Test di alcuni antivirus "sul campo"

[Vigian]

Mi hanno passato un file infetto tramite MSN
il nome del file era "photo_album4.zip" 116kb

il virus contenuto all'interno è il "Backdoor.Win32.IRCBot.acu"

Bene.. ho provato alcuni antivirus e i risultati sono:

Avast: non lo rileva
AVG: non lo rileva
Nod32: lo rileva tramite l'euristica ma non lo identifica (Cmq lo blocca quindi risultato accettabile)
Active Virus Shield: Lo rileva perfettamente
Norton: Eh??! Che è successo?!?!? Virus?? Dove!!!????....

quindi... continuo a tener su AVS!!!

[Tidus Strife]

Puoi upparlo su VirusTotal cosi hai i risultati di tutti gli antivirus, subito. Anche perchè sono curioso di sapere se AntiVir e altri AV lo riconoscono...

E' per caso quello nuovo che crea il file VMSnap1.exe?

[Vigian]

Quote:

Originariamente inviato da Tidus Strife

Puoi upparlo su VirusTotal cosi hai i risultati di tutti gli antivirus, subito. Anche perchè sono curioso di sapere se AntiVir e altri AV lo riconoscono...

E' per caso quello nuovo che crea il file VMSnap1.exe?

VMSnap1.exe non mi risulta

[c.m.g]

Quote:

Originariamente inviato da Vigian

Mi hanno passato un file infetto tramite MSN
il nome del file era "photo_album4.zip" 116kb

il virus contenuto all'interno è il "Backdoor.Win32.IRCBot.acu"

Bene.. ho provato alcuni antivirus e i risultati sono:

Avast: non lo rileva
AVG: non lo rileva
Nod32: lo rileva tramite l'euristica ma non lo identifica (Cmq lo blocca quindi risultato accettabile)
Active Virus Shield: Lo rileva perfettamente
Norton: Eh??! Che è successo?!?!? Virus?? Dove!!!????....

quindi... continuo a tener su AVS!!!

[lucas84]

Quote:

Originariamente inviato da Tidus Strife

Puoi upparlo su VirusTotal cosi hai i risultati di tutti gli antivirus, subito. Anche perchè sono curioso di sapere se AntiVir e altri AV lo riconoscono...

AntiVir Worm/IRCBot.117760
CAT-QuickHeal (Suspicious) - DNAScan
eSafe Suspicious Trojan/Worm
eTrust Win32/Checkout.G
Fortinet W32/IRCBot.ACU!tr.bdr
F-Secure Backdoor.Win32.IRCBot.acu
Ikarus Backdoor.Win32.IRCBot.acu
Kaspersky Backdoor.Win32.IRCBot.acu
NOD32v2 probably unknown NewHeur_PE virus
Panda Suspicious file
TheHacker Backdoor/IRCBot.acu
Webwasher-Gateway Win32.Malware.gen (suspicious)

[Blue Spirit]

interessante...quindi quello che si evince è che i "toppatori" sono sempre i soliti

[lucas84]

Quote:

Originariamente inviato da Blue Spirit

interessante...quindi quello che si evince è che i "toppatori" sono sempre i soliti

toppatori, su i nuovi malwares molti sono toppatori ecco perchè molti aggiungono vari moduli per la difesa proattiva, behaviour blocker o analisi euristica/comportamentale

Ciao

[Blue Spirit]

Quote:

Originariamente inviato da lucas84

toppatori, su i nuovi malwares molti sono toppatori ecco perchè molti aggiungono vari moduli per la difesa proattiva, behaviour blocker o analisi euristica/comportamentale

Ciao

bhe insomma...mi sembra che gli unici che non hanno trovato assolutamente niente siano solo 3...tutti e tre tristemente noti per le loro performance altalenanti...o sbaglio?!

[lucas84]

Quote:

Originariamente inviato da Blue Spirit

bhe insomma...mi sembra che gli unici che non hanno trovato assolutamente niente siano solo 3...tutti e tre tristemente noti per le loro performance altalenanti...o sbaglio?!

Si, ma molto dipende dal tempo che l'azienda impiega ad aggiungere il sample sempre che sia arrivato ai vari labs

[Blue Spirit]

d'accordo, però il fatto che in questo preciso momento solo (guarda caso) quei 3 ben noti siano in difetto è un punto a loro sfavore.

[lucas84]

Quote:

Originariamente inviato da Blue Spirit

d'accordo, però il fatto che in questo preciso momento solo (guarda caso) quei 3 ben noti siano in difetto è un punto a loro sfavore.

kaspersky, f-secure e antivir sono tra i + veloci ad aggiungere il sample, poi se il malware è particolarmente diffuso ha priorità rispetto al altri che non sono particolarmente diffusi, ciao

[Vigian]

Quote:

Originariamente inviato da lucas84

toppatori, su i nuovi malwares molti sono toppatori ecco perchè molti aggiungono vari moduli per la difesa proattiva, behaviour blocker o analisi euristica/comportamentale

Ciao

AVS lo ha beccato subito e non ha la difesa proattiva :P

[lucas84]

Quote:

Originariamente inviato da Vigian

AVS lo ha beccato subito e non ha la difesa proattiva :P

si ho capito il motivo è ben presto spiegato, kaspersky ci mette pochissimo ad aggiungere un malware particolarmente attivo, avvolte pochi minuti dall'invio

Ciao

[wizard1993]

Quote:

Originariamente inviato da lucas84

si ho capito il motivo è ben presto spiegato, kaspersky ci mette pochissimo ad aggiungere un malware particolarmente attivo, avvolte pochi minuti dall'invio

Ciao

esatto

[Vigian]

Quote:

Originariamente inviato da lucas84

si ho capito il motivo è ben presto spiegato, kaspersky ci mette pochissimo ad aggiungere un malware particolarmente attivo, avvolte pochi minuti dall'invio

Ciao

Beh questo può essere un parametro di valutazione fondamentale al fine di individuare il prodotto "migliore", almeno in questa tipologia di software! non pensi?

