Vous pouvez télécharger ici:
http://www.antivir.de/download/download.htm
(au bas de la page) une version beta et ligne de commande d'AntiVir avec
détection heuristique.
Elle s'appelle "AntiVir LEXA (heuristical spectral analyser)".
Attention, ça fonctionne uniquement sous NT/2000/XP.
Tapez
avnt chemin -v -s -allfiles -heuristics
J'ai été très surpris par ses performances, notamment dans les cas suivants:
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une version du 18 septembre avec les définitions du 21 janvier.
Michael St. Neitzel, principal concepteur de ce scanner heuristique, a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et j'espere que vous serez d'accord avec moi, que cela ne poserait sans doute pas de problemes si je traduisais en francais l'ensemble de ses contributions (apres qu'il ait poste' celles-ci) et - si necessaire - l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas droit a un des legendaires troll de fcsv !).
J'espere que vous voudrez bien excuser cette legere entorse aux regles de la hierarchie fr.*.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur Complaints-To:
Frederic Bonroy wrote:
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une
version du 18 septembre avec les définitions du 21 janvier.
Michael St. Neitzel, principal concepteur de ce scanner heuristique,
a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce
newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et
j'espere que vous serez d'accord avec moi, que cela ne poserait sans
doute pas de problemes si je traduisais en francais l'ensemble de ses
contributions (apres qu'il ait poste' celles-ci) et - si necessaire -
l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas
droit a un des legendaires troll de fcsv !).
J'espere que vous voudrez bien excuser cette legere entorse aux regles
de la hierarchie fr.*.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur
Complaints-To: abuse@webatou.net
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une version du 18 septembre avec les définitions du 21 janvier.
Michael St. Neitzel, principal concepteur de ce scanner heuristique, a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et j'espere que vous serez d'accord avec moi, que cela ne poserait sans doute pas de problemes si je traduisais en francais l'ensemble de ses contributions (apres qu'il ait poste' celles-ci) et - si necessaire - l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas droit a un des legendaires troll de fcsv !).
J'espere que vous voudrez bien excuser cette legere entorse aux regles de la hierarchie fr.*.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur Complaints-To:
AMcD®
T'inquiète. Si tu veux je me charge des traductions.
On Mon, 09 Feb 2004 13:17:47 +0000, Tweakie wrote:
J'espere que vous voudrez bien excuser cette legere entorse aux regles de la hierarchie fr.*
Mon post sur fuad est tout prêt à être envoyer ! Non, j'déconne ...
Nicob
michael
(Tweakie) wrote in message news:<c0819r$13qq70$...
... a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et j'espere que vous serez d'accord avec moi, que cela ne poserait sans doute pas de problemes si je traduisais en francais l'ensemble de ses contributions (apres qu'il ait poste' celles-ci) et - si necessaire - l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas droit a un des legendaires troll de fcsv !). ... Tweakie
sur la réflexion je puis également écrire dans les frances ;-) L'heuristique marquera même beaucoup meilleur avec le nouveau déballent le moteur d'AntiVir. Combiné avec un tel moteur de déballage il devrait avoir au moins 30 pour cent mieux au-dessus de toute la détection particulièrement avec des trojans et des backdoors.
Voici une vue d'ensemble courte des types heuristiques génériques de détection jusqu'ici:
(Plugins) * Beastdoor-based Backdoors * Magic PS Created Trojans * SDBot based Backdoors * IRCBot based Trojans * CIA based Backdoors
Sentez-vous libre pour me demander si vous voulez savoir plus
Respect, Michael
NO_eikaewt_SPAM@hotmail.com (Tweakie) wrote in message news:<c0819r$13qq70$1@ID-187920.news.uni-berlin.de>...
...
a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce
newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et
j'espere que vous serez d'accord avec moi, que cela ne poserait sans
doute pas de problemes si je traduisais en francais l'ensemble de ses
contributions (apres qu'il ait poste' celles-ci) et - si necessaire -
l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas
droit a un des legendaires troll de fcsv !).
