Тест № 1

Тест № 1

Для проведения первого теста были использованы случайным образом отобранные из коллекции (579 штук) четыре экземпляра вредоносного кода:

? TrojanDownloader.13547;

? Backdoor. Win32Optix.b;

? Trojan-Win32PSW.QQRob.16;

? Trojan-Win32PSW.QQShou.EH.

Каждый экземпляр был пропущен через PeStubOEP (программа предназначена для защиты EXE-файлов от определения их компилятора/упаковщика). Результаты проверки следующие ("+" – распознан; "-" – не распознан). Итак (результаты на рис. 5.3).

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+".

Рис. 5.3. TrojanDownloader.13547 был успешно найден

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.4).

Рис. 5.4. Backdoor.Win32Optix.b – «крепкие орешки» еще впереди!

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.5).

Рис. 5.5. Наш антивирус пока на высоте

Trojan-Win32PSW.QQShou.EH оказался крепким орешком, и Vba32 определил его, только после того как были установлены максимальные настройки:

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.6, 5.7).

ПРИМЕЧАНИЕ

Один из экземпляров вредоносного кода (Trojan-Win32PSW.QQShou.EH) Vba32 был определен как Trojan-Spy.Delf.13.

Как видите, некоторые из экземпляров вредоносного кода могут быть обнаружены только с максимальными настройками, и совсем не факт, что антивирус расскажет вам всю правду.

Рис. 5.6. Экспертный анализ – максимален!

Рис. 5.7. Похож на Spy-Delf…

Используем следующую партию экземпляров, случайно отобранных из коллекции:

? Trojan.Spambot;

? OS.cope.Worm.UK.Nuwar;

? Trojan-Proxy.WIN32.Lager.aq.

Два троянских коня и червь были запакованы Tibs. Проверяем:

? Nod32 2.7 "-";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.8).

Рис. 5.8. Результат проверки – Trojan.Spambot!

ПРИМЕЧАНИЕ

Как видите, здесь нас немного огорчил NOD32. Но не будем забывать, что даже качественно проработанный движок несовершенен.

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.9).

Рис. 5.9. Самый настоящий червь!

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.10).

Рис. 5.10. Прокси-троян у нас под колпаком

Продолжаем наши эксперименты. Теперь возьмем три различных вируса и наобум запакуем их тремя различными упаковщиками. Троянского коня упаковываем NsAnti. Результаты:

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.11).

Рис. 5.11. На ловца и зверь бежит!

Теперь Trojan-Spy.Win32.AimSpy запакуем SkD Undetectabler Pro 2 SkDPRO. Результаты:

? Nod32 2.7 "-";

? "Антивирус Касперского 6.0" "-";

? Vba32 "-".

ПРИМЕЧАНИЕ

Ну вот, собственно, и настал момент истины. Заметьте, что ни один из наших антивирусных продуктов не смог обнаружить запакованный SkD Undetectabler Pro 2 SkDPRO троянский конь – SkD Undetectabler Pro 2 SkDPRO!

Едем дальше. Trojan.Mezzia пакуем Zipworx SecureEXE. Результаты:

? Nod32 2.7 "+";

? "Антивирус Касперского 6.0" "+";

? Vba32 "+" (рис. 5.12).

Рис. 5.12.Vba не спит

Данный текст является ознакомительным фрагментом.