Paczki, malware, złośliwe pliki, linki itp.

[yaslaw]

z explotami poszło duużo gorzej

118/293 (40.27%)

[yaslaw]

Hmm....
tak sobie skanuje virustotal''em pozostałe pliki nie wykryte przez f-secure i widzę że zdecydowana większość z nich jest tak nie wykrywana przez żaden skaner...

[ELWIS1]

Clam AV beta PLUS

5.01.2010:

36/45 (80%)

Exploity:

56/293 (19%)

[tommyklab]

Hmm....
tak sobie skanuje virustotal''em pozostałe pliki nie wykryte przez f-secure i widzę że zdecydowana większość z nich jest tak nie wykrywana przez żaden skaner...

ale które? malware, czy pdf?

np. kaspersky exploity - 231/293 (78%), a pozostałe w tym 40 dziś nowych dodanych nie wykrywał, nawet heurystyką.

Jeśli ci chodzi o malware to ja wrzucam jak leci, wszystkie pliki, wyłącznie po za tymi które wiem, że na bank nie są (mam osobny folder i porównuję wg. hasha MD5).
Resztę to co ci zostaje po przeskanowaniu, i powtarzam to już n-ty raz, wysłać do swoich labów.

Bo np. w plikach *FUBAR*.* z dzisiejszej paczki kaspersky nic nie wykrywa (no malicious), a hitman i MBAM klasyfikują jako malware. To już musicie sami ocenić
Plików podejrzanych w życiu codziennym się nie uruchamia, chyba że w sandboxie, sandboksie AV, na wirtualnym systemie, albo na osobnym testowym natywnym systemie, który można zaśmiecić (trzeba wiedzieć co się robi). Nie uruchamia się niczego z tych paczek, chyba, że może się trafić, że masz tam swój program i wiesz jak działa. Po przeskanowaniu wysłać pliki do swoich labów i usunąć z dysku - taka jest moja sugestia, lub nie jeśi jesteś programistą/znasz się na kodzie i chcesz przeanalizować kod tego syfu, jak np. ten gość, Xylibox to robi:

[Aby zobaczyć linki, zarejestruj się tutaj]

, lub tu:

[Aby zobaczyć linki, zarejestruj się tutaj]

. To jest badziewie. A wy o tym wiecie, bo to ściągacie za swoją zgodą.

Bo przecież, bez sensu, by było jakbym zamieszczał tylko to co wykrywa kaspersky, czyli ten program, który ja używam to wstępnego wykrycia tego badziewia

[yaslaw]

Ja mówiłem o exploitach i to mnie ciekawiło reszta malwaru ok - wiadomo że zawsze trafią się jakieś fp.
Zastanwawiało mnie tlyko to że tak dużo exploitów nie jest wykrywanych przez żaden skaner (edit: swoją drogą podejrzewam że może być tak iż część z nich jest wykrywana nie przez skaner na żądanie ale np przez systemy typu sonar (symantec)/vunlability shield (f-secure) które uruchamiają się tylko w momencie wykonania złośliwego kodu).

[tommyklab]

Ja mówiłem o exploitach i to mnie ciekawiło reszta malwaru ok - wiadomo że zawsze trafią się jakieś fp.
Zastanwawiało mnie tlyko to że tak dużo exploitów nie jest wykrywanych przez żaden skaner (edit: swoją drogą podejrzewam że może być tak iż część z nich jest wykrywana nie przez skaner na żądanie ale np przez systemy typu sonar (symantec)/vunlability shield (f-secure) które uruchamiają się tylko w momencie wykonania złośliwego kodu).

exploit pdf, czyli spreparowany pdf (niby pdf, a się uruchamia złośliwy kod w czytniku), jest zapodawany centralnie (z linku, lub js (java script) przekierowuje i uruchamia) na przeglądarkę, która uruchamia readera albo acrobat, lub inną. I jeśli AV tego nie wykryje, a przeglądarka i dziurawy acrobat/itd. jest nie załatana na daną podatność exploita to dochodzi do infekcji komputera. Może też byćlub wczytany/odpalony w readerze normalnie. Wykonany kod np. ściąga dalsze malware i automatycznie jest uruchamiane. I jeśli AV dalej nic nie wykryje to już wiesz co dalej się dzieje...