...
Tweakie
sur la réflexion je puis également écrire dans les frances ;-)
L'heuristique marquera même beaucoup meilleur avec le nouveau
déballent le moteur d'AntiVir.
Combiné avec un tel moteur de déballage il devrait avoir au moins 30
pour cent mieux au-dessus de toute la détection particulièrement avec
des trojans et des backdoors.
Voici une vue d'ensemble courte des types heuristiques génériques de
détection jusqu'ici:
(Tweakie) wrote in message news:<c0819r$13qq70$...
... a eu l'amabilite' de me demander s'il pouvait poster en anglais sur ce newsgroup, bien que celui-ci soit francophone. Je lui ai repondu, et j'espere que vous serez d'accord avec moi, que cela ne poserait sans doute pas de problemes si je traduisais en francais l'ensemble de ses contributions (apres qu'il ait poste' celles-ci) et - si necessaire - l'ensemble des reponses qui lui seront faites (pourvu qu'on n'aie pas droit a un des legendaires troll de fcsv !). ... Tweakie
sur la réflexion je puis également écrire dans les frances ;-) L'heuristique marquera même beaucoup meilleur avec le nouveau déballent le moteur d'AntiVir. Combiné avec un tel moteur de déballage il devrait avoir au moins 30 pour cent mieux au-dessus de toute la détection particulièrement avec des trojans et des backdoors.
Voici une vue d'ensemble courte des types heuristiques génériques de détection jusqu'ici:
sur la réflexion je puis également écrire dans les frances ;-)
Merci :-)
(Plugins) * Beastdoor-based Backdoors * Magic PS Created Trojans * SDBot based Backdoors * IRCBot based Trojans * CIA based Backdoors
Sentez-vous libre pour me demander si vous voulez savoir plus
A quoi correspond cette dernière catégorie, hautement géopolitique ? :-)
Ewcia
Frederic Bonroy
tigre allemand wrote:
Sentez-vous libre pour me demander si vous voulez savoir plus
Je crois que la question que beaucoup se posent, c'est "comment ça marche" - et surtout à cette vitesse (il est vrai que je l'ai testé sur un ordinateur assez rapide, mais quand-même).
Evidemment il ne vous sera sans doute pas possible détailler le fonctionnement ici. Mais disons que le terme "heuristical spectral analyser" nous intrigue beaucoup. Si vous pouviez en dire un peu plus?
tigre allemand wrote:
Sentez-vous libre pour me demander si vous voulez savoir plus
Je crois que la question que beaucoup se posent, c'est "comment ça
marche" - et surtout à cette vitesse (il est vrai que je l'ai testé sur
un ordinateur assez rapide, mais quand-même).
Evidemment il ne vous sera sans doute pas possible détailler le
fonctionnement ici. Mais disons que le terme "heuristical spectral
analyser" nous intrigue beaucoup. Si vous pouviez en dire un peu plus?
Sentez-vous libre pour me demander si vous voulez savoir plus
Je crois que la question que beaucoup se posent, c'est "comment ça marche" - et surtout à cette vitesse (il est vrai que je l'ai testé sur un ordinateur assez rapide, mais quand-même).
Evidemment il ne vous sera sans doute pas possible détailler le fonctionnement ici. Mais disons que le terme "heuristical spectral analyser" nous intrigue beaucoup. Si vous pouviez en dire un peu plus?
NO_eikaewt_SPAM
tigre allemand wrote:
sur la réflexion je puis également écrire dans les frances ;-) L'heuristique marquera même beaucoup meilleur avec le nouveau déballent le moteur d'AntiVir.
I suppose you are talking about unpacking routines (if so, you can use unpacking/unpacker, as we usually do in this group) ?
Do you plan to adress a fixed number of packers (most popular ones, like UPX or fsg) or implement something that would let you add support for as much packers as needed (I suppose KAV works this way) --- Je suppose que vous parlez de fonctions de decompaction (si c'est le cas, vous pouvez utiliser les termes anglais, comme nous le faisons habituellement dans ce groupe)
Pensez vous supporter un nombre determine' de packers (les plus populaires, comme UPX ou fsg) ou realiser quelque chose qui vous permettrait d'ajouter le support d'autant de packers que necessaires (je suppose que c'est de cette maniere que fonctionne KAV).
