Реальный тест на эвристику "антивирусов"
Вижу, что все время какие-то тесты проводят на "эвристику", пишут про различные NOD'ы, Avira'ы и прочие "поделки", что они такие замечательные, все так отлично ловят. Ну отлично.
Меня это уже не в первый раз выводит из себя, когда все эти г-антивирусы с их г-детекторами (здесь приставка "г" не означает generic - хотя это основной вердикт у всего этого сборища торговцев "БАДами") начинают детектировать абсолютно нормальные программы.
Собираешь какую-нибудь утилиту или новый продукт, заливаешь на virustotal - найдется сразу же 1-3 г-антивируса, которые детектируют только что собранную программу. Проходит дня 2-3 (это время нужно, чтобы остальные г-антивирусы от virustotal получили "тело" на препарирование и добавили детект, если не детектируется, посмотрев на окружающих - сами-то не знают)... и что же мы видим? Ага, уже не 2-3, а целых 10-15.
Итак, смотрим. Продукт в данном случае - HL-DUMP, использует стандартное API от одного средства защиты компании Aladdin. Утилита распространена очень широко, распространена с 2003 года (то есть шесть лет). Файл запакован AsPack (он очень опасен!), UPX (а он так вообще ужасен!). Все, это ключевой момент. Размер - ~34kb. Нет VERSION_INFO. Идеальный trojan dropper для г-эвристических г-антивирусов.
Утилита поставляется в исходниках (там же собранный упакованный вариант).
(UPDATE: архив перевыложен, чтобы обойти это детктирование; старый вариант доступен по запросу у VirusTotal или меня :)
Результаты VirusTotal:
http://www.virustotal.com/ru/analisis/7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb-1249216377
(ниже приведена копия таблицы; срез на текущий момент, 02.08.2009 - вдруг оно изменится)
22 из 41 (~54%!) представленных продуктов просто автоматически занесли себя в список "поделок". Теперь внимательно просмотрите этот список и найдите там свой антивирус, которым защищен Ваш компьютер. А потом прочтите на два абзаца ниже.
Это НЕ "случайное" ложное срабатывание, это ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ДЕТЕКТИРОВАНИЮ.
Работа г-эвристиков по принципу "валим все" - самый лучший способ получить 100% детект. Только он будет даже не 100%-ым, а 1000% (ибо замесили "слегка" лишнего).
Самое обидное в этой ситуации, что если всему этому сборищу скормить нормальное тело свеже-сделанного дропера - ни один не пискнет... Заверещат они все постфактум, когда это будет уже совершенно не актуально для реальных пользователей (а не тех, кто проводит тестирование на срезке уже "мертвых" тел). Потому что будет уже совершенно новое, другое АВТОМАТИЧЕСКИ СГЕНЕРИРОВАННОЕ тело. Ну и кому нужны такие продукты? Реальных угроз не детектируют, а нормальным программам "заодно" по шее дают.
Кстати, большинство из компаний, выпускающих этот откровенный сброд еще и на письма не реагирует. Либо если реагирует, не убирают детектирование, по причине "у нас так сделано детектирование, оно не будет реагировать только при налиции ЭЦП" (подписи). А может мне еще сертификат качества у них купить надо?
Когда же, наконец, на рынке закончится засилье этих торговцев "БАДами", и пользователи ОТРЕГУЛИРУЮТ рынок по качеству, выкинув (банально, не поддерживая) весь этот сброд и мусор.
Те, кто оказался в этом списке -- вам стыдно должно быть за качество ваших "изделий". Для вас у меня есть лишь одно пожелание: чтобы вы захлебнулись в потоке различной (хорошей) автоматически генерируемой малвари, на которой все ваши г-детекторы запутаются и просто не смогут отличать уже более распространенные нормальные продукты от новых тел.
