Сегодня мне удалось документально зафиксировать отпраку файла, загруженного на virustotal на анализ, третьим лицам. Но, как говориться, обо всем по порядку. Как известно, в соответствующих кругах давно ведутся споры о том отправляются ли проверяемые на virustotal файлы, антивирусным компаниям. Мне ни разу не приходилось видеть какие-либо существенные аргументы или доказательства в поддержку той или иной версии. Все было на словах. Сегодня, работая в обычном режиме, я экспериментировал над новой компиляцией ксинча. Ну, и традиционно я проверял полученные билды на virustotal. Я отослал файл (при этом отключил distribute), получил результат. Потом зашел на почтовый яшик, на который должны приходить отчеты. Все было, как обычно. Далее, пока я криптовал билд, в этом почтовом ящике появился отчет. Хм... Думаю я. Откуда там взяться отчету. Ксинч я пока никому не отправлял. Да, и Ip странный. Как потом оказалось - испанский. И я решил, что может быть кто-то где-то подхватил давно оставленный мной билд и открыл сейчас. Ладно... Я зарегал, новый аккаунт на хостинге (для нового билда) и опять проделал такую же обычную проверку на virustotal. И что вы думаете? Мне опять пришел отчет! Опять с испанского Ip. И самое главное, в subject стоял адрес нового gate. И тут, до меня доходит. После этого я сделал "контрольный тест". Результат - что и следовало ожидать. Конечно, я сразу поспешил посмотреть отчеты. Они были маленькме. Но программы, установленные на компьютере с которого пришли отчеты, говорили сами сам себя: Revisiуn de Windows XP - KB823559 (Версия: 20030701.220558) Revisiуn de Windows XP - KB828741 (Версия: 20040305.181012) Revisiуn de Windows XP - KB834707 (Версия: 20040929.115007) Revisiуn de Windows XP - KB835732 (Версия: 20040329.172825) Revisiуn de Windows XP - KB842773 (Версия: 20040805.140010) Windows XP Hotfix (SP1) [See Q329048 for more information] Paquete de revisiуn de Windows XP [Consulte Q329115 para obtener mбs informaciуn ] Windows XP Hotfix (SP1) Q329170 (Версия: 20030102.115458) Windows XP Hotfix (SP1) [See Q329390 for more information] Windows XP Hotfix (SP1) [See Q329441 for more information] Windows XP Hotfix (SP1) [See Q329834 for more information] Windows XP Hotfix (SP1) Q810577 (Версия: 20021118.133626) Windows XP Hotfix (SP1) Q810833 (Версия: 20021203.200852) Windows XP Hotfix (SP1) Q815021 (Версия: 20030502.110549) Windows XP Hotfix (SP1) Q817606 (Версия: 20030331.103325) TrojanResearcher v1.1 Windows Genuine Advantage Validation Tool (KB892130) (Версия: 1.5.0530.0) WebFldrs XP (Версия: 9.50.5318) VMware Tools (Версия: 3.1.0000) А вот процессы: \??\C:\WINDOWS\system32\csrss.exe \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\VMware\VMware Tools\VMwareService.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe C:\WINDOWS\System32\wuauclt.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Archivos de programa\TrojanResearcher\TrojanResearcher.exe C:\Archivos de programa\TrojanResearcher\tr_engine.exe z:\cebos\6e9de6c1513fa512cd7e4a68e3d2f113.exe Далее, я внимательно посмотрел почтовый ящик и среди набежавшего спама, обнаружил письмо, которое пришло примерно в 2 часа ночи. И действительно,я вспомнил, что примерно в это же время проверял криптованный ксинч на virustotal. Заметьте, что за этот промежуток времени, данный билд открыть никто не мог, билд я никому не давал. Но на этот раз это был другой тестер. Во список установленных у него программ: 4NT Unicode 6.0 (Версия: 6.0) AIM Toolbar AOL Instant Messenger AppServ v2.5.4a Compuware SoftICE Driver Suite 3.1 (Версия: 3.1) eMusic - 50 Free MP3 offer Ethereal 0.10.9 (Версия: 0.10.9) ICQ IDA Pro Advanced v4.7 InstallRite 2.5 IrfanView mIRC PE Explorer 1.96 (Версия: 