[Vigian]

Ti dirò di più...

Personalmente (e non quello schifo di IMHO che usate, che fastidio!) credo che un rapido sistema di aggiornamento delle firme virali potrebbe rendere anche parzialmente inutile un eventuale euristica.
Questo, ovviamente, secondo la mia modesta opinione!!

[Draven94]

Quote:

Originariamente inviato da Vigian

Ti dirò di più...

Personalmente (e non quello schifo di IMHO che usate, che fastidio!) credo che un rapido sistema di aggiornamento delle firme virali potrebbe rendere anche parzialmente inutile un eventuale euristica.
Questo, ovviamente, secondo la mia modesta opinione!!

Dipende appunto dalla "rapidità" dell'aggiornamento: personalmente invece penso che il modulo euristico è a dir poco fondamentale perchè per quanto possa essere rapido l'aggiornamento resta sempre quel "margine" di rischio in cui tutto è possibile...

[lucas84]

Quote:

Originariamente inviato da Vigian

Beh questo può essere un parametro di valutazione fondamentale al fine di individuare il prodotto "migliore", almeno in questa tipologia di software! non pensi?

Certo è uno dei tanti parametri da prendere in considerazione

Quote:

Originariamente inviato da Vigian

Ti dirò di più...
Personalmente (e non quello schifo di IMHO che usate, che fastidio!) credo che un rapido sistema di aggiornamento delle firme virali potrebbe rendere anche parzialmente inutile un eventuale euristica.
Questo, ovviamente, secondo la mia modesta opinione!!

Non penso, mettiamo caso che l'antivirus A riconosce il malware con l'euristica, l'azienda A non perde tempo ad aggiungere quel sample lo farà in un secondo momento e si dedicherà a quelli non riconosciuti per via euristica, kaspersky, non fa così(almeno da quello che so ed ho visto) li aggiunge sempre e comunque subito dopo l'invio da parte dell'utente anche se bloccati dal pdm o riconosciuto dall'emulatore, ogni azienda ha il suo modo di agire.

Ciao

[federica_88]

Quote:

Originariamente inviato da Tidus Strife

Puoi upparlo su VirusTotal cosi hai i risultati di tutti gli antivirus, subito. Anche perchè sono curioso di sapere se AntiVir e altri AV lo riconoscono...

E' per caso quello nuovo che crea il file VMSnap1.exe?

Salve,mi sono appena registrata al forum xk ho qlc problema al pc..premetto che sono dle tutto digiuna di computer,x cui nn so smanettare piu di tanto.
aprendo il programma Windows Defender, nella scheda Software Explorer ho letto tutta la lista dei programmi in start up e ce n'era uno che nn conoscevo :"VIMICRO", il display name era "BIGDOG" e il file name è "VMSnap1.exe; ho cercato on line e sn capitata in qst forum...per favore potreste spiegarmi se è un virus o cosa? ho fatto la scansione con Avast (aggiornato ad oggi) e cn Ad-Aware ma nn ha trovato nulla...cosa devo fare??

per favore aiutatemi... non so dv sbattere la testa!!!

[xcdegasp]

Quote:

Originariamente inviato da federica_88

Salve,mi sono appena registrata al forum xk ho qlc problema al pc..premetto che sono dle tutto digiuna di computer,x cui nn so smanettare piu di tanto.
aprendo il programma Windows Defender, nella scheda Software Explorer ho letto tutta la lista dei programmi in start up e ce n'era uno che nn conoscevo :"VIMICRO", il display name era "BIGDOG" e il file name è "VMSnap1.exe; ho cercato on line e sn capitata in qst forum...per favore potreste spiegarmi se è un virus o cosa? ho fatto la scansione con Avast (aggiornato ad oggi) e cn Ad-Aware ma nn ha trovato nulla...cosa devo fare??

per favore aiutatemi... non so dv sbattere la testa!!!

vai nell'area "Aiuto sono infetto! Cosa faccio?" e apri una nuova discussione e scrivi anche i risultati di queste operazioni che ti chiedo fin da subito di fare:

1) scarica ed esegui ESET ADS REVEALER: http://www.nod32.it/getfile.php?tool=adsr

2) scarica ed esegui scansione "deep" con ASQUARED FREE: http://download5.emsisoft.com/a2FreeSetup.exe

3) scarica ed esegui PANDA ANTIROOTKIT: http://research.pandasoftware.com/bl...ntiRootkit.zip

4) scarica e produci il log con HIJACKTHIS v.2.0.2: http://www.trendsecure.com/portal/en...HiJackThis.zip

e incolla interamente il log prodotto con HiJackThis


ti aspetto in quella sezione, qui il tuo mes è off-topic