20 ответов в этой теме

[vitalij s]

CureIt 7.0 beta и CureIt 6.0, с настройками по умолчанию, не обнаруживают при проверке вредоносные программы в упаковщике UPX для исполяемых файлов (в данном случае .EXE).

Обнаружение происходит только при включении (!!) проверки архивов.


Т.е. при провеке с настрояками по умолчанию вредоносная программа оказывается не обнаружена в исполняемом файле, и после проверки происходит повторное заражение системы. Это видимо одна из причин по которой Dr.Web CureIt в некоторых случаях не может полностью удалить вирусы из системы.

Отсутвие детекта подтвердилось с двумя разными вредоносными программами в UPX.


Необходимо включить проверку исполняемых UPX файлов по умолчанию в окончательной версии Dr. Web CureIt 7.0 . Видимо некоторые вирусы-трояны уже пользуются этой особенностью работы CureIt. Пользователь ведь не догадывается что исполняемые файлы могут считаться антивирусом за архивные.

[pig]

Я так понимаю, что вы проверяете SFX-архив (RAR?), у которого башка пожата UPX. Так CureIt не лезет внутрь архивов независимо от пожатости SFX-модуля. Ибо не сказано проверять архивы. Если какой-то тип таких архивов является инсталлятором - добро пожаловать с образцами и комментариями в вирлаб. IMHO, есть резон отнести их к другой категории.

Для начала хотелось бы увидеть лог проверки ваших вредоносных файлов.

[Konstantin Yudin]

вирусы именно в sfx-upx стабе?

Сообщение было изменено Konstantin Yudin: 09 Июль 2012 - 15:03

[userr]

вирусы именно в sfx-upx стабе?

готов спорить, что нет.

vitalij s,
Потрудитесь все подробно объяснить, привести логи cureit, результаты с virustotal и тд.

Пока можно сказать, что Вы заблуждаетесь. Но если не будет объяснений, придется Ваше письмо считать заведомым обманом, нарушающим п. 4.12 Правил форума.
Модератор.

[vitalij s]

Сейчас по порядку объясню:

С проблемой я столкнулся на компьютере друга, где после полной проверки системы на вирусы Dr. Web CureIt, трояны заново появлялись несмотря на то, что компьютер был отсоединён от сети, и с материальными носителями информациии к нему никто не подходил. Dr. Web CureIt не мог от них избавиться - возрождались, но когда в очередной раз перед проверкой, в настойках включил проверку архивов, то Dr. Web CureIt обнаружил троян в одном из EXE файлов в приложении, и уже больше трояны не возрождались.

Затем я этот экзешник (вроде как очищенный) загружал в частности на virusscan.jotti.org , и там было указано packer - UPX и пара антивирусов на него сработала как на PUA.WIN32.PACKER.UPX (это я по памяти), то есть существует по мнению некоторых антивирусов "вредоносная" или подозрительная версия упаковщика UPX !!!


Но это не всё, я Dr. Web CureIt 7.0 beta, использую ещё для выборочной проверки некоторых приложений, и обнаружил что с настройками по умолчанию, без включении проверки архивов, он не видит вредонос в некоторых ЕXE файлах. В частности, вредносную Program.MediaGet.21 в EXE файле обнаруживает только при включении проверки архивов.

На virustotal ( https://www.virustotal.com/file/40e0700e6469ccf212e1b4a0b23065da68f5397bff853f81db842aa788cd19e0/analysis/1341929843/ ) эту угрозу Dr. Web тоже не видит (а не по этой ли причине?).

Что любопытно если загрузить екзешник Program.MediaGet.21 на http://virusscan.jotti.org/ru/scanresult/1fc6a7d8eae4b93a0845f33a8f565b838f5f6838 , то помимо того что файл определён как UPX и Dr. Web видит данную угрозу, и кроме этого, антивирус ClamAV определяет его как PUA.Win32.Packer.Upx-53 то есть антивирусом опять зафиксирован "вредоносный" или подозрительный упаковщик исполняемых файлов UPX, как и в предыдущем случае - принцип тот же, как и с трояном выше.


Вы можете понаблюдать отсутствие детекта с настройками по умолчанию в Dr. Web CureIt 7.0 beta и Dr. Web CureIt 6 на Program.MediaGet.21, (голом екзешнике MediaGet4.exe извлечённого из прикреплённого rar архива) которую я приложил (запускать не надо ). И наличие детекта при включённой проверки архивов.

Ссылка на вирус убрана.


И ещё вопрос: что представлюют собой подозрительные или "вредоносные" UPX вроде PUA.Win32.Packer.Upx-53 по версии некоторых антивирусов?

