" al unui fisier. Iar detectiile de pe virustotal, in acest caz, arata un procent foarte mare al detectiilor euristice (detectii de forma .Gen, sau !IK).

In plus, programele de transformat BAT in EXE functioneaza intr-un anumit mod specific, bazandu-se pe anumite instructiuni predefinite. Si, la fel ca in cazul packer-elor, unii analisti de virusi semneaza prost anumite sectiuni din codul unor fisiere malware, rezultand o semnatura care prinde multe fisiere curate dar asupra carora s-a aplicat acel packer (sau convertor BAT-EXE). Presupun ca in cazul asta se incadreaza perfect detectiile gen Trojan.Agent-65491 de pe Virustoal, de la Antivirus.exe.


Ca sa te simti tu cu constiinta impacata, trimit fisirul la analiza, si voi reveni cu raspunsul.

Edited by alexcrist, 03 February 2009 - 20:47.

Am trimis fisierul la Avira.

Thank you for your submission. Below you can see the current status of the uploaded files.

We received the following archive files:
File ID Filename Size (Byte) Result
25250521 Antivirus.rar 33.5 KB OK

A listing of files contained inside archives alongside their results can be found below:
File ID Filename Size (Byte) Result
25250522 Antivirus.exe 63.5 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
Antivirus.exe MALWARE

The file 'Antivirus.exe' has been determined to be 'MALWARE'. Our analysts named the threat DR/Delphi.Gen. The term "DR/" denotes a program that is able to place a virus or a malware discretely on a system.This malware is detected by a special detection routine from the engine module.
Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.

Edited by crysty2k5, 03 February 2009 - 21:35.

...deci mai pe romaneste...e pericol tata...!

Aia e analiza ce o primesti la upload. Analiza finala cand se va uita un VR pe sample.

daca analiza finala spune ca e virus inseamna ca e sigur de la compilator,programul care a transformat bat-ul in exe.
 Compilator.zip   730.59K   18 downloads
eu am scanat cu BitDefender si nu mi-a dat niciun avertisment,nici la .bat,.exe sau compilator.
sunt sigur 100% ca nu e virus dar...shit happens
EDIT: am uitat sa spun ceva,compilator il am de la inginerul1234,el avea pe aici niste programe facute cu el.cine are timp poate sa le scaneze si pe alea sa vada daca sunt infectate dar nu cred.singurul motiv pt care a fost detectat programul ca virus e pt ca sterge fisiere

Edited by Ann0nim, 03 February 2009 - 22:16.

Lucrul in sandbox mi-a aratat urmatorul lucru: aplicatia, initial, ruleaza sndrec.exe cu un parametru (sunetul de start al Windows-ului). sndrec face cateva dropuri suspecte, apoi le sterge (sndrec fiind aplicatie standard din Windows, acele dropuri nu sunt decat fisiere temporare folosite la rularea sunetului).

Apoi face drop in directorul Temp la BATul original (cel atasat in primul post), si executa cmd.exe cu acel BAT trimis ca parametru (mai exact, ruleaza BATul). Iar acest comportament: BAT drop + exec, este interpretat de multi AV ca fiind malitios, pentru ca multi malware se bazeaza pe chestia asta pentru "instalare".

Dupa executie, BATul din directorul Temp este sters.


Fisierul a fost trimis la analiza, voi primi raspuns dimineata. Din testele mele, pot spune 90% ca e clean.

Compilatorul folosit de tine pe virustotal.com este considerat de 2 antivirusi ca fiind "suspicious" >> http://www.virustota...650beeb00c1c2f4
In schimb compilatorul folosit de mine (kitul) arata 0/39 adica e curat. >> http://www.virustota...62b2dea8ed196d5
Si totusi dupa ce am compilat fisierul .bat al lui Ann0nim l-am incarcat pe VirusTotal si imi arata 11/39 adica cu unul in plus decat Antivirus.rar.
Adica daca folosesc un compilator "mai curat" il face mai malware decat cu unul "mai murdar". LOL! Care-i faza?

"Faza" e exact ce am spus in postul anterior: comportamentul general e oarecum dubios.

Dupa cum am spus, am trimis fisierul la analiza, si am primit raspunsul (putin mai tarziu decat ma asteptam, dar nu conteaza...).
Cand i-am dat fisierul sper analiza, nu am spus absolut nimic despre ce ar trebui sa faca fisierul. Pur si simplu l-am dat, si am intrebat daca e ceva necurat in el.