Уважаемые торговцы БАДами, расскажите вот теперь рецепт, как одному пользователю, запустить данную утилиту. Нет, даже не запустить. СКАЧАТЬ! (Потому что она "блокируется" на момент скачивания). У него в компании установлен NOD, нет административных прав и, соответственно, нельзя даже занести в список игнорирования (при этом не запрещено скачивание и запуск нужных в работе приложений из интернета). Ответ могу подсказать: попросить админа снести NOD.
Раньше было "не умеешь делать - иди учить", теперь предлагаю это слегка заменить: "ничего не знаешь и не умеешь - иди делать антивирус" (желательно - облачный, это модно!). (В этом плане особенно порадовол Гомодо с его "unclassified malware").
Для тех кто хочет поучаствовать в программе "смерть БАД-антивирусам" -- делайте дроперы размером ~500kb (+/- 100kb, случайные), не пакуйте их (есть другие способы сделать так, чтобы код не детектировали, не обфусцируйте по-тупому, обязательно делайте VERSION_INFO, причем лучше - рандомный и от реальных программ -- желательно от антивирусов даже, смешнее будет; покупайте на левые LTD сертификаты у того же гомодо и подписывайте вашу малварь - это в целом копейки - пусть NOD получит то, что он так жаждет). Пусть "побалансируют" слегка свои г-эвристики.
Всяческая перепечатка и копирование приветствуются. С БАД-антивирусами можно бороться только публично и только силами пользователей.
Файл hl-dump.exe получен 2009.08.02 12:32:57 (UTC)
АнтивирусВерсияОбновлениеРезультат
a-squared4.5.0.242009.08.02Trojan-Dropper!IK
AhnLab-V35.0.0.22009.08.01Win-Trojan/Xema.variant
AntiVir7.9.0.2382009.07.31-
Antiy-AVL2.0.3.72009.07.31-
Authentium5.1.2.42009.08.01W32/Threat-HLLAU-based!Maximus
Avast4.8.1335.02009.08.01Win32:Trojan-gen {Other}
AVG8.5.0.4062009.08.02Suspicion: unknown virus
BitDefender7.22009.08.02Trojan.Generic.427724
CAT-QuickHeal10.002009.07.30-
ClamAV0.94.12009.08.02-
Comodo18382009.08.02UnclassifiedMalware
DrWeb5.0.0.121822009.08.02-
eSafe7.0.17.02009.07.30Suspicious File
eTrust-Vet31.6.66502009.08.01-
F-Prot4.4.4.562009.08.02W32/Threat-HLLAU-based!Maximus
F-Secure8.0.14470.02009.08.01-
Fortinet3.120.0.02009.08.02-
GData192009.08.02Trojan.Generic.427724
IkarusT3.1.1.64.02009.08.02Trojan-Dropper
Jiangmin11.0.8002009.08.02-
K7AntiVirus7.10.8082009.08.01Trojan-Dropper.Win32.Small
Kaspersky7.0.0.1252009.08.02-
McAfee56952009.08.01Generic.dx
McAfee+Artemis56952009.08.01Generic.dx
McAfee-GW-Edition6.8.52009.08.02-
Microsoft1.49032009.08.02-
NOD3242982009.08.02probably a variant of Win32/Agent
Norman6.01.092009.07.31W32/Smalldrp.TGC
nProtect2009.1.8.02009.08.02-
Panda10.0.0.142009.08.02Generic Trojan
PCTools4.4.2.02009.08.02-
Prevx3.02009.08.02Medium Risk Malware
Rising21.40.62.002009.08.02-
Sophos4.44.02009.08.02Sus/UnkPacker
Sunbelt3.2.1858.22009.08.02Bulk Trojan
Symantec1.4.4.122009.08.02Trojan Horse
TheHacker6.3.4.3.3752009.08.01-
TrendMicro8.950.0.10942009.07.31PAK_Generic.001
VBA323.12.10.92009.08.02-
ViRobot2009.7.31.18632009.07.31-
VirusBuster4.6.5.02009.07.31-
Дополнительная информация
File size: 33792 bytes
MD5...: 412aaada3524d8226f3fdd943fb087f3
SHA1..: 64d1f2e118640b1368064198655c6cb11eb5d1ec
SHA256: 7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb
ssdeep: 768:FfrMBXAiDAFYtdiYdjS8jfv1s7zyBZrtIVx8HaDS0+s5Hrc4EtRp:FfrOtaY
aQ26fd8mBZrtGxEXgO4