1.96) QQ2004 ХэКЅ°жSP1 (Версия: ХэКЅ°жSP1) SiS VGA Utilities Trillian Viewpoint Media Player Vision Winamp WinHex WinPcap 3.0 WinRAR archiver WinZip (Версия: 9.0 SR-1 (6224)) Yahoo! Messenger WebFldrs XP (Версия: 9.50.5318) Java 2 SDK, SE v1.4.2_06 (Версия: 1.4.2_06) UltraEdit-32 (Версия: 10.20c) Microsoft .NET Framework SDK (English) (Версия: 1.0.3705) ActivePerl 5.8.0 Build 806 (Версия: 5.8.806) Java 2 Runtime Environment, SE v1.4.2_06 (Версия: 1.4.2_06) Trend Micro PC-cillin Internet Security 2005 (Версия: 12.0) Intel(R) Extreme Graphics 2 Driver DJ Java Decompiler v.3.7.7.81 (Версия: 1.7) Microsoft Office XP Professional with FrontPage (Версия: 10.0.2627.01) RTLSetup VMware Workstation (Версия: 4.5.2.8848) Lotus Notes 6.5.1 (Версия: 6.501.421) MSN Messenger 7.0 (Версия: 7.0.0777) Adobe Reader 7.0 (Версия: 7.0.0) Compuware SoftICE Driver Suite (Версия: 3.1) API Monitor 1.5 (Версия: 1.5.0) Realtek AC'97 Audio Процессы: \??\C:\WINDOWS\system32\csrss.exe \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\Trend Micro\Internet Security 2005\pccguide.exe C:\WINDOWS\System32\keyhook.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Ethereal\ethereal.exe C:\Program Files\Epsilon Squared\InstallRite\InstallRite.exe C:\_AV Tools\SysInternals\Process Explorer\procexpnt\procexp.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\sistray.exe C:\Program Files\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\VMware\VMware Workstation\vmware.exe C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe C:\_AV Tools\Dumpfx\DumpFX.exe C:\Documents and Settings\WinXP1\Desktop\Screen.exe Комментарий: последний процесс C:\Documents and Settings\WinXP1\Desktop\Screen.exe, как раз и является моим билдом. Выводы: 1) Безусловно, из данного случая не следует, что все 100% файлов проходят ручной анализ. Хотя, возможно мне попались два не слишком аккуратных тестра, которые допустили такой прокол и на самом деле таких людей там много и обрабатывается подавляющее количество материала. Вполне вероятно, что кнопка distribute служит как раз красным флажком для таких людей. По принципу - раз ты ее нажал, значит тебе есть чего скрывать и надо обязательно этот файл проверить. 2) При таком раскладе, целесообразно использовать этот сервис только для собственной защиты, т. е. для проверки подозрительных файлов перед запуском на своей машине. А для нападения лучше использовать личные автономные системы детектирования вирусов, особенно тем кто занимается созданием крипторов и т. д. Далее прикрепляю страницу с результатами контрольного тестирования на virustotal и пришедшие мне отчеты. Для просмотра отчета необходим парсер для ксинча. -Результат -1 отчет (испанский Ip) -2 отчет
хм..сталкивался с такой фигнёй, только отправляя трой по почте...испанский ip, computer name "usuario[XP2]"..всё та же WM и TrojanResearcher v1.0, а что ты думал соответсвующие службы ни не дремлют.
Про вирустотал всем давно известно, что туда ничего такого слать не надо, но за доказательства респект и уважуха...
А еще там галочку можно выставить чтобы не слались проверяемые файлы,для чистоты эксперемента ты это сделал?
хмм вот незнаю че и думать все продавцы крипторов кричат чтоб не грузили на вирус тотал ибо криптор спалиться через 2 дня . Я закриптовал pinch где то года 2 назат ручками и очень часто проверяю на вирс тотале не спалился ли он ну рас 100 точно уже проверил хмм и странно до сих пор не палиться
Народ, вам не кажетсо странным то, что название файла осталось тем же? На вирустотдл я думаю в день по касарю файйлов с названием Screen.exe засылают.....
Редко отправляется, обычно проходят через людей если намеренно отправлен в virlab для анализа. Делать им не*** ) сидеть пинчи проверять =)
