Сравнительный анализ платных антивирусных сканеров: Scan4you, Chk4me, Virtest, AvDetect

[POCT]

В общем-то тема уже была, но ... погибла =) Попытка №2.

Файл взял у троянщика ООН aka piopi21 (о нем возможно будет отдельный разговор) из этой темы /showthread.php?t=14739. По поводу вирустотала: запилил спец скрин, который говорит о том, что это сделали до меня. Да и криптор был модифицированный. В данном случае вирустотал выступает в роли "дядьки Черномора".

Для всех остальных говорю: "На вирустотал файлы лить не стоит - в основном это касается стабов к крипторам. Последует бан без предупреждения. Для проверки файлов у нас имеется свой сканер Scanner.FuckAV.ru, который работает на api авдетекта."

Дабы не листать тему, вот вот вам отчет по работе сервисов:

Цитата:

Scan4you - 14 из 35 - [Ссылки могут видеть только зарегистрированные пользователи.]
Chk4me - 16 из 26 - [Ссылки могут видеть только зарегистрированные пользователи.]
Virtest - 20 из 44 - [Ссылки могут видеть только зарегистрированные пользователи.]
AvDetect - 23 из 36 - [Ссылки могут видеть только зарегистрированные пользователи.] (McAfee временно не работал)
VirusTotal - 31 из 47 - [Ссылки могут видеть только зарегистрированные пользователи.]

Файл один и тот же - сравнивайте по мд5.

Scan4you.net
[Ссылки могут видеть только зарегистрированные пользователи.]

RESULTS: 14/35
AVG Free - Trojan horse PSW.OnlineGames4.LFR
ArcaVir -
Avast - Win32:Crypt-NKM [Trj]
AntiVir (Avira) -
BitDefender - Gen:Variant.Graftor.Elzob.7270
VirusBuster -
Clam -
COMODO -
Dr.Web - BackDoor.Pigeon.12989
eTrust-Vet - Win32/Swisyn.D!generic
F-PROT -
F-Secure - Gen:Variant.Graftor.Elzob.7270
G Data - Gen:Variant.Graftor.Elzob.7270, Win32:Crypt-NKM [Trj]
IKARUS - Trojan.Delf
Kaspersky - Backdoor.Win32.Poison.fujb
McAfee -
MS Essentials -
ESET NOD32 - Trojan.Win32/Injector.DQS
Norman -
Norton - Trojan.Bredolab
Panda -
A-Squared - Trojan.Delf!IK
Quick Heal -
Solo -
Sophos - W32/AutoRun-BHX
Trend Micro -
VBA32 - infected BScope.Worm.Palevo.24321
Zoner AntiVirus -
Ad-Aware -
BullGuard -
Immunet -
K7 Ultimate -
NANO -
Panda CommandLine -
VIPRE -

File Name stub.exe
File Size: 20480
File MD5: 1b0f5e6cd37cc5b21a7a2a9b8a84590c
File SHA1: 4380f28acbda070746f01118c99d77305e558c84
Check Time: 2013-06-25 11:55:55

Scan report generated by [Ссылки могут видеть только зарегистрированные пользователи.]

Chk4me.com
[Ссылки могут видеть только зарегистрированные пользователи.]

Virtest.com
[Ссылки могут видеть только зарегистрированные пользователи.]

AvDetect.com
[Ссылки могут видеть только зарегистрированные пользователи.]

VirusTotal.com
[Ссылки могут видеть только зарегистрированные пользователи.]

[POCT]

Завтра проведу повторную проверку этого же файла - выложу в этот пост. Чтобы исключить разницу в обновлении антивирусных баз у сервисов.

Продолжение следует.
===============

Было 25.06.13:

Цитата:

Scan4you - 14 из 35 - [Ссылки могут видеть только зарегистрированные пользователи.]
Chk4me - 16 из 26 - [Ссылки могут видеть только зарегистрированные пользователи.]
Virtest - 20 из 44 - [Ссылки могут видеть только зарегистрированные пользователи.]
AvDetect - 23 из 36 - [Ссылки могут видеть только зарегистрированные пользователи.] (McAfee временно не работал)
VirusTotal - 31 из 47 - [Ссылки могут видеть только зарегистрированные пользователи.]

Стало 26.06.13:

Цитата:

Scan4you - 17 из 35 - [Ссылки могут видеть только зарегистрированные пользователи.]
Chk4me - 19 из 26 - [Ссылки могут видеть только зарегистрированные пользователи.]
Virtest - 22 из 44 - [Ссылки могут видеть только зарегистрированные пользователи.]
AvDetect - 26 из 44 - [Ссылки могут видеть только зарегистрированные пользователи.]
VirusTotal - 34 из 47 - [Ссылки могут видеть только зарегистрированные пользователи.]