Jest dużo jeśli/i, żeby to zadziałało, ale w praktyce dużo ludzi ma te sprawy niepołatane. Jak szukałem GPcode ax to już linki .js i exploity pdf na niego były nie aktywne na super dziurawym systemie xp sp3 bez aktualizacji dalszych, IE6,reader 9.0 i java 6.0.

Jeśli już o exploitach, bardzo ważne jest łatanie co miesięczne systemu (co drugi wtorek miesiąca wychodzą aktualizacje M$ Update), bo chodź się nie używa IE, on jest składnikiem systemu. Dochodzą też inne łatki łatające sam system, jądro (np. słynny Alureon:

[Aby zobaczyć linki, zarejestruj się tutaj]

w listopadzie 2010 zdołał przełamać zabezpieczenia Win7 64bit, omijając wymóg podpisywania sterowników, preparując odpowiedni MBR dysku). Wtedy możliwość zainfekowania przez różne drogi drastycznie spadnie.

Coś wyjątkowego, rootkit obchodzący zabezpieczenia w systemie 64 bitowym i instalujący trojana:

TDSS TDL4 -Trojan.Win64.TDSS wariant "a"

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

O rootkicie obchodzącym zabezpieczenia w Win64 było już jakiś czas temu mówione

Jakiś czas temu? Wikipedia mówi że listopad 2010 chodzi dokładnie o nowego rootkita typu MBR, który omija podpisywanie sterowników tego TDSS w systemie.

[martinez2006]

45 malware z dn. 05.01.2011:

Treść widoczna jedynie dla zarejestrowanych użytkowników

oraz 293 exploity PDF z okresu 12.2010:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Malware:
AVAST + Immunet = 37/45 (82,22%)

Exploity:
AVAST + Immunet = 229/293 (78,15%)

[PascalHP]

45 malware z dn. 05.01.2011:

Treść widoczna jedynie dla zarejestrowanych użytkowników

AVG Internet Security 2011
32/45 (71%)

oraz 293 exploity PDF z okresu 12.2010:

Treść widoczna jedynie dla zarejestrowanych użytkowników

AVG Internet Security 2011
250/293 (85%)

[Tomnord15]

45 malware z dn. 05.01.2011

Avira free bez włączonego guard- 27/45 (60%)

MBAM-41/45 (91%)

[jasiekkidawa]

Przeskanowałem sobie dzisiaj wszystkie paczki z malware od dnia 06.12.2010 do ostatniej z 04.01.2011. (oprócz paczki z 22.12, której nie mogłem rozpakować). Użyłem do tego dwóch pakietów bezpieczeństwa: COMODO Internet Security 2011 (baza wirusów nr 7312) i KASPERSKY Internet Security 2011 (baza wirków z 06.01.2011 z godz. 11.03), obydwa pakiety skanowały z ustawionym maksymalnym poziomem wykrywania heurystycznego. Oto wyniki:

COMODO Internet Security 2011 - 5.3.174622.1216

06.12.2010 --51/52
07.12.2010 -- 34/37
08.12.2010 -- 46/49
09.12.2010 -- 21/28
10.12.2010 -- 112/115
11.12.2010 -- 53/59
12.12.2010 -- 29/29
13.12.2010 -- 77/85
14.12.2010 -- 54/55
15.12.2010 -- 49/54
16.12.2010--45/52
17.12.2010--58/70
18.12.2010--21/21
19.12.2010--113/119
20.12.2010--39/43
21.12.2010--36/41
23.12.2010--30/32
24.12.2010--41/52
25.12.2010--90/104
26.12.2010--43/44
27.12.2010--27/27
28.12.2010--26/26
29.12.2010--69/71
30.12.2010--74/88
31.12.2010--30/36
01.01.2011--16/22
02.01.2011--133/141
03.01.2011--38/43
04.01.2011--116/148
--------------------------------------------
Łącznie -- 1571/1743
Wynik procentowy -- 90,13

