- Сообщения
- 646
- Реакции
- 623
- ВВЕДЕНИЕ
В последнее время стало актуальным и по-своему модным изучение различных аспектов имеющихся на рынке антивирусов: скорости сканирования, ресурсоемкости, самозащиты, эффективности лечения и т.д. Не последним фактором, в свете растущего количества новых угроз, является скорость реагирования вирусных лабораторий на новые образцы зловредов.
Ранее проводились работы по оценки этой скорости реагирования с помощью таких сервисов, как VirusTotal. Однако эти работы имеют ряд недостатков:
- сам VirusTotal заявляет о необъективности подобных исследований;
- нет уверенности, что некоторым вирусным лабораториям исследуемые образцы не попали по другим каналам с более высоким приоритетом и/или раньше по времени.
По этой причине наша команда решила попытаться выполнить эту работу самостоятельно, максимально снизив риск влияния посторонних факторов.
- ПОДГОТОВКА ОБРАЗЦОВ
Основную проблему для выполнения подобного исследования представляет собой поиск вредоносного образца, ранее неизвестного антивирусным компаниям. Проблема сложная, её решение – создание вредоноса самостоятельно, что противоречит убеждениям настоящей команды исследователей, либо упаковка существующего образца неким новым пакером/криптором, ранее неизвестного вендорам. Последнее и было взято на вооружение.
Существует множество алгоритмов, реализуемых в пакерах/крипторах. Как правило, распаковка подобных файлов чрезвычайно сложна, а в ряде случаев – нецелесообразна, что приводит к появлению детектов типа Krap, Packed, Black.a и т.д., то есть образец детектируется по методу упаковки и характерным сигнатурам пакера, а не по вредоносному коду. С одной стороны – это приводит к сравнительно быстрому анализу и детектированию вредоносного кода со стороны вирусных лабораторий, а также снижению нагрузки на систему пользователя антивируса в ходе процесса распаковки, с другой – к многочисленным ложным срабатываниям на пиратские кейгены/патчи, авторы которых скрывают свои наработки от конкурентов с помощью таких же пакеров/крипторов.
Авторами разработан оригинальный алгоритм упаковки, позволяющий сбить сигнатуры, заключавшийся в следующем:
- Образец дроппера упаковывался в архив одним из популярных архиваторов с шифрованием содержимого и заголовка архива.
- В единый исполняемый файл упаковывался как архив, так и утилита для разархивирования и скрипт на командном языке Windows, запускающий разархивирование с искомым паролем в %temp%, а затем запускающий собственно дроппер.
- Полученный файл упаковывался UPX.
Детали обработки умышленно не публикуются по понятным причинам, однако заявляем, что работа по перепаковке одного образца не занимает более 1-2 минут.
В качестве исходных дропперов были выбраны образцы актуальных угроз: TDL4, GPCode.ax, Kolab и SpyEye 1.3. Для проверки ложного срабатывания аналогичным образом были упакованы файлы из дистрибутива Windows - regedit.exe, notepad.exe и cmd.exe.
Полученные экземпляры проверялись на физических (Windows XP Pro SP3 Rus с актуальными обновлениями) и виртуальных системах (та же система на VMWare Workstation 7.1.4 build 385536, хост – Windows 7 Ultimate SP1). Работоспособность образцов была подтверждена, в случае вредоносов система заражалась. Однако обращаем внимание на то, что несмотря на безусловную вредоносность полученных образцов, имеющийся на системе активный резидентный антивирус эффективно предотвращал заражение, своевременно детектируя распакованный дроппер и блокируя его последующий запуск. Системы HIPS также позволяют эффективно предотвратить заражение, однако для этого необходимо некоторое понимание происходящих процессов.
Подчёркиваем, что предлагаемая методика упаковки довольно убога, в реальности встречаются намного более успешные методы, позволяющие обойти как антивирус, так и HIPS. Однако, поставленную задачу – убрать детект – этот метод успешно выполнил и потому был применён в работе.
- ХОД ИССЛЕДОВАНИЯ
Три различных перепакованных, как указано выше, образца вредоносов А, В, С и D, у которых расширение было изменено с "ехе" на "е_е" (за исключением образца D), были направлены в вирусные лаборатории по четырём каналам.
- С корпоративного адреса на базе Google Mail s**orov<at>safezone.cc (буквы опущены во избежание спама) на vendors<at>malware-research.co.uk направлялся образец А, упакованный а zip-архив с паролем "infected" (здесь и далее пароли читать как без кавычек). В основе образца A был червь Kolab.
- С корпоративного адреса на базе Google Mail iv**ov<at>safezone.cc (буквы опущены во избежание спама) на ящики вирусных лабораторий, указанные на официальных сайтах, направлялся образец В, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца B был троян SpyEye.
- На официальных сайтах антивирусных компаний на соответствующих формах для сообщения о новой угрозе, был загружен образец С, оформленный, согласно заявленным на официальных сайтах правилам (упаковка в архивы со специфичным паролем и т.д.). В основе образца С был дроппер TDL4. В качестве контактного адреса везде, где возможно, указывался корпоративный адрес на базе Google Mail p**rov<at>safezone.cc (буквы опущены во избежание спама).