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x16c90
timedatestamp.....: 0x44757096 (Thu May 25 08:53:42 2006)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7e00 7.75 12677231f3c495ba4968f460910b29fc
UPX2 0x17000 0x1000 0x200 1.38 ea5c908edeacae39dc1616f200aa4a7e
( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> hlvdd.dll: -
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): UPX, ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B9D8745E0073A1BD8445007AC05F11006D1A0F5E
packers (F-Prot): UPX, Aspack
packers (Authentium): UPX, Aspack
P.S. К чести Avira, в данном случае не детектирует. Но, вполне допускаю, что просто "тела" не было у них раньше. Потому что Avira уж славится все подряд детектировать как XCRYPT (собственно, запаковано).
UPDATE:
Поступила дополнительная информация от VMProtect:
ESET и с ЭЦП, оказывается, соврал (вначале врал, что будет ручками добавлять файлы в ignore, а реально в ignore добавлял тех, кто письма писал :)). Так вот: при наличии ЭЦП может так же продолжать ругаться, до тех пор, пока в файле нет VERSION_INFO.
AVG: ругается на файлы, пока секцию ".vmp" не заменить, например, на ".UPX"
Avira:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=87679
Цитата:
"I received your software. Thank you very much!
I've tested this issue and the problem is that your software produce executables with double extension. This is specific only to malware software, so this triggers AntiVir.
I'm sorry, but we have nothing to fix here".
Гениальнейшая эвристика!
Меня это уже не в первый раз выводит из себя, когда все эти г-антивирусы с их г-детекторами (здесь приставка "г" не означает generic - хотя это основной вердикт у всего этого сборища торговцев "БАДами") начинают детектировать абсолютно нормальные программы.
Собираешь какую-нибудь утилиту или новый продукт, заливаешь на virustotal - найдется сразу же 1-3 г-антивируса, которые детектируют только что собранную программу. Проходит дня 2-3 (это время нужно, чтобы остальные г-антивирусы от virustotal получили "тело" на препарирование и добавили детект, если не детектируется, посмотрев на окружающих - сами-то не знают)... и что же мы видим? Ага, уже не 2-3, а целых 10-15.
Итак, смотрим. Продукт в данном случае - HL-DUMP, использует стандартное API от одного средства защиты компании Aladdin. Утилита распространена очень широко, распространена с 2003 года (то есть шесть лет). Файл запакован AsPack (он очень опасен!), UPX (а он так вообще ужасен!). Все, это ключевой момент. Размер - ~34kb. Нет VERSION_INFO. Идеальный trojan dropper для г-эвристических г-антивирусов.
Утилита поставляется в исходниках (там же собранный упакованный вариант).
(UPDATE: архив перевыложен, чтобы обойти это детктирование; старый вариант доступен по запросу у VirusTotal или меня :)
Результаты VirusTotal:
http://www.virustotal.com/ru/analisis/7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb-1249216377
(ниже приведена копия таблицы; срез на текущий момент, 02.08.2009 - вдруг оно изменится)
22 из 41 (~54%!) представленных продуктов просто автоматически занесли себя в список "поделок". Теперь внимательно просмотрите этот список и найдите там свой антивирус, которым защищен Ваш компьютер. А потом прочтите на два абзаца ниже.
Это НЕ "случайное" ложное срабатывание, это ПРИНЦИПИАЛЬНЫЙ ПОДХОД К ДЕТЕКТИРОВАНИЮ.