KASPERSKY Internet Security 2011 - 11.0.2.556

06.12.2010--46/52
07.12.2010 --32/37
08.12.2010 -- 47/49
09.12.2010 --24/28
10.12.2010--112/115
11.12.2010-- 51/59
12.12.2010 --27/29
13.12.2010 --70/85
14.12.2010-- 50/55
15.12.2010--46/54
16.12.2010-- 36/52
17.12.2010--45/70
18.12.2010-- 15/21
19.12.2010--115/119
20.12.2010 -- 37/43
21.12.2010 -- 31/41
23.12.2010 --29/32
24.12.2010--39/52
25.12.2010--91/104
26.12.2010 -- 40/44
27.12.2010--25/27
28.12.2010--21/26
29.12.2010 --65/71
30.12.2010--88/88
31.12.2010 --29/36
01.01.2011-- 20/22
02.01.2011 --131/141
03.01.2011 -- 34/43
04.01.2011-- 132/148
--------------------------------------------------------
Łącznie -- 1528/1743
Wynik procentowy -- 87,66

Podsumowując: COMODO (90,13%) lepiej wypadł od KASPERSKY-ego (87,66%) w tym moim malutkim teściku na wykrywanie paczek z malware TOMMY-ego

[Boniaszek]

Jasiek z łaski swojej

[morphiusz]

Jestem w trakcie robienia podobnego testu, tylko na 40 tys wirusów
Wszystkie paczki, nawet te w partach wzialem
Ale tylko darmowki, a dokladnie:
-AVG
-Avast
-Avira
-Comodo
-Immunet
-Panda (chociaz nie wiem)
-Returnil
-Outpost

Skanowanie jednym programem zajmuje czasem3h>
+ usuwanie kolejna godzina czasem -,-
Trzeba też pamiętać,że jakieś 5% w tych paczkach to czyste pliczki

[jasiekkidawa]

Jasiek z łaski swojej mógłbyś dodać jeszcze skan tych samych paczek Avastem 5.1 ?

Zainstalowałem sobie kilka dni temu na próbę AVAST-a, wyleciał bardzo szybko z mojego lapka ponieważ osłona WWW zablokowała dostęp do internetu Poczekam na kolejne odsłony tego softu...

Jestem w trakcie robienia podobnego testu, tylko na 40 tys wirusów
Wszystkie paczki, nawet te w partach wzialem
Ale tylko darmowki, a dokladnie:
-AVG
-Avast
-Avira
-Comodo
-Immunet
-Panda (chociaz nie wiem)
-Returnil
-Outpost

Skanowanie jednym programem zajmuje czasem3h>
+ usuwanie kolejna godzina czasem -,-
Trzeba też pamiętać,że jakieś 5% w tych paczkach to czyste pliczki

Już jestem ciekawy wyników tego testu

[martinez2006]

Jasiek z łaski swojej mógłbyś dodać jeszcze skan tych samych paczek Avastem 5.1 ?

Może ja się podejmę tego zadania

Zrobię test Avasta 5.1 na tych samych paczuszkach co Jasiek . Już pobieram paczuszki

[facecik]

Eset NOD32 AV
35/45 i
291/293

[martinez2006]

Za kilka minut dam wyniki z Avasta

[BEST0]

Za kilka minut dam wyniki z Avasta

Spoko sam go używam zobaczymy jak wypadnie.

[Plati]

Nie zapomij przeslac plikow do labu avasta

[martinez2006]

Jeszcze trochę cierpliwości

[martinez2006]

Program do testów ustawiony na maksymalnych ustawieniach
. Te same paczuszki co użył Jasiek.


AVAST 5.1.864 Free -Baza wirusów - 110106-0

06.12.2010 -- 45/52
07.12.2010 -- 31/37
08.12.2010 -- 45/49
09.12.2010 -- 22/28
10.12.2010 -- 110/115
11.12.2010 -- 51/59
12.12.2010 -- 26/29
13.12.2010 -- 71/85
14.12.2010 -- 51/55
15.12.2010 -- 46/54
16.12.2010 -- 44/52
17.12.2010 -- 45/70
18.12.2010 -- 20/21
19.12.2010 -- 113/119
20.12.2010 -- 35/43
21.12.2010 -- 27/41
23.12.2010 -- 30/32
24.12.2010 -- 40/52
25.12.2010 -- 85/104
26.12.2010 -- 42/44
27.12.2010 -- 24/27
28.12.2010 -- 21/26
29.12.2010 -- 65/71
30.12.2010 -- 85/88
31.12.2010 -- 30/36
01.01.2011 -- 19/22
02.01.2011 -- 127/141
03.01.2011 -- 39/43
04.01.2011 -- 131/148
--------------------------------------------
Łącznie -- 1520/1743
Wynik procentowy -- 87,20 %

Wynik prawie jak uKasperskiego