Внимание! Virustotal опасен!

Discussion in 'Безопасность и Анонимность' started by Herevef, 29 Jan 2007.

Thread Status:
Not open for further replies.
  1. Herevef

    Herevef Member

    Joined:
    28 Nov 2006
    Messages:
    11
    Likes Received:
    13
    Reputations:
    5
    Сегодня мне удалось документально зафиксировать отпраку файла, загруженного на virustotal на анализ, третьим лицам.

    Но, как говориться, обо всем по порядку.

    Как известно, в соответствующих кругах давно ведутся споры о том отправляются ли проверяемые на virustotal файлы, антивирусным компаниям.
    Мне ни разу не приходилось видеть какие-либо существенные аргументы или доказательства в поддержку той или иной версии. Все было на словах.

    Сегодня, работая в обычном режиме, я экспериментировал над новой компиляцией
    ксинча. Ну, и традиционно я проверял полученные билды на virustotal. Я отослал файл (при этом отключил distribute), получил результат. Потом зашел
    на почтовый яшик, на который должны приходить отчеты. Все было, как обычно. Далее, пока я криптовал билд, в этом почтовом ящике появился отчет. Хм... Думаю я. Откуда там взяться отчету. Ксинч я пока никому не отправлял. Да, и Ip
    странный. Как потом оказалось - испанский. И я решил, что может быть кто-то где-то подхватил давно оставленный мной билд и открыл сейчас. Ладно... Я зарегал, новый аккаунт на хостинге (для нового билда) и опять проделал такую же обычную проверку на virustotal. И что вы думаете? Мне опять пришел отчет! Опять с испанского Ip. И самое главное, в subject стоял адрес нового gate. И тут, до меня доходит.

    После этого я сделал "контрольный тест". Результат - что и следовало ожидать.

    Конечно, я сразу поспешил посмотреть отчеты. Они были маленькме. Но программы, установленные
    на компьютере с которого пришли отчеты, говорили сами сам себя:

    Revisiуn de Windows XP - KB823559 (Версия: 20030701.220558)
    Revisiуn de Windows XP - KB828741 (Версия: 20040305.181012)
    Revisiуn de Windows XP - KB834707 (Версия: 20040929.115007)
    Revisiуn de Windows XP - KB835732 (Версия: 20040329.172825)
    Revisiуn de Windows XP - KB842773 (Версия: 20040805.140010)
    Windows XP Hotfix (SP1) [See Q329048 for more information]
    Paquete de revisiуn de Windows XP [Consulte Q329115 para obtener mбs informaciуn ]
    Windows XP Hotfix (SP1) Q329170 (Версия: 20030102.115458)
    Windows XP Hotfix (SP1) [See Q329390 for more information]
    Windows XP Hotfix (SP1) [See Q329441 for more information]
    Windows XP Hotfix (SP1) [See Q329834 for more information]
    Windows XP Hotfix (SP1) Q810577 (Версия: 20021118.133626)
    Windows XP Hotfix (SP1) Q810833 (Версия: 20021203.200852)
    Windows XP Hotfix (SP1) Q815021 (Версия: 20030502.110549)
    Windows XP Hotfix (SP1) Q817606 (Версия: 20030331.103325)
    TrojanResearcher v1.1
    Windows Genuine Advantage Validation Tool (KB892130) (Версия: 1.5.0530.0)
    WebFldrs XP (Версия: 9.50.5318)
    VMware Tools (Версия: 3.1.0000)

    А вот процессы:

    \??\C:\WINDOWS\system32\csrss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Archivos de programa\VMware\VMware Tools\VMwareService.exe
    C:\WINDOWS\Explorer.EXE
    C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe
    C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Archivos de programa\Internet Explorer\iexplore.exe
    C:\Archivos de programa\TrojanResearcher\TrojanResearcher.exe
    C:\Archivos de programa\TrojanResearcher\tr_engine.exe
    z:\cebos\6e9de6c1513fa512cd7e4a68e3d2f113.exe

    Далее, я внимательно посмотрел почтовый ящик и среди набежавшего спама, обнаружил письмо, которое пришло примерно в 2 часа ночи. И действительно,я вспомнил, что примерно в это же время проверял криптованный ксинч на virustotal.
    Заметьте, что за этот промежуток времени, данный билд открыть никто не мог,
    билд я никому не давал.