Raspunsul primit:

Quote

(discutie avuta pe messenger cu un BitDefender Virus Analyst)

Verdict final: fisierul atasat e perfect curat, fara niciun fel de urme de malware in el. Asa cum a constatat si TOLUEN (si asa cum se intampla si in multe cazuri cand se folosesc diferite packere), unele fisiere perfect legitime pot ajunge sa fie detectate euristic de anumiti antivirusi datorita rutinelor de scanare mult prea severe, sau a semnaturilor puse prost pe anumite sampleuri. Case closed.

alexcrist, on Feb 4 2009, 21:43, said:

Analistul ala care sta pe mess n-are si hi5?   Ca as vrea sa ii las un 5. Just kidding.
Ca tot veni vorba de virusi pe SoftPedia, am gasit, nu pe forum ci pe site!
Nu credeti? Click pt download DNS Flusher 1.0 >> http://download.soft...DNS_Flusher.zip

Avast il detecteaza inainte de a se salva complet: Win32-Virtl (Trj).
Am dat pauza la scuturile standard si web pt a-l putea descarca si l-am urcat pe virustotal. Uitati: http://www.virustota...fa4b15e04b969cd

Inca o "faza" interesanta: Am Avast editie free si il detecteaza. Pe virustotal.com in dreptul Avast nu scrie nimic.
Cred ca lor le-a expirat editia free     .

Acum cine ia masuri? Pe asta pana si Bitdefender il detecteaza  

Avast nu zice nimic  

Citat din BitDefender Naming Conventions:

Quote

Cu alte cuvinte, e aproximativ aceeasi branza cu prefixul Application. (sau not-a-virus la alte produse), prin care se semnaleaza tool-uri potential periculoase. In sine, aceste tooluri nu fac nimic malitios, dar pot fi folosite in scopuri malitioase daca sunt rulate in anumite conditii, cu anumiti parametrii (mai exact, unii malware se pot folosi de astfel de tooluri pentru a efectua anumite operatiuni).

Quote

No comment.  

Ca fapt divers: oamenii care lucreaza in analiza nu-s cyborgi, sau cine stie ce geeks care stau 24/24 in fata calculatorului, cu ochelarii pe nas, chiorandu-se in siruri binare. Au viata personala si DA, folosesc si e-mail/messenger, chiar daca IDurile lor nu sunt trecute pe lista de Support a unui produs antivirus.

Edited by alexcrist, 04 February 2009 - 23:10.

KyKyKyKy, on Feb 4 2009, 22:18, said:

La mine zice. Uite.
[ http://img15.imageshack.us/img15/4922/56818281ir3.png - Pentru incarcare in pagina (embed) Click aici ]
[ http://img15.imageshack.us/img15/56818281ir3.png/1/w494.png - Pentru incarcare in pagina (embed) Click aici ]

Se scrie "cu anumiti parametri" nu "cu anumiti parametrii".
Parametru >pl. Parametri>pl.art.>Parametrii.

Edited by TOLUEN, 04 February 2009 - 23:17.

TOLUEN, on Feb 4 2009, 23:12, said:

Din moment ce aplicatiile de acet tip nu reprezinta un mare risc de securitate (ci mai degraba un risc minim), e posibil sa existe o optiune prin setarile antivirusului care sa excluda detectia lor in timp real. BitDefender are asa ceva, si nu vad de ce alte produse nu ar avea.

Deci vedeti prin setari ce si cum, si daca sunt activate excluderi.

Quote

Ok, my bad. O sa tin minte.


EDIT: Totusi, ar fi bine sa nu se mai deturneze acest topic spre alte subiecte. Si-a pus Ann0nim munca aici, si mi se pare normal sa nu se discute aici despre alte utilitare gasite pe net, care nu au niciun fel de legatura cu subiectul de fata. Pentru probleme cu aplicatiile de pe site-ul Softpedia exista oricand aria Feedback.

Edited by alexcrist, 04 February 2009 - 23:26.

alexcrist, on Feb 4 2009, 23:23, said:

Deci programul lui Ann0nim nu are nici aplicare si mai e si "suspicios". Cum am spus, cine are in comp .avi.exe nu merita antivirus.
Si antivirusii se multiplica cateodata, nu-i asa?