[Dark Koder]

сильно большие различия в детекте. странно.

[Multik]

Из первого поста видно, что результаты при сравнении с virustotal.com разнятся.
К примеру, на virustotal.com Panda показывает детект Trj/CI.A, а у остальных показывает что чисто.
Кто не знает Панду? - Панду знают все! При этом на virustotal.com Panda одна, а у остальных есть и по два различных варианта...
Еще, к примеру, на virustotal.com ClamAV чист, а на многих что-то там детектит или взять тот же PCTools - на virustotal.com показывает детект, а у остальных его вообще нет.
Узнать точно, кто пиздит, можно скачав с официального сайта Панду, установить ее на виртуальную машину, обновив базы, и сделать скан тестируемого файла.
Нельзя так же и исключать вариант того что один из тестируемых сервисов аверский фэйк, а че и бабло зарабатывают и базу пополняют "избранными" сэмплами, просто специально обновляют базы позже создавая тем самым иллюзию "легального" сервиса.
Да и вообще если так уж глубоко копать, то простой юзер не станет регаться на платном сервисе чтобы проверить подозрительный файл да еще при этом платить деньги, он проверит на бесплатном virustotal.com или вообще попросит на каком-нибудь аверском форуме проверить файл, слив тем самым на прямую...
Да и вообще ни для кого не секрет что очень часто эти платные сервисы просто не правильно что-то показывают (в реале файл может быть чист как в случае с ClamAV, а они будут показывать детект) или базы обновляют не так часто как нужно.
Да если посмотреть на 31/47... у некоторых даже нет такого количества антивирусов, сколько детектов показал virustotal.com

Могу предложить другой вид тестов, - я закриптую 4 билда UFR (каждый закриптованный билд будет предназначен для одного сервиса), могу и больше, если появится желание проверить еще дополнительно другие подобные сервисы. Короче, сколько понадобится для тестов - столько и сделаю.
Далее POCT проверяет каждый билд по отдельности предназначенный только для одного сервиса на Scan4you, Chk4me, Virtest, AvDetect и т.д. (но результаты и MD5 не показывает, о них мы будем знать только вдвоем, чтобы владельцы сервисов ничего тоже не знали когда будет делатся тест, это нужно для того чтобы тесты были "демократичными"), и ждем неделю (чтобы уже на 100% быть уверенными). Мы знаем, что тестируемые файлы проверялись каждый для одного сервиса и никуда более не отправлялись! Далее проверяем эти билды все разом на virustotal.com и публикуем результаты теста, какой из тестируемых билдов спалится на virustotal.com значит, тот сервис и сливает аверам...
Но опять же, это не будет означать, что слив был специально... если почитать что пишет на wasm.ru многим известный авер Dr.Golova
[Ссылки могут видеть только зарегистрированные пользователи.]

Цитата:

> всегда удивляли темы, вида "виртест/чекми/скан4ю не сливают семплы!!!". Откуда вы знаете? Вы там были, видели логи сервера?
Особенно учитывая что если у них подключены облака, то семплы они сливают независимо от своего хотения =)
А если не подключены, то это не релевантные чекеры - у юзера все может детектиться бо облака это уже не просто md5 - туда льется и поведение и метаданные.

Еще можно будет (если вдруг какой-то из сервисов сливает) повторную проверку сделать, чтобы точно быть уверенными...
Так как возможны мелкие непредвиденные нюансы во время тестов, со своей же стороны что от меня потребуется в плане чисток криптора, насколько позволяет мне мой опыт, постараюсь все сделать...
Криптор мой, поэтому никто не предъявит, на счет того, что насколько целесообразным был слив на virustotal.com, более того я даже за такой тест так как подобные тесты дают большой опыт и могут помочь еще и улучшить криптор...
[Ссылки могут видеть только зарегистрированные пользователи.]

POCT, если заинтересовал такой тест, стукни в ПМ.
Если все получится, предлагаю чтобы не получилось как в прошлый раз:

Цитата:

В общем-то тема уже была, но ... погибла =) Попытка №2.