    Но на этот раз это был другой тестер. Во список установленных у него программ:

    4NT Unicode 6.0 (Версия: 6.0)
    AIM Toolbar
    AOL Instant Messenger
    AppServ v2.5.4a
    Compuware SoftICE Driver Suite 3.1 (Версия: 3.1)
    eMusic - 50 Free MP3 offer
    Ethereal 0.10.9 (Версия: 0.10.9)
    ICQ
    IDA Pro Advanced v4.7
    InstallRite 2.5
    IrfanView
    mIRC
    PE Explorer 1.96 (Версия: 1.96)
    QQ2004 ХэКЅ°жSP1 (Версия: ХэКЅ°жSP1)
    SiS VGA Utilities
    Trillian
    Viewpoint Media Player
    Vision
    Winamp
    WinHex
    WinPcap 3.0
    WinRAR archiver
    WinZip (Версия: 9.0 SR-1 (6224))
    Yahoo! Messenger
    WebFldrs XP (Версия: 9.50.5318)
    Java 2 SDK, SE v1.4.2_06 (Версия: 1.4.2_06)
    UltraEdit-32 (Версия: 10.20c)
    Microsoft .NET Framework SDK (English) (Версия: 1.0.3705)
    ActivePerl 5.8.0 Build 806 (Версия: 5.8.806)
    Java 2 Runtime Environment, SE v1.4.2_06 (Версия: 1.4.2_06)
    Trend Micro PC-cillin Internet Security 2005 (Версия: 12.0)
    Intel(R) Extreme Graphics 2 Driver
    DJ Java Decompiler v.3.7.7.81 (Версия: 1.7)
    Microsoft Office XP Professional with FrontPage (Версия: 10.0.2627.01)
    RTLSetup
    VMware Workstation (Версия: 4.5.2.8848)
    Lotus Notes 6.5.1 (Версия: 6.501.421)
    MSN Messenger 7.0 (Версия: 7.0.0777)
    Adobe Reader 7.0 (Версия: 7.0.0)
    Compuware SoftICE Driver Suite (Версия: 3.1)
    API Monitor 1.5 (Версия: 1.5.0)
    Realtek AC'97 Audio

    Процессы:

    \??\C:\WINDOWS\system32\csrss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
    C:\Program Files\Trend Micro\Internet Security 2005\pccguide.exe
    C:\WINDOWS\System32\keyhook.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Ethereal\ethereal.exe
    C:\Program Files\Epsilon Squared\InstallRite\InstallRite.exe
    C:\_AV Tools\SysInternals\Process Explorer\procexpnt\procexp.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\sistray.exe
    C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
    C:\WINDOWS\System32\vmnat.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
    C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\VMware\VMware Workstation\vmware.exe
    C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe
    C:\_AV Tools\Dumpfx\DumpFX.exe
    C:\Documents and Settings\WinXP1\Desktop\Screen.exe

    Комментарий: последний процесс C:\Documents and Settings\WinXP1\Desktop\Screen.exe,
    как раз и является моим билдом.

    Выводы:

    1) Безусловно, из данного случая не следует, что все 100% файлов проходят ручной анализ. Хотя, возможно мне попались два не слишком аккуратных тестра, которые допустили такой прокол и на самом деле таких людей там много и обрабатывается подавляющее количество материала.
    Вполне вероятно, что кнопка distribute служит как раз красным флажком для таких людей.
    По принципу - раз ты ее нажал, значит тебе есть чего скрывать и надо обязательно этот
    файл проверить.

    2) При таком раскладе, целесообразно использовать этот сервис только для собственной защиты, т. е.
    для проверки подозрительных файлов перед запуском на своей машине. А для нападения лучше использовать личные автономные системы детектирования вирусов, особенно тем кто занимается созданием крипторов и т. д.