Combiné avec un tel moteur de déballage il devrait avoir au moins 30 pour cent mieux au-dessus de toute la détection particulièrement avec des trojans et des backdoors.
We reached the same conclusion in this group. Packers are definitely the easiest way for avoiding detection of trojan horses, and therefore the method most widely used amongst blackhats. --- Nous sommes arrives a la meme conclusion dans ce groupe. L'utilisation de packers est vraiment la methode la plus facile d'acces pour eviter que des chevaux de Troie ne soient detectes, du coup, c'est aussi la methode la plus utilisee par les blackhats.
Voici une vue d'ensemble courte des types heuristiques génériques de détection jusqu'ici:
Why did you class these apart from other backdoors ? Something to do with the __vba* functions imported from MSVBVMx0.DLL instead of the standard ones ? --- Pourquoi classer celles-ci a part ? Cela a-t-il quelque chose a voir avec l'utilisation de fonctions __vba* importees depuis MSVBVMx0.DLL a la place des fonctions standards ?
* Notifier Backdoors
Which kind of "notifiers" do you detect ? They now can use mail, IRC, ICQ, MSN, YahooMessenger, PHP/CGI or direct TCP/IP connection. Do you support all these methods ? -- Quels types de "notifiers" detectez vous ? Ils peuvent maintenant utiliser le Mail, IRC, ICQ, MSN, YahooMessenger, PHP/CGI ou des connections directes via TCP/IP. Supportez vous toutes ces methodes ?
* Trojan Downloader
I just tested Avlexa against a tiny (recent) one, it detected it. Cool. But it displayed the following error (its not the only .exe that have this problem), although I think the detected program is working :
"warning: invalid program start address"
And it currently does not detect it when it is packed with FSG.
* P2P Worms (for instance Kazaa, eMule...) * P2P Massspreader (fits all other) * Static Outlook Worms * Outlook Massmailer Worms
Where do you put regular Mass-mailing worm that do not use MAPI to propagate nor Outlook wab files for finding adresses ? --- Dans quelle categorie placez vous les vers se propageant par email et qui n'utilisent ni MAPI pour s'envoyer ni le carnets d'adresse d'Outlook ?
* IRC Script Dropper * IRC VX Channel Worms * IRC Worms * BAT HDD Killer Trojans * BAT DIR Killer Trojans
Sounds great. I wonder what is the "default" category (if any), though. From my tests, it appears to something like GENERIC TROJAN. Which is a bit misleading when applied to a mass mailing worm. GENERIC MALWARE might be better. --- Impressionnant. Je me demande cependant quelle est la categorie par defaut. A l'issue de mes tests, il semblerait que ce soit quelque chose comme GENERIC TROJAN. Ce qui, applique' a un vers de messagerie, est un peu trompeur. GENERIC MALWARE pourrait-etre une meilleure denomination.
Sentez-vous libre pour me demander si vous voulez savoir plus
I agree with Frederic, my main question would be "How does it work ?" Djehuti deplored the fact that it did not work with Win98/Me. I also wanted to know if you plan to make a version that will work with these versions of Windows. --- Comme Frederic, je dirais que ma question principale est "Comment ca marche ?". Djehuti deplorait le fait que ca ne marche pas avec Windows98/Me. Je voulais aussi savoir si vous envisagiez de faire une version qui marche avec ces OS.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur Complaints-To:
tigre allemand wrote:
sur la réflexion je puis également écrire dans les frances ;-)
L'heuristique marquera même beaucoup meilleur avec le nouveau
déballent le moteur d'AntiVir.
I suppose you are talking about unpacking routines (if so, you
can use unpacking/unpacker, as we usually do in this group) ?