Разместить данный тест также на [Ссылки могут видеть только зарегистрированные пользователи.] - ресурс стабильный.
Видел, что ты просил советов по улучшению форума, да и вижу у тебя статус админа уже имеется, - хотелось бы, чтобы ты не повторял ошибок "прошлого" админа и делал "бэкап форума" хотя бы раз в 3-4 дня (ну или неделю, в крайнем случае) для того чтобы в следующий раз не исчезли пару месяцев жизни форума...

[hdsckr]

Цитата:

Сообщение от Multik

хотелось бы, чтобы ты не повторял ошибок "прошлого" админа и делал "бэкап форума" хотя бы раз в 3-4 дня

Теперь форум бэкапится ежедневно автоматом.

[POCT]

Цитата:

Сообщение от Dark Koder

сильно большие различия в детекте. странно.

А я уже привык.

Обновил второй пост.

[Dark Koder]

пусть не звиздят-аверы выкачивают спокойно облаками инфу и все,что нужно,причем легально. Вот вам яркий пример тру-вайт-хека)
А вот по сканнерам...уточню пару нюансов касательно детекта:
детект может появиться,даже если вы не модифицировали ничего (у меня был случай-написал прогу и года полтора не использовал,но потом она палилась,так как ее какой-то умник скачал и модифицировал,попутно прогрузив... ну вы поняли...) и второй момент-раз детектит,не значит,что 100% стабильно работает.
Я уже насчитал как минимум 3 бага в 3-х антивирусах,при которых при детекте авер и службы вываливались,но благодаря драйверам защиты снова запускались.
(это я имею в виду Авиру,Нод6 и Каспера 13). При чем баги допотопно-примитивные. Не знаю,какого лешего,но работают до сих пор)))

[Googie]

Цитата:

Сообщение от Dark Koder

(это я имею в виду Авиру,Нод6 и Каспера 13). При чем баги допотопно-примитивные. Не знаю,какого лешего,но работают до сих пор)))

может статейку с разбором полетов накатаешь? :D

[Dark Koder]

Googie, там особо катать нечего,так как это банальные ошибки при проверке на лету.
Да и мне лень поднимать виртуалку,чтобы тестировать и вспоминать тот ресурс с форматом,от которого падал Нод и Авира...
Материала для статейки мало. В плане ресерча имею в виду (мои знания не столь обширны для детального реверса компонентов АВ и выяснения причины падения...)

[POCT]

Сегодня появился еще один подобный сервис maximscan.net. Он тоже будет добавлен. Тест идет полным ходом.

[POCT]

maximscan.net умер. Да и сырой еще проект. Успел сделать на нем 1 скан.

Можете почитать пока "Тест АВ-сканеров на слив /showthread.php?t=14891"

[zorsta]

Интересно девки пляшут:

1.

Цитата:

Название файла: test.exe
Размер файла: 1024 байт
Дата сканирования: Tue, 30 Jul 13 05:22:40 -0400
MD5-хэш файла: aeed8562df2b7c9dba767b1ef9387187

Результат: 3 из 37

Ad-Aware: OK
AhnLab V3 Internet Security: OK
ArcaVir: OK
Avast: Win32:Evo-gen Susp
AVG: OK
Avira: OK
Bitdefender/BullGuard: OK
BullGuard Internet Security 2013: OK
ClamAV (UNIX version): OK
Comodo: OK
Dr.Web: OK
Emsisoft Anti-Malware (a-squared Anti-Malware): OK
eScan Internet Security Suite 14: OK
F-Prot: OK
F-Secure: OK
G Data: OK
IKARUS: OK
Immunet/ClamAV: OK
K7 Ultimate: OK
Kaspersky Internet Security 2013: OK
McAfee: OK
Microsoft Security Essentials: OK
NANO: Virus.Win32.Gen-Crypt.ccnc
NOD32: OK
Norman: OK
Norton Internet Security: OK
Outpost Security Suite Pro 8.0: OK
Panda Antivirus: OK
Panda Cloud: OK
Quick Heal: Suspicious
Sophos: OK
SUPERAntiSpyware: OK
Total Defense Internet Security: OK
Trendmicro Titanium Internet Security: OK
Twister Antivirus 8: OK
VBA: OK
VIPRE Internet Security 2013: OK

Scan report generated by Scanner.FuckAV.ru

2. На VT QuickHeal и NANO лишь совпали, Аваст - чистоган.

3. На chk4me вообще всё нимбом блестит: _http://chk4me.com/check/public/_7UZH52wfy8Ca89_5c

Вопрос: авдетект чаще обновляется? Или там Аваст просто настроен "параноидальным" образом?

Насколько я понимаю, то chk4me вообще пофиг на обновления ав..