Работа г-эвристиков по принципу "валим все" - самый лучший способ получить 100% детект. Только он будет даже не 100%-ым, а 1000% (ибо замесили "слегка" лишнего).
Самое обидное в этой ситуации, что если всему этому сборищу скормить нормальное тело свеже-сделанного дропера - ни один не пискнет... Заверещат они все постфактум, когда это будет уже совершенно не актуально для реальных пользователей (а не тех, кто проводит тестирование на срезке уже "мертвых" тел). Потому что будет уже совершенно новое, другое АВТОМАТИЧЕСКИ СГЕНЕРИРОВАННОЕ тело. Ну и кому нужны такие продукты? Реальных угроз не детектируют, а нормальным программам "заодно" по шее дают.
Кстати, большинство из компаний, выпускающих этот откровенный сброд еще и на письма не реагирует. Либо если реагирует, не убирают детектирование, по причине "у нас так сделано детектирование, оно не будет реагировать только при налиции ЭЦП" (подписи). А может мне еще сертификат качества у них купить надо?
Когда же, наконец, на рынке закончится засилье этих торговцев "БАДами", и пользователи ОТРЕГУЛИРУЮТ рынок по качеству, выкинув (банально, не поддерживая) весь этот сброд и мусор.
Те, кто оказался в этом списке -- вам стыдно должно быть за качество ваших "изделий". Для вас у меня есть лишь одно пожелание: чтобы вы захлебнулись в потоке различной (хорошей) автоматически генерируемой малвари, на которой все ваши г-детекторы запутаются и просто не смогут отличать уже более распространенные нормальные продукты от новых тел.
Уважаемые торговцы БАДами, расскажите вот теперь рецепт, как одному пользователю, запустить данную утилиту. Нет, даже не запустить. СКАЧАТЬ! (Потому что она "блокируется" на момент скачивания). У него в компании установлен NOD, нет административных прав и, соответственно, нельзя даже занести в список игнорирования (при этом не запрещено скачивание и запуск нужных в работе приложений из интернета). Ответ могу подсказать: попросить админа снести NOD.
Раньше было "не умеешь делать - иди учить", теперь предлагаю это слегка заменить: "ничего не знаешь и не умеешь - иди делать антивирус" (желательно - облачный, это модно!). (В этом плане особенно порадовол Гомодо с его "unclassified malware").
Для тех кто хочет поучаствовать в программе "смерть БАД-антивирусам" -- делайте дроперы размером ~500kb (+/- 100kb, случайные), не пакуйте их (есть другие способы сделать так, чтобы код не детектировали, не обфусцируйте по-тупому, обязательно делайте VERSION_INFO, причем лучше - рандомный и от реальных программ -- желательно от антивирусов даже, смешнее будет; покупайте на левые LTD сертификаты у того же гомодо и подписывайте вашу малварь - это в целом копейки - пусть NOD получит то, что он так жаждет). Пусть "побалансируют" слегка свои г-эвристики.
Всяческая перепечатка и копирование приветствуются. С БАД-антивирусами можно бороться только публично и только силами пользователей.