Do you plan to adress a fixed number of packers (most popular
ones, like UPX or fsg) or implement something that would let you
add support for as much packers as needed (I suppose KAV works this
way)
---
Je suppose que vous parlez de fonctions de decompaction (si c'est
le cas, vous pouvez utiliser les termes anglais, comme nous le
faisons habituellement dans ce groupe)
Pensez vous supporter un nombre determine' de packers (les plus
populaires, comme UPX ou fsg) ou realiser quelque chose qui
vous permettrait d'ajouter le support d'autant de packers que
necessaires (je suppose que c'est de cette maniere que fonctionne
KAV).
Combiné avec un tel moteur de déballage il devrait avoir au moins
30 pour cent mieux au-dessus de toute la détection particulièrement
avec des trojans et des backdoors.
We reached the same conclusion in this group. Packers are definitely
the easiest way for avoiding detection of trojan horses, and
therefore the method most widely used amongst blackhats.
---
Nous sommes arrives a la meme conclusion dans ce groupe. L'utilisation
de packers est vraiment la methode la plus facile d'acces pour eviter
que des chevaux de Troie ne soient detectes, du coup, c'est aussi la
methode la plus utilisee par les blackhats.
Voici une vue d'ensemble courte des types heuristiques génériques de
détection jusqu'ici:
Why did you class these apart from other backdoors ? Something to do
with the __vba* functions imported from MSVBVMx0.DLL instead of the
standard ones ?
---
Pourquoi classer celles-ci a part ? Cela a-t-il quelque chose a voir
avec l'utilisation de fonctions __vba* importees depuis MSVBVMx0.DLL
a la place des fonctions standards ?
* Notifier Backdoors
Which kind of "notifiers" do you detect ? They now can use mail, IRC, ICQ,
MSN, YahooMessenger, PHP/CGI or direct TCP/IP connection. Do you support
all
these methods ?
--
Quels types de "notifiers" detectez vous ? Ils peuvent maintenant utiliser
le Mail, IRC, ICQ, MSN, YahooMessenger, PHP/CGI ou des connections directes
via TCP/IP. Supportez vous toutes ces methodes ?
* Trojan Downloader
I just tested Avlexa against a tiny (recent) one, it detected it. Cool.
But it displayed the following error (its not the only .exe that have this
problem), although I think the detected program is working :
"warning: invalid program start address"
And it currently does not detect it when it is packed with FSG.
* P2P Worms (for instance Kazaa, eMule...)
* P2P Massspreader (fits all other)
* Static Outlook Worms
* Outlook Massmailer Worms
Where do you put regular Mass-mailing worm that do not use MAPI to
propagate
nor Outlook wab files for finding adresses ?
---
Dans quelle categorie placez vous les vers se propageant par email et qui
n'utilisent ni MAPI pour s'envoyer ni le carnets d'adresse d'Outlook ?
* IRC Script Dropper
* IRC VX Channel Worms
* IRC Worms
* BAT HDD Killer Trojans
* BAT DIR Killer Trojans
Sounds great. I wonder what is the "default" category (if any), though.
From my tests, it appears to something like GENERIC TROJAN. Which is a
bit misleading when applied to a mass mailing worm. GENERIC MALWARE might
be better.
---
Impressionnant. Je me demande cependant quelle est la categorie par
defaut. A l'issue de mes tests, il semblerait que ce soit quelque
chose comme GENERIC TROJAN. Ce qui, applique' a un vers de messagerie,
est un peu trompeur. GENERIC MALWARE pourrait-etre une meilleure
denomination.
Sentez-vous libre pour me demander si vous voulez savoir plus
I agree with Frederic, my main question would be "How does it work ?"
Djehuti deplored the fact that it did not work with Win98/Me. I also
wanted to know if you plan to make a version that will work with
these versions of Windows.
---
Comme Frederic, je dirais que ma question principale est "Comment ca
marche ?". Djehuti deplorait le fait que ca ne marche pas avec
Windows98/Me. Je voulais aussi savoir si vous envisagiez de faire une
version qui marche avec ces OS.
