Всем привет !
Многие школо-хакеры говорят "Не лей на VT", отчасти они правы ведь VirusTotal (VT), сливает ваши вирусы вендорам, но давайте рассмотрим и положительную сторону VT, разумеется в коррыстных целях:
1)Если у вас крутой вирус/криптор, то именно залив на VT можно, во первых проверить его стойкость, а во вторых именно VT даст вам понимание, какие АВ его детектят, ибо это самый надёжный и достоверный способ;
2)Всплыло это только сейчас, но в хак. кругах это известно уже давно, да-да при помощи VT и уязвимостей в протоколе, можно нагадить АВ, как это делается:
- Не секрет, что АВ "Смотрят" на детект других АВ, и если у кого-то есть такой детект, "Нерадивые АВ", такие например как Qihoo 360 начнут его детектить...
Теперь теоретическая метода, если есть уязвимость делается следующее:
По отраслевым каналам типа VirusTotal можно распространять нормальные программные файлы, внутрь которых специально засовываем строчки с вредоносным кодом, в этоге они начнут детектится...
Короче это может привести к детекту чистых файлов !
Вот-что пишет по этому поводу Евгений Касперский:
Теперь подробнее об этом случае: в ноябре 2012-го мы допустили ложное срабатывание и заблокировали несколько обычных файлов – игровой клиент Steam, игровой центр Mail.ru и клиент мессенджера QQ. Шум, переполох, внутреннее расследование. Выяснилось, что кто-то извне целенаправленно нам портил жизнь.
За несколько месяцев до этого наш вирлаб начал получать десятки слегка модифицированных файлов этих клиентов добавленными вредоносными строками. Получали мы их в первую очередь через сайт VirusTotal. Скорее всего, негодяи разбирались в том, как работает наш движок: сканнер анализирует не весь файл, и вот они свои закладки делали именно там, где надо, чтобы обмануть сканер. Новые файлы квалифицировались как вредоносные и в таком статусе сохранялись в базе данных.
А потом, когда Steam, Mail.ru и QQ начали обновлять свой софт, наш движок сравнил новые версии файлов с нашими записями и все заблокировал. Обычно такие программы быстро добавляются в разрешенные списки (whitelisting), но в данном случае движок успел их отправить в карантин раньше. Мы поменяли алгоритм, чтобы избежать детектов на основе только данных об имеющихся аналогичных файлах, но весь год этот кто-то так и слал нам их. Просто мы научились их не ловить.
3)Что-же за шум произошёл, вообще в АВ-индустрии есть такое понятие как "Кража детекта", что это такое:
Некий АВ (Часто облачный), просто "Мониторит" детекты других на VT, и если он сеть, просто включает его в свой...
Тем-самым не нужны вирлабы, АВ аналитики и т.д. Достаточно скрипта, который будет постоянно отслеживать и проверять по VT !
Несколько раз я делал тесты, так например поступает Qihoo 360 !
Так-вот недавно, агенство Reuters опубликовало, что и АВ не редко друг-друга так "Мочат", в частности и ЛК непрочь эти заниматься...
Произошёл скандал, что самому Евгению пришлось даже давать офф. ответ:https://xakep.ru/2015/08/16/reuters-vs-kaspersky-lab2/
Многие школо-хакеры говорят "Не лей на VT", отчасти они правы ведь VirusTotal (VT), сливает ваши вирусы вендорам, но давайте рассмотрим и положительную сторону VT, разумеется в коррыстных целях:
1)Если у вас крутой вирус/криптор, то именно залив на VT можно, во первых проверить его стойкость, а во вторых именно VT даст вам понимание, какие АВ его детектят, ибо это самый надёжный и достоверный способ;
2)Всплыло это только сейчас, но в хак. кругах это известно уже давно, да-да при помощи VT и уязвимостей в протоколе, можно нагадить АВ, как это делается:
- Не секрет, что АВ "Смотрят" на детект других АВ, и если у кого-то есть такой детект, "Нерадивые АВ", такие например как Qihoo 360 начнут его детектить...
Теперь теоретическая метода, если есть уязвимость делается следующее:
По отраслевым каналам типа VirusTotal можно распространять нормальные программные файлы, внутрь которых специально засовываем строчки с вредоносным кодом, в этоге они начнут детектится...
Короче это может привести к детекту чистых файлов !
Вот-что пишет по этому поводу Евгений Касперский:
Теперь подробнее об этом случае: в ноябре 2012-го мы допустили ложное срабатывание и заблокировали несколько обычных файлов – игровой клиент Steam, игровой центр Mail.ru и клиент мессенджера QQ. Шум, переполох, внутреннее расследование. Выяснилось, что кто-то извне целенаправленно нам портил жизнь.
За несколько месяцев до этого наш вирлаб начал получать десятки слегка модифицированных файлов этих клиентов добавленными вредоносными строками. Получали мы их в первую очередь через сайт VirusTotal. Скорее всего, негодяи разбирались в том, как работает наш движок: сканнер анализирует не весь файл, и вот они свои закладки делали именно там, где надо, чтобы обмануть сканер. Новые файлы квалифицировались как вредоносные и в таком статусе сохранялись в базе данных.
А потом, когда Steam, Mail.ru и QQ начали обновлять свой софт, наш движок сравнил новые версии файлов с нашими записями и все заблокировал. Обычно такие программы быстро добавляются в разрешенные списки (whitelisting), но в данном случае движок успел их отправить в карантин раньше. Мы поменяли алгоритм, чтобы избежать детектов на основе только данных об имеющихся аналогичных файлах, но весь год этот кто-то так и слал нам их. Просто мы научились их не ловить.
3)Что-же за шум произошёл, вообще в АВ-индустрии есть такое понятие как "Кража детекта", что это такое:
Некий АВ (Часто облачный), просто "Мониторит" детекты других на VT, и если он сеть, просто включает его в свой...
Тем-самым не нужны вирлабы, АВ аналитики и т.д. Достаточно скрипта, который будет постоянно отслеживать и проверять по VT !
Несколько раз я делал тесты, так например поступает Qihoo 360 !
Так-вот недавно, агенство Reuters опубликовало, что и АВ не редко друг-друга так "Мочат", в частности и ЛК непрочь эти заниматься...
Произошёл скандал, что самому Евгению пришлось даже давать офф. ответ:https://xakep.ru/2015/08/16/reuters-vs-kaspersky-lab2/