- На сайт VirusTotal был загружен образец D, детект на момент загрузки:
[TD valign="bottom"] AhnLab-V3 [/TD]
[TD valign="bottom"] 2011.06.15.00[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] AntiVir [/TD]
[TD valign="bottom"] 7.11.9.204[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]
[TD valign="bottom"] Antiy-AVL [/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Avast [/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Avast5 [/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] AVG [/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] BitDefender [/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] CAT-QuickHeal [/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] ClamAV [/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Commtouch [/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Comodo [/TD]
[TD valign="bottom"]
9074
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] DrWeb [/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] eSafe [/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] eTrust-Vet [/TD]
[TD valign="bottom"] 36.1.8387[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] F-Prot [/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] F-Secure [/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Fortinet [/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] GData [/TD]
[TD valign="bottom"]
22
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Ikarus [/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Jiangmin [/TD]
[TD valign="bottom"]13.0.900[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]
[TD valign="bottom"] K7AntiVirus [/TD]
[TD valign="bottom"] 9.106.4812[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Kaspersky [/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] McAfee [/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] McAfee-GW-Edition [/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Microsoft [/TD]
[TD valign="bottom"] 1.6903[/TD]
[TD valign="bottom"] 2011.06.13[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] NOD32 [/TD]
[TD valign="bottom"]
6210
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Norman [/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] nProtect [/TD]
[TD valign="bottom"] 2011-06-15.02[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Panda [/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"]2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] PCTools [/TD]
[TD valign="bottom"] 7.0.3.5[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Prevx [/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Rising [/TD]
[TD valign="bottom"] 23.62.02.05[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Sophos [/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] SUPERAntiSpyware [/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Symantec [/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]
[TD valign="bottom"] TheHacker [/TD]
[TD valign="bottom"] 6.7.0.1.230[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] TrendMicro [/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] TrendMicro-HouseCall [/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VBA32 [/TD]
[TD valign="bottom"] 3.12.16.1[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VIPRE [/TD]
[TD valign="bottom"]
9588
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] ViRobot [/TD]
[TD valign="bottom"] 2011.6.15.4513[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VirusBuster [/TD]
[TD valign="bottom"] 14.0.80.1[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
В основе образца D был дроппер GPCode.ax.
Как показало предварительное исследование, Avira, Symantec и Jiangmin (последний в исследовании не участвовал) обнаруживают ложный детект на упакованный образец. Доказательством этого может служить аналогичный детект для безвредного файла (regedit.exe), упакованного по нашему методу:
[TD valign="bottom"] AhnLab-V3 [/TD]
[TD valign="bottom"] 2011.06.15.00[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] AntiVir [/TD]
[TD valign="bottom"] 7.11.9.204[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] DR/Delphi.Gen[/TD]
[TD valign="bottom"] Antiy-AVL [/TD]
[TD valign="bottom"] 2.0.3.7[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Avast [/TD]
[TD valign="bottom"] 4.8.1351.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Avast5 [/TD]
[TD valign="bottom"] 5.0.677.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] AVG [/TD]
[TD valign="bottom"] 10.0.0.1190[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] BitDefender [/TD]
[TD valign="bottom"] 7.2[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] CAT-QuickHeal [/TD]
[TD valign="bottom"] 11.00[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] ClamAV [/TD]
[TD valign="bottom"] 0.97.0.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Commtouch [/TD]
[TD valign="bottom"] 5.3.2.6[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Comodo [/TD]
[TD valign="bottom"]
9074
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] DrWeb [/TD]
[TD valign="bottom"] 5.0.2.03300[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] eSafe [/TD]
[TD valign="bottom"] 7.0.17.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] eTrust-Vet [/TD]
[TD valign="bottom"] 36.1.8387[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] F-Prot [/TD]
[TD valign="bottom"] 4.6.2.117[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] F-Secure [/TD]
[TD valign="bottom"] 9.0.16440.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Fortinet [/TD]
[TD valign="bottom"] 4.2.257.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] GData [/TD]
[TD valign="bottom"]
22
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Ikarus [/TD]