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur
Complaints-To: abuse@webatou.net
sur la réflexion je puis également écrire dans les frances ;-) L'heuristique marquera même beaucoup meilleur avec le nouveau déballent le moteur d'AntiVir.
I suppose you are talking about unpacking routines (if so, you can use unpacking/unpacker, as we usually do in this group) ?
Do you plan to adress a fixed number of packers (most popular ones, like UPX or fsg) or implement something that would let you add support for as much packers as needed (I suppose KAV works this way) --- Je suppose que vous parlez de fonctions de decompaction (si c'est le cas, vous pouvez utiliser les termes anglais, comme nous le faisons habituellement dans ce groupe)
Pensez vous supporter un nombre determine' de packers (les plus populaires, comme UPX ou fsg) ou realiser quelque chose qui vous permettrait d'ajouter le support d'autant de packers que necessaires (je suppose que c'est de cette maniere que fonctionne KAV).
Combiné avec un tel moteur de déballage il devrait avoir au moins 30 pour cent mieux au-dessus de toute la détection particulièrement avec des trojans et des backdoors.
We reached the same conclusion in this group. Packers are definitely the easiest way for avoiding detection of trojan horses, and therefore the method most widely used amongst blackhats. --- Nous sommes arrives a la meme conclusion dans ce groupe. L'utilisation de packers est vraiment la methode la plus facile d'acces pour eviter que des chevaux de Troie ne soient detectes, du coup, c'est aussi la methode la plus utilisee par les blackhats.
Voici une vue d'ensemble courte des types heuristiques génériques de détection jusqu'ici:
Why did you class these apart from other backdoors ? Something to do with the __vba* functions imported from MSVBVMx0.DLL instead of the standard ones ? --- Pourquoi classer celles-ci a part ? Cela a-t-il quelque chose a voir avec l'utilisation de fonctions __vba* importees depuis MSVBVMx0.DLL a la place des fonctions standards ?
* Notifier Backdoors
Which kind of "notifiers" do you detect ? They now can use mail, IRC, ICQ, MSN, YahooMessenger, PHP/CGI or direct TCP/IP connection. Do you support all these methods ? -- Quels types de "notifiers" detectez vous ? Ils peuvent maintenant utiliser le Mail, IRC, ICQ, MSN, YahooMessenger, PHP/CGI ou des connections directes via TCP/IP. Supportez vous toutes ces methodes ?
* Trojan Downloader
I just tested Avlexa against a tiny (recent) one, it detected it. Cool. But it displayed the following error (its not the only .exe that have this problem), although I think the detected program is working :
"warning: invalid program start address"
And it currently does not detect it when it is packed with FSG.
* P2P Worms (for instance Kazaa, eMule...) * P2P Massspreader (fits all other) * Static Outlook Worms * Outlook Massmailer Worms
Where do you put regular Mass-mailing worm that do not use MAPI to propagate nor Outlook wab files for finding adresses ? --- Dans quelle categorie placez vous les vers se propageant par email et qui n'utilisent ni MAPI pour s'envoyer ni le carnets d'adresse d'Outlook ?
* IRC Script Dropper * IRC VX Channel Worms * IRC Worms * BAT HDD Killer Trojans * BAT DIR Killer Trojans
Sounds great. I wonder what is the "default" category (if any), though. From my tests, it appears to something like GENERIC TROJAN. Which is a bit misleading when applied to a mass mailing worm. GENERIC MALWARE might be better. --- Impressionnant. Je me demande cependant quelle est la categorie par defaut. A l'issue de mes tests, il semblerait que ce soit quelque chose comme GENERIC TROJAN. Ce qui, applique' a un vers de messagerie, est un peu trompeur. GENERIC MALWARE pourrait-etre une meilleure denomination.