Файл hl-dump.exe получен 2009.08.02 12:32:57 (UTC)
АнтивирусВерсияОбновлениеРезультат
a-squared4.5.0.242009.08.02Trojan-Dropper!IK
AhnLab-V35.0.0.22009.08.01Win-Trojan/Xema.variant
AntiVir7.9.0.2382009.07.31-
Antiy-AVL2.0.3.72009.07.31-
Authentium5.1.2.42009.08.01W32/Threat-HLLAU-based!Maximus
Avast4.8.1335.02009.08.01Win32:Trojan-gen {Other}
AVG8.5.0.4062009.08.02Suspicion: unknown virus
BitDefender7.22009.08.02Trojan.Generic.427724
CAT-QuickHeal10.002009.07.30-
ClamAV0.94.12009.08.02-
Comodo18382009.08.02UnclassifiedMalware
DrWeb5.0.0.121822009.08.02-
eSafe7.0.17.02009.07.30Suspicious File
eTrust-Vet31.6.66502009.08.01-
F-Prot4.4.4.562009.08.02W32/Threat-HLLAU-based!Maximus
F-Secure8.0.14470.02009.08.01-
Fortinet3.120.0.02009.08.02-
GData192009.08.02Trojan.Generic.427724
IkarusT3.1.1.64.02009.08.02Trojan-Dropper
Jiangmin11.0.8002009.08.02-
K7AntiVirus7.10.8082009.08.01Trojan-Dropper.Win32.Small
Kaspersky7.0.0.1252009.08.02-
McAfee56952009.08.01Generic.dx
McAfee+Artemis56952009.08.01Generic.dx
McAfee-GW-Edition6.8.52009.08.02-
Microsoft1.49032009.08.02-
NOD3242982009.08.02probably a variant of Win32/Agent
Norman6.01.092009.07.31W32/Smalldrp.TGC
nProtect2009.1.8.02009.08.02-
Panda10.0.0.142009.08.02Generic Trojan
PCTools4.4.2.02009.08.02-
Prevx3.02009.08.02Medium Risk Malware
Rising21.40.62.002009.08.02-
Sophos4.44.02009.08.02Sus/UnkPacker
Sunbelt3.2.1858.22009.08.02Bulk Trojan
Symantec1.4.4.122009.08.02Trojan Horse
TheHacker6.3.4.3.3752009.08.01-
TrendMicro8.950.0.10942009.07.31PAK_Generic.001
VBA323.12.10.92009.08.02-
ViRobot2009.7.31.18632009.07.31-
VirusBuster4.6.5.02009.07.31-
Дополнительная информация
File size: 33792 bytes
MD5...: 412aaada3524d8226f3fdd943fb087f3
SHA1..: 64d1f2e118640b1368064198655c6cb11eb5d1ec
SHA256: 7f437e19bf37f80a59a7c094f370aeb0fe1f5d0118f3b973767c279906d017fb
ssdeep: 768:FfrMBXAiDAFYtdiYdjS8jfv1s7zyBZrtIVx8HaDS0+s5Hrc4EtRp:FfrOtaY
aQ26fd8mBZrtGxEXgO4
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x16c90
timedatestamp.....: 0x44757096 (Thu May 25 08:53:42 2006)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x8000 0x7e00 7.75 12677231f3c495ba4968f460910b29fc
UPX2 0x17000 0x1000 0x200 1.38 ea5c908edeacae39dc1616f200aa4a7e
( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> hlvdd.dll: -
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): UPX, ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B9D8745E0073A1BD8445007AC05F11006D1A0F5E
packers (F-Prot): UPX, Aspack
packers (Authentium): UPX, Aspack
P.S. К чести Avira, в данном случае не детектирует. Но, вполне допускаю, что просто "тела" не было у них раньше. Потому что Avira уж славится все подряд детектировать как XCRYPT (собственно, запаковано).
UPDATE:
Поступила дополнительная информация от VMProtect:
ESET и с ЭЦП, оказывается, соврал (вначале врал, что будет ручками добавлять файлы в ignore, а реально в ignore добавлял тех, кто письма писал :)). Так вот: при наличии ЭЦП может так же продолжать ругаться, до тех пор, пока в файле нет VERSION_INFO.
AVG: ругается на файлы, пока секцию ".vmp" не заменить, например, на ".UPX"
Avira:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=87679
Цитата:
"I received your software. Thank you very much!
I've tested this issue and the problem is that your software produce executables with double extension. This is specific only to malware software, so this triggers AntiVir.
I'm sorry, but we have nothing to fix here".
Гениальнейшая эвристика!