[TD valign="bottom"] T3.1.1.104.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Jiangmin [/TD]
[TD valign="bottom"] 13.0.900[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] Backdoor/Hupigon.bhsf[/TD]
[TD valign="bottom"] K7AntiVirus [/TD]
[TD valign="bottom"] 9.106.4812[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Kaspersky [/TD]
[TD valign="bottom"] 9.0.0.837[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] McAfee [/TD]
[TD valign="bottom"] 5.400.0.1158[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] McAfee-GW-Edition [/TD]
[TD valign="bottom"] 2010.1D[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Microsoft [/TD]
[TD valign="bottom"] 1.6903[/TD]
[TD valign="bottom"] 2011.06.13[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] NOD32 [/TD]
[TD valign="bottom"]
6210
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Norman [/TD]
[TD valign="bottom"] 6.07.10[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] nProtect [/TD]
[TD valign="bottom"] 2011-06-15.02[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Panda [/TD]
[TD valign="bottom"] 10.0.3.5[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] PCTools [/TD]
[TD valign="bottom"] 7.0.3.5[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Prevx [/TD]
[TD valign="bottom"] 3.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Rising [/TD]
[TD valign="bottom"] 23.62.01.04[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Sophos [/TD]
[TD valign="bottom"] 4.66.0[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] SUPERAntiSpyware [/TD]
[TD valign="bottom"] 4.40.0.1006[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] Symantec [/TD]
[TD valign="bottom"] 20111.1.0.186[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] Suspicious.Cloud.5[/TD]
[TD valign="bottom"] TheHacker [/TD]
[TD valign="bottom"] 6.7.0.1.230[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] TrendMicro [/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] TrendMicro-HouseCall [/TD]
[TD valign="bottom"] 9.200.0.1012[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VBA32 [/TD]
[TD valign="bottom"] 3.12.16.1[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VIPRE [/TD]
[TD valign="bottom"]
9588
[/TD][TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] ViRobot [/TD]
[TD valign="bottom"] 2011.6.15.4513[/TD]
[TD valign="bottom"] 2011.06.15[/TD]
[TD valign="bottom"] -[/TD]
[TD valign="bottom"] VirusBuster [/TD]
[TD valign="bottom"] 14.0.80.1[/TD]
[TD valign="bottom"] 2011.06.14[/TD]
[TD valign="bottom"] -[/TD]
По этой причине на формы, отвечающих за ложное срабатывание на сайтах компаний, у которых это срабатывание было отмечено, был отправлен упакованный по нашей методике notepad.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах.
Параллельно, на электронные адреса вирусных лабораторий этих компаний был направлен упакованный по нашей методике cmd.exe с соблюдением всех правил оформления, указанных на соответствующих сайтах (обычно – указание в теме письма фразы типа FalseAlarm).
Все указанные работы были проведены в период с 16:00 до 17:00 МСК 15 июня 2011 года. От того момента до окончания проведения тестирования никаким иным образом исследуемые образцы в Сеть не поступали.
Следует отметить, что у ряда вендоров система отправки новых образцов весьма противоречива. Так, компании AhnLab , Protector Plus, SandBox Information Center и McAfee требуют, чтобы у аппликанта (заявителя) был установлен их антивирусный продукт, в противном случае регистрация на сайте для отправки образца будет невозможна. Symantec указывает, что подозрительный файл должен отсылаться "как есть", а не в архиве с паролем, что может затруднить отправку в случае наличия активного антивируса на машине аппликанта или на одном из шлюзов. Emsisoft, NANO Антивирус и F-Prot не предусматривают обратной связи по отправленному файлу. F-Secure после загрузки файла более получаса занимались какой-то работой, в итоге так и не выдали никакого сообщения об удачном получении. NANO Антивирус и Panda требуют довольно нестандартный версии упаковки подозрительный файлов: первый – zip-архив с паролем 123, а второй – rar-архив (!!!) с паролем 111. Более того, NANO Антивирус не поддерживает обратную связь, после загрузки файла 10 минут сайт никак не реагировал и в итоге был закрыт (имеется в виду окно браузера). Rising AV предлагает прислать архив без пароля (что также легко может быть заблокировано на шлюзах), в ответ на файл сервер отвечает, цитируем
ґ¦Ан URL К±·юОсЖчіцґнЎЈЗлУлПµНі№ЬАнФ±БЄПµЎЈ
Особо хочется выделить Sophos, при оформлении заявки выдающий целый диалог с указанием причины отсылки и пароля на архив – очень удобно и понятно, хоть и на английском. И в раздел юмора – вопрос от ViRobot:
"
If another antivirus products already detected the file except ViRobot, please write down the name of antivirus product and the detection name including the suspicious virus files."
"Если другой антивирусный продукт уже детектирует этот файл, пожалуйста, укажите имя этого продукта и имя детекта на каждый из подозреваемых файлов."
В ходе исследования регулярно проверялась папка «Спам» во избежание того, чтобы чьё-то сообщение оказалось ошибочно признанным как спам и в итоге – незамеченным.
Тестирование было завершено 22.06.2011 в 16:00 МСК, после этого никакие ответы вирусных лабораторий не принимались, таким образом общее время приёма ответов составило 7 календарных дней или 5 рабочих (без субботы и воскресенья).
- ОТКЛИКИ ВИРУСНЫХ ЛАБОРАТОРИЙ
Безусловно, самый высокий приоритет ожидался у обращений, выполненных с официального сайта – не зря же необходимо вводить капчи, заполнять формы и трудиться, чтобы помочь вирусной лаборатории! Однако на практике это оказалось отнюдь не таким очевидным.
Таблица 1. Результаты загрузки образцов на веб-формы антивирусных компаний.