Sentez-vous libre pour me demander si vous voulez savoir plus
I agree with Frederic, my main question would be "How does it work ?" Djehuti deplored the fact that it did not work with Win98/Me. I also wanted to know if you plan to make a version that will work with these versions of Windows. --- Comme Frederic, je dirais que ma question principale est "Comment ca marche ?". Djehuti deplorait le fait que ca ne marche pas avec Windows98/Me. Je voulais aussi savoir si vous envisagiez de faire une version qui marche avec ces OS.
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur Complaints-To:
Il s'agit de la première génération du virus non ? Le virus sans un "vrai" hote je suppose. Ici il détecte seulement la première génération, ce qui est normal :
le ptit neg ici sert d'anti heuristique, sous IDA on peut faire l'opération pour obtenir :
DATA:004020FD cmp ax, -'ZM' (ca devrait rappeler des choses aux connaisseurs)
Ce bout de code est utilisé pour récupérer l'image base de kernel32 à prioris. On retrouve un code similaire dans beaucoup de virus PE.
DATA:004074BA cmp word ptr [esi], 'ZM' DATA:004074BF jnz loc_4075EB DATA:004074C5 mov edi, [esi+3Ch] DATA:004074C8 cmp edi, [ebp+1Ch] DATA:004074CB jnb loc_4075EB DATA:004074D1 cmp dword ptr [esi+edi], 'EP' DATA:004074D8 jnz loc_4075EB
Ca aussi c'est typique virus. Bref, ca pourrait expliquer la detection de la première génération de Zmist. Mais c'est vraiment vaste comme détection je pense.
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une version du 18 septembre avec les définitions du 21 janvier.
C'est pas mal en effet, mais c'est très facile à contourner.
J'ai jeté un oeil rapidement. Pour les worms, backdoors and co, c'est en gros:
Recherche d'API importées + recherches de strings.
Exemples :
Si dans le programme il y a ceci :
[script] .dcc send $nick C:pipo.EXE
On obtient un jolis:
Suspicious file found: Classified as HEURISTIC/Worm.IRCDropper.Generic
Il faut qu'il y est le script et le dcc send $nick sinon il ne detecte pas.
La meme chose dans un fichier txt et on obtient :
Suspicious file found: Classified as HEURISTIC/Worm.IRCScript.Generic.
Et pour un peu plus de fun, un faux positif :
Suspicious file found: Classified as HEURISTIC/Backdoor.Unknown.Generic.
valuename db "bidon",0 key db "SoftwareMicrosoftWindowsCurrentVersionRun",0
End start
Deux APIs, les clefs de registres et c'est partis.
J'ai pas regardé le reste. Le principe est très simple, et fonctionne bien. Mais un chargement des API via GetProcAddress et un ptit chiffrement simple des strings, et ya plus de détections.
C'est juste pour répondre à la question "comment ca marche". Pas pour dire que c'est nul, car c'est interressant comme petit moteur. Donc no flame :)
Amicalement,
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
Il s'agit de la première génération du virus non ?
Le virus sans un "vrai" hote je suppose.
Ici il détecte seulement la première génération, ce qui est normal :
le ptit neg ici sert d'anti heuristique, sous IDA on peut faire
l'opération pour obtenir :
DATA:004020FD cmp ax, -'ZM' (ca devrait rappeler
des choses aux connaisseurs)
Ce bout de code est utilisé pour récupérer l'image base de kernel32 à
prioris. On retrouve un code similaire dans beaucoup de virus PE.
DATA:004074BA cmp word ptr [esi], 'ZM'
DATA:004074BF jnz loc_4075EB
DATA:004074C5 mov edi, [esi+3Ch]
DATA:004074C8 cmp edi, [ebp+1Ch]
DATA:004074CB jnb loc_4075EB
DATA:004074D1 cmp dword ptr [esi+edi], 'EP'
DATA:004074D8 jnz loc_4075EB
Ca aussi c'est typique virus.
Bref, ca pourrait expliquer la detection de la première génération de
Zmist. Mais c'est vraiment vaste comme détection je pense.
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une
version du 18 septembre avec les définitions du 21 janvier.
C'est pas mal en effet, mais c'est très facile à contourner.
J'ai jeté un oeil rapidement.