    Далее прикрепляю страницу с результатами контрольного тестирования на virustotal и пришедшие мне отчеты.
    Для просмотра отчета необходим парсер для ксинча.

    -Результат

    -1 отчет (испанский Ip)

    -2 отчет
     
    8 people like this.
  2. злюка

    злюка Elder - Старейшина

    Joined:
    11 Nov 2005
    Messages:
    342
    Likes Received:
    132
    Reputations:
    69
    хм..сталкивался с такой фигнёй, только отправляя трой по почте...испанский ip, computer name "usuario[XP2]"..всё та же WM и TrojanResearcher v1.0, а что ты думал соответсвующие службы ни не дремлют.
     
  3. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    784
    Likes Received:
    351
    Reputations:
    353
    Про вирустотал всем давно известно, что туда ничего такого слать не надо, но за доказательства респект и уважуха... ;)
     
  4. gemaglabin

    gemaglabin Green member

    Joined:
    1 Aug 2006
    Messages:
    788
    Likes Received:
    842
    Reputations:
    1,369
    А еще там галочку можно выставить чтобы не слались проверяемые файлы,для чистоты эксперемента ты это сделал?
     
  5. злюка

    злюка Elder - Старейшина

    Joined:
    11 Nov 2005
    Messages:
    342
    Likes Received:
    132
    Reputations:
    69
    походу всё так и сделал
     
  6. tolstik

    tolstik Elder - Старейшина

    Joined:
    11 Jan 2007
    Messages:
    62
    Likes Received:
    13
    Reputations:
    2
    хмм вот незнаю че и думать все продавцы крипторов кричат чтоб не грузили на вирус тотал ибо криптор спалиться через 2 дня . Я закриптовал pinch где то года 2 назат ручками и очень часто проверяю на вирс тотале не спалился ли он ну рас 100 точно уже проверил хмм и странно до сих пор не палиться
     
  7. Tard

    Tard New Member

    Joined:
    14 Jul 2007
    Messages:
    1
    Likes Received:
    1
    Reputations:
    0
    Народ, вам не кажетсо странным то, что название файла осталось тем же? На вирустотдл я думаю в день по касарю файйлов с названием Screen.exe засылают..... :confused: :confused:
     
    1 person likes this.
  8. Жек

    Жек Member

    Joined:
    6 Jul 2007
    Messages:
    21
    Likes Received:
    6
    Reputations:
    0
    Галочка и есть подвох
     
  9. _SploiT_

    _SploiT_ Elder - Старейшина

    Joined:
    9 May 2007
    Messages:
    102
    Likes Received:
    16
    Reputations:
    1
    А тут ты прав, они специально так делают =\
     
  10. vjlas

    vjlas New Member

    Joined:
    29 Jun 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    думал с тоталом только такая хрень, залил тут на жотти
    через полчаса пришел отчет....
    ссылка
     
  11. Zedo83

    Zedo83 Elder - Старейшина

    Joined:
    14 Jul 2007
    Messages:
    87
    Likes Received:
    13
    Reputations:
    -1
    ну хз, как прятал, ставил чтобы не отправляли, так и спустя 2 месяца никто не палит кроме икаруса
     
  12. Piflit

    Piflit Banned

    Joined:
    11 Aug 2006
    Messages:
    1,300
    Likes Received:
    585
    Reputations:
    31
    круто. и никакие плоенды зиродейные не нужны. закинул понч на вирустотал - получил пачку отчетов.
     
  13. NaX[no]rT

    NaX[no]rT Members of Antichat

    Joined:
    3 Sep 2005
    Messages:
    510
    Likes Received:
    201
    Reputations:
    202
    Редко отправляется, обычно проходят через людей если намеренно отправлен в virlab для анализа. Делать им не*** ) сидеть пинчи проверять =)
     
    _________________________
Loading...
Thread Status:
Not open for further replies.