Bla bla bla... Exista teste euristice si non-euristice. Evident, cele euristice sunt error-prone. Mai exista si virusi falsi. Exemplu, cunoscutul EICAR (THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE), un .COM de 68 bytes. Menit sa testeze antivirusi. Verificati site-ul sa vedeti cui ii apartine Daca vreti sa va convingeti ca nu face nimic, dezasamblati-l (debug eicar.com) - din fericire originea default a debugger-ului MS este 0100H.

Cheers,
Bogdan

TOLUEN, on Feb 5 2009, 00:15, said:

Jesus, tu esti culmea!

Aplicabilitate are, pentru ca orice cretin poate sa faca un worm care sa se multiplice folosind metoda .avi.exe

Malware-ul home-made este foarte greu de prins euristic, pentru ca are un comportament in general aleatoriu (fiecare autor isi face "creatiile" dupa cum ii tuna).
Paradoxul face ca tool-urile de dezinfectie sa fie gasite ca suspicioase de mute motoare antivirus, pentru ca nu au comportament aleatoriu, ci deoarece cauta anumite fisiere, in anumite locatii, in anumite forme, prin anumite metode. Si anumite combinatii din acestea pot genera alarme din partea motoarelor antivirus. A se vedea si cazuri mai cunoscute, in care ComboFix, sau SDFix, sau alte tooluri raspandite si arhi-cunoscute erau (si inca mai sunt) detectate de anumite motoare ca fiind malware!


Dupa cum spueam, orice cretin poate sa faca un astfel de worm si sa-l il puna la share pe DC. Si nu toti userii sunt cunoscatori in ale malware-ului, si se pot infecta. Iar de la un user infectat, se poate ajunge la zeci/sute in cateva ore, daca malware-ul se raspandeste de exemplu prin YM.

Daca primesti un link de SPAM pe mail, e una. Dar cand primesti un mesaj gen: "Salut, uite ce stire interesanta am gasit <link>" de la un cunoscut de-al tau, in care ai incredere... pur si simplu tinzi sa intrii. Poate din neatentie, sau poate pentru ca nu stii, intrii, si te-ai ars. Si nu vorbesc aici de ignoranti care spun ca se pricep (dar habar n-au o boaba), sau de cei care merg fara antivirus ca se cred "jmecheri", ci de userul normal, oarecare. Nu toti au facut cursuri de prevenire a infectiilor (dupa cum se pare ca ai facut tu )


O singura chestie vreau sa mai spun, ca m-am plictisit de subiectul asta.
@Ann0nim (ca asta intra oarecum si la Feature Request ): Stii care a fost reactia prietenului meu (analistul) cand s-a uitat pe BATul tau?
"eu unu as fi pus si pif si cmd sincer"
Si nicideum "Chestia asta e complet useless", cum probabil s-ar fi asteptat TOLUEN de la cineva care chiar lucreaza cu zeci de malware zilnic.


Concluzia finala: e curat, are aplicare (cui ii trebuie sa-l foloseasca, cui nu, nu), si cu asta sper ca s-a incheiat subiectul asta!


@Love4Boobies: EICAR nu este nicidecum "virus fals". Nu este virus de nicio forma, ci un fisier complet inofensiv. Este detectat de toate motoarele antivirus prin conventie, asa cum ai spus si tu, pentru a putea testa un motor antivirus.

Ce este asa special la EICAR, si de ce nu e in alta forma? Din simplul motiv ca este un fisier foarte mic (68bytes), care chiar daca e binar, nu contine decat caractere printabile, fiind astfel foarte usor de copiat si transmis in mod text. Prin simpla copiere a codului, scrierea lui in Notepad, si salvarea fisierului cu extensia .com se ajunge la executabilul original, perfect functional.

Edited by alexcrist, 05 February 2009 - 09:17.

alexcrist, on Feb 5 2009, 09:17, said:

Da, "virus fals" was not the best choice of words (adica nu e false positive or anything). Ceea ce face EICAR este sa-si rescrie propriul cod in memorie. Codul in sine nu afiseaza nimic pe ecran, in schimb codul creat de el, da. De la 68 bytes, rezultatul este un cod de 48 bytes:

org 0100h
jmp entry
msg: db "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$"
entry: mov dx,[msg]
mov ax,0900h
int 21h
int 20h

Cheers,
Bogdan