Pour les worms, backdoors and co, c'est en gros:
Recherche d'API importées + recherches de strings.
Exemples :
Si dans le programme il y a ceci :
[script]
.dcc send $nick C:pipo.EXE
On obtient un jolis:
Suspicious file found: Classified as HEURISTIC/Worm.IRCDropper.Generic
Il faut qu'il y est le script et le dcc send $nick sinon il ne detecte pas.
La meme chose dans un fichier txt et on obtient :
Suspicious file found: Classified as HEURISTIC/Worm.IRCScript.Generic.
Et pour un peu plus de fun, un faux positif :
Suspicious file found: Classified as HEURISTIC/Backdoor.Unknown.Generic.
valuename db "bidon",0
key db "SoftwareMicrosoftWindowsCurrentVersionRun",0
End start
Deux APIs, les clefs de registres et c'est partis.
J'ai pas regardé le reste. Le principe est très simple, et fonctionne
bien. Mais un chargement des API via GetProcAddress et un ptit
chiffrement simple des strings, et ya plus de détections.
C'est juste pour répondre à la question "comment ca marche".
Pas pour dire que c'est nul, car c'est interressant comme petit moteur.
Donc no flame :)
Amicalement,
--
Nicolas Brulez
Chief of Security
The Armadillo Software Protection System
http://www.siliconrealms.com/armadillo.shtml
Il s'agit de la première génération du virus non ? Le virus sans un "vrai" hote je suppose. Ici il détecte seulement la première génération, ce qui est normal :
le ptit neg ici sert d'anti heuristique, sous IDA on peut faire l'opération pour obtenir :
DATA:004020FD cmp ax, -'ZM' (ca devrait rappeler des choses aux connaisseurs)
Ce bout de code est utilisé pour récupérer l'image base de kernel32 à prioris. On retrouve un code similaire dans beaucoup de virus PE.
DATA:004074BA cmp word ptr [esi], 'ZM' DATA:004074BF jnz loc_4075EB DATA:004074C5 mov edi, [esi+3Ch] DATA:004074C8 cmp edi, [ebp+1Ch] DATA:004074CB jnb loc_4075EB DATA:004074D1 cmp dword ptr [esi+edi], 'EP' DATA:004074D8 jnz loc_4075EB
Ca aussi c'est typique virus. Bref, ca pourrait expliquer la detection de la première génération de Zmist. Mais c'est vraiment vaste comme détection je pense.
C'est prometteur non? Et je n'ai cité que quelques cas. C'est une version du 18 septembre avec les définitions du 21 janvier.
C'est pas mal en effet, mais c'est très facile à contourner.
J'ai jeté un oeil rapidement. Pour les worms, backdoors and co, c'est en gros:
Recherche d'API importées + recherches de strings.
Exemples :
Si dans le programme il y a ceci :
[script] .dcc send $nick C:pipo.EXE
On obtient un jolis:
Suspicious file found: Classified as HEURISTIC/Worm.IRCDropper.Generic
Il faut qu'il y est le script et le dcc send $nick sinon il ne detecte pas.
La meme chose dans un fichier txt et on obtient :
Suspicious file found: Classified as HEURISTIC/Worm.IRCScript.Generic.
Et pour un peu plus de fun, un faux positif :
Suspicious file found: Classified as HEURISTIC/Backdoor.Unknown.Generic.
valuename db "bidon",0 key db "SoftwareMicrosoftWindowsCurrentVersionRun",0
End start
Deux APIs, les clefs de registres et c'est partis.
J'ai pas regardé le reste. Le principe est très simple, et fonctionne bien. Mais un chargement des API via GetProcAddress et un ptit chiffrement simple des strings, et ya plus de détections.
C'est juste pour répondre à la question "comment ca marche". Pas pour dire que c'est nul, car c'est interressant comme petit moteur. Donc no flame :)
Amicalement,
-- Nicolas Brulez
Chief of Security The Armadillo Software Protection System http://www.siliconrealms.com/armadillo.shtml
