Тест № 1
Тест № 1
Для проведения первого теста были использованы случайным образом отобранные из коллекции (579 штук) четыре экземпляра вредоносного кода:
? TrojanDownloader.13547;
? Backdoor. Win32Optix.b;
? Trojan-Win32PSW.QQRob.16;
? Trojan-Win32PSW.QQShou.EH.
Каждый экземпляр был пропущен через PeStubOEP (программа предназначена для защиты EXE-файлов от определения их компилятора/упаковщика). Результаты проверки следующие ("+" – распознан; "-" – не распознан). Итак (результаты на рис. 5.3).
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+".
Рис. 5.3. TrojanDownloader.13547 был успешно найден
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.4).
Рис. 5.4. Backdoor.Win32Optix.b – «крепкие орешки» еще впереди!
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.5).
Рис. 5.5. Наш антивирус пока на высоте
Trojan-Win32PSW.QQShou.EH оказался крепким орешком, и Vba32 определил его, только после того как были установлены максимальные настройки:
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.6, 5.7).
ПРИМЕЧАНИЕ
Один из экземпляров вредоносного кода (Trojan-Win32PSW.QQShou.EH) Vba32 был определен как Trojan-Spy.Delf.13.
Как видите, некоторые из экземпляров вредоносного кода могут быть обнаружены только с максимальными настройками, и совсем не факт, что антивирус расскажет вам всю правду.
Рис. 5.6. Экспертный анализ – максимален!
Рис. 5.7. Похож на Spy-Delf…
Используем следующую партию экземпляров, случайно отобранных из коллекции:
? Trojan.Spambot;
? OS.cope.Worm.UK.Nuwar;
? Trojan-Proxy.WIN32.Lager.aq.
Два троянских коня и червь были запакованы Tibs. Проверяем:
? Nod32 2.7 "-";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.8).
Рис. 5.8. Результат проверки – Trojan.Spambot!
ПРИМЕЧАНИЕ
Как видите, здесь нас немного огорчил NOD32. Но не будем забывать, что даже качественно проработанный движок несовершенен.
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.9).
Рис. 5.9. Самый настоящий червь!
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.10).
Рис. 5.10. Прокси-троян у нас под колпаком
Продолжаем наши эксперименты. Теперь возьмем три различных вируса и наобум запакуем их тремя различными упаковщиками. Троянского коня упаковываем NsAnti. Результаты:
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.11).
Рис. 5.11. На ловца и зверь бежит!
Теперь Trojan-Spy.Win32.AimSpy запакуем SkD Undetectabler Pro 2 SkDPRO. Результаты:
? Nod32 2.7 "-";
? "Антивирус Касперского 6.0" "-";
? Vba32 "-".
ПРИМЕЧАНИЕ
Ну вот, собственно, и настал момент истины. Заметьте, что ни один из наших антивирусных продуктов не смог обнаружить запакованный SkD Undetectabler Pro 2 SkDPRO троянский конь – SkD Undetectabler Pro 2 SkDPRO!
Едем дальше. Trojan.Mezzia пакуем Zipworx SecureEXE. Результаты:
? Nod32 2.7 "+";
? "Антивирус Касперского 6.0" "+";
? Vba32 "+" (рис. 5.12).
Рис. 5.12.Vba не спит
Данный текст является ознакомительным фрагментом.