Прикрепленные файлы:

•  MediaGet4.rar   667,6К   10 Скачано раз

Сообщение было изменено VVS: 10 Июль 2012 - 19:50

[VVS]

vitalij s, публиковать вирусы нельзя.
Устное предупреждение.
Модератор.

[VVS]

Подтверждаю инфу от vitalij s.

Вот без проверки архивов:

Spoiler

>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - packed by UPX
>>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe is BINARYRES container
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001 - Ok
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002 - Ok
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003 - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - container

Вот с проверкой архивов:

Spoiler

>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - packed by UPX
>>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe is BINARYRES container
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001\mediaget-admin-proxy.exe - is riskware program Program.MediaGet.21
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001\mediaget-admin-proxy.exe - infected
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001 - infected archive
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/kaspersky.gif - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/pbar-ani.gif - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/preloader.gif - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/babylon.jpg - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/line.jpg - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/poster.jpg - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/yandex.jpg - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/bg.png - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\img/start.png - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\stub.html - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\js/jquery-ui.min.1.8.0.js - Ok
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\js/jquery.min.1.6.4.js is JS-HTML container
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\js/jquery.min.1.6.4.js\JSTag_1[1170e][4f06] - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\js/jquery.min.1.6.4.js - Ok
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\index.template is JS-HTML container
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\index.template\JSTAG_1[1db3][3fb] - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002\index.template - Ok
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data002 - Ok
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003 is 7-ZIP archive
>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003\mediaget-uninstaller.exe - packed by UPX
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003\mediaget-uninstaller.exe - is riskware program Program.MediaGet.26
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003\mediaget-uninstaller.exe - infected
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data003 - infected archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - infected container
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe - infected container

[Konstantin Yudin]

Ну дык, детект в 7-zip архиве, чего ты ожидал?

[VVS]

Ну дык, детект в 7-zip архиве, чего ты ожидал?

Угу, точно, оно ж там так и написано.

[Konstantin Yudin]

Это вообще самопал какой то а не sfx архив. Бинарь пожатый upx, и в ресурсах куча архивов 7-zip с бинарями.

[HHH]

>D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001 is 7-ZIP archive
D:\Users\Vladimir V. Shirjak\Downloads\MediaGet4\MediaGet4.exe\data001\mediaget-admin-proxy.exe - is riskware program Program.MediaGet.21

В ресурсе находтся архив, в нём зараженный файл. При отключенной проверке архивов он не находится, что логично.
В чём проблема-то?

[HHH]

упс, долго думал

[pig]

Проблема в том, что по факту этот EXE есть инсталляционный пакет. И сценарий установки извлекает рискварь (в данном случае не троян, но ясно, что может быть всё, что угодно) из архива, вложенного в ресурсы. IMHO, предмет для ломания головы.

[SergM]

предмет для ломания головы.

Вообще-то представил сейчас эту конструкцию - круто, однако.

[Konstantin Yudin]

предмет для ломания головы.

Вообще-то представил сейчас эту конструкцию - круто, однако.

ничего не обычного. для такого предназначен спайдер. как только будут сбрасываться файлы на диск.

[Vindows]

Некоторым для этого файла достаточно одной галочки, напротив - Advanced heuristics/DNA/Smart signatures.
Все остальные, везде вообще можно поснимать, видет.
-http://img13.imageshost.ru/img/2012/07/10/image_4ffc892864465.png

Если вообще везде все галочки снять:
C:\Users\VITALIKEAV\Desktop\MediaGet4.exe » UPX v13_m8 - is OK (internal scanning not performed)

Сообщение было изменено Vindows: 10 Июль 2012 - 22:50

[vitalij s]

Проблема в том, что по факту этот EXE есть инсталляционный пакет. И сценарий установки извлекает рискварь (в данном случае не троян, но ясно, что может быть всё, что угодно) из архива, вложенного в ресурсы. IMHO, предмет для ломания головы.

Это в обоих случаях инсталляционных пакеты, но с настройками по умолчанию для Dr. Web CureIt 7.0 beta и CureIt 6.0 они должны проверяться, а этого не происходит. То есть инсталляционный пакет, является дроппером(!!!) и обманывает Dr. Web CureIt и просходит новое заражение вылеченной Dr. Web CureIt-ом системы, как было с компьютером моего друга и троянами, как я описывал выше.

ничего не обычного. для такого предназначен спайдер. как только будут сбрасываться файлы на диск.

Я говорил не про SpIDer Guard, а про Dr. Web CureIt 7.0 beta и CureIt 6.0 .

То есть имеются инсталляционные пакеты (дропперы по факту) которые позволяют обманывать Dr. Web CureIt с настройками по умолчанию, и оставлять вирус в системе, несмотря на полную проверку Dr. Web CureIt-ом.

Скорее всего вредоносные программы уже эксплуатируют эту особенность работы Dr. Web CureIt-а. Это по сути причина, по которым Dr. Web CureIt не может вылечить систему полностью, как это иногда бывает. А ведь для вашего антивируса это антиреклама! (Как мне то достучаться до вас???)


Пожалуйста донесите до разработчиков Dr. Web CureIt 7.0 beta, чтобы исправили проверку инсталляционных пакетов (дропперов) с такими вот вложенными архивами, при настройках по умолчанию.

Сообщение было изменено vitalij s: 14 Июль 2012 - 12:19

[userr]

Это в обоих случаях инсталляционных пакеты, но с настройками по умолчанию для Dr. Web CureIt 7.0 beta и CureIt 6.0 они должны проверяться, а этого не происходит.

Происходит. Но внутри инсталляционного пакета находится архив. Его CureIt не проверяет с настройками по умолчанию. Все логично и правильно.

... и просходит новое заражение вылеченной Dr. Web CureIt-ом системы

Если на машине не установлен постоянно действующий антивирус, и Вы на этой машине запускаете вирус, (например, который достали из архива) то конечно она заразится. При этом неважно, лечили Вы перед этим машину CureIt или нет.

То есть имеются инсталляционные пакеты (дропперы по факту) которые позволяют обманывать Dr. Web CureIt с настройками по умолчанию

это неправда.

и оставлять вирус в системе, несмотря на полную проверку Dr. Web CureIt-ом.

точно также останется мертвой тушкой лежать на диске вирус в архиве, напр. virus.zip, после полной проверки CureIt с настройками по умолчанию. Почему это Вас не удивляет?

Это по сути причина, по которым Dr. Web CureIt не может вылечить систему полностью, как это иногда бывает.

Это неправда. CureIt вылечит систему от активных (известных ему) вирусов. При этом останутся на диске файлы вирусов в архивах (с настройками по умолчанию)

[mrbelyash]

>То есть имеются инсталляционные пакеты (дропперы по факту) которые позволяют обманывать Dr. Web CureIt с настройками по умолчанию, и оставлять вирус в системе, несмотря на полную проверку Dr. Web CureIt-ом

Тут видишь ли как...В куреит нужно можно было бы встроить подсистему сбора нормальных логов(тех, которые действительно можно использовать для ручного анализа)+сюда же встроить интерпретатор скриптов.

Т.е.
1)вы сделали быстрый скан
2)по требованию вы сделали дополнительный лог этим же куреитом (или он был сделан автоматом)
3)вы получили скрипт, который все, что вам хелпер/вирлаб указал сольет в карантин(или сразу же отправит в вирлаб) и что нужно зачистит.

Это была бы одна полнофункциональная утилита.
Но, разработчикам не выгодно ее делать, т.к. это бесплатная плюшка...Проще 4 года рассказывать про мифический шарк, потом 4 года про наследника шарка.
Ну это так...по-брюзжать

[vitalij s]

точно также останется мертвой тушкой лежать на диске вирус в архиве, напр. virus.zip, после полной проверки CureIt с настройками по умолчанию.

В данном случае, как раз и не остаётся лежать, ибо это исполняемый UPX, с хитро вложенным архивом. Достаточно прописки этого EXE файла в автозапуск или исполнения скрипта в легальной утилите, что бы происходило повторное заражение раз за разом. Что и случилось на компьютере моего друга, пока не была принудительно включена проверка архивов.

То есть всякий раз после полной проверки CureIt-ом будет происходить автоматическое заражение, которое покажет пользователям бессилие Dr. Web в борьбе с вирусами.
А это антиреклама и для вашего платного продукта.

>То есть имеются инсталляционные пакеты (дропперы по факту) которые позволяют обманывать Dr. Web CureIt с настройками по умолчанию, и оставлять вирус в системе, несмотря на полную проверку Dr. Web CureIt-ом

Тут видишь ли как...В куреит нужно можно было бы встроить подсистему сбора нормальных логов(тех, которые действительно можно использовать для ручного анализа)+сюда же встроить интерпретатор скриптов.

Т.е.
1)вы сделали быстрый скан
2)по требованию вы сделали дополнительный лог этим же куреитом (или он был сделан автоматом)
3)вы получили скрипт, который все, что вам хелпер/вирлаб указал сольет в карантин(или сразу же отправит в вирлаб) и что нужно зачистит.

Это была бы одна полнофункциональная утилита.
Но, разработчикам не выгодно ее делать, т.к. это бесплатная плюшка...Проще 4 года рассказывать про мифический шарк, потом 4 года про наследника шарка.
Ну это так...по-брюзжать

Ну это понятно. Ради CureIt никто ничего делать не будет, даже если это выливается в антирекламу и для основного продукта Dr Web.