Закрыто Архив с боевыми вирусами для тестирования основных средств защиты на Виртуальных машинах

Тема в разделе "Различные обзоры, рейтинги и тесты антивирусов", создана пользователем Rafail, 20 ноя 2012.

↑ ↓
Статус темы:
Закрыта.
  1. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Архив с боевыми вирусами(размер 7,29мб), для тестирования AV(антивирусов), антишпионов, проактивной защиты. Теперь что касаеться самого архива, архив запаролен(основной архив называется "ВИРУСЫ"), внутри которого находится три других незапароленных архива:
    Снимок.PNG
    Внутри из каждых этих архивов - СОДЕРЖАТСЯ ОСНОВНЫЕ ЗАПАРОЛЕНЫЕ АРХИВЫ С ВИРУСАМИ И ТЕКСТОВЫЙ ДОКУМЕНТ(БОКНОТ)-В КОТОРОМ НАХОДИТСЯ ПАРОЛЬ К ОСНОВНЫМ АРХИВАМ С ВИРУСАМИ:
    Снимок1.PNG
    - Теперь что находится внутри каждого архива, внутри 1)архива 100virus(основной архив для тестирования AV)-находится архив со 100 вирусами, разных модификаций(фэйков, шпионов, руткитов, вирусов типа sality)-этот архив лучше не распаковывать, т.к. имеются вирусы с автозапуском и самораспаковкой, такие как rootkit zaro-day, sality и т.п-лучше проверять on-demand сканированием(по требованию).
    - Втнутри второго архива "trojan.winlock" находится один вирус винлок, не для MBR, можно тестировать на виртульной машине, такие программы как AntiWinLocker, Mamutu и т.д.
    - Внутри третьего архива находится одна фэйковая программа, vzlom-vkontakte, с помощью неё, можно проверить определённую антишпионскую программу.
    ПРЕДУПРЕЖДЕНИЕ:АРХИВ МОЖНО ИСПОЛЬЗОВАТЬ ТОЛЬКО ДЛЯ ОЗНАКОМЛЕНИЯ И ТЕСТИРОВАНИЯ ОСНОВНЫХ СРЕДСТВ ЗАЩИТЫ НА ВИРТУАЛЬНЫХ МАШИНАХ!!!
    ПАРОЛЬ НА АРХИВ ПОД НАЗВАНИЕМ "ВИРУСЫ":111(пароли для основных архивов с вирусами, находятся внутри трех незапароленных архивов и имеют название "ПАРОЛЬ.txt").
     
    • Мне нравится Мне нравится x 8
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Оутпост 7.6 заблокировал 99, оставив какую-то дллку и экселевские файлы, их не запускал, но думаю на них сработает проактивка, поэтому будем считать, что тест пройден !

    Заблокировал сразу !

    А тут я вообще ничего не понял, пишет, что доверенное приложение и запускается установка, устанавливать не стал, а что она делает ?

    p/s:Такой гремучий архивчик, один sality чего стоит, в своё время пропустил, так пришлось систему потом сносить, коварный такой вирус !
     
    • Мне нравится Мне нравится x 2
  3. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Х-Shar, нашёл эту программу, на одном сайте, типа как пробутфорсить вконтакте, фишка этой проги в том, что после установки на комп, она требует ввести ключ(но естественно,никакого ключа на неё нет), тип действия похож на trojan.winlock(но более изащрённый),выглядит это так:
    Снимок.PNG
    и затем, после перезагрузки, это окошко вылазит каждые 5 минут, и ничем нельзя её выковырить из системы, она не прописывается в program files, а прописывается в моих документах. Ещё фишичка этой программы в том, что в неё встроен миханизм отложенного запуска шпионского модуля, keyloggera, он встаивается в систему после того, как раз 20-30 закроешь надоедлевое окошко, вроде радость, окошко больше не выскакивает, но в системной директории system32 уже сидит keylogger.
     
    • Мне нравится Мне нравится x 4
  4. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Если кто не хочет рисковать, пробовать боевые вирусы, существует другая альтернатива, можете попробовать специальный тестовый вирус EICAR, чтобы проверить, блокирует ли ваш антивирус загрузку вируса из интернета, т.е. не позволяет ему загрузиться на рабочий стол, попробуйте перейти по этой ссылке:
    http://www.eicar.org/download/eicar.com
    так же можете сами создать этот тестовый вирус:

    1)открываем блокнот, в блокноте прописываем:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

    2)присваиваем имя блокноту eicar.com(txt.exe)
    3)сохраняем на рабочий стол и смотрим на реакцию вашего антивируса.
    Так же можно попробовать разные модификации этого вируса:

    CORR-
    Поврежден.
    Приложение получило доступ к объекту, но не может проверить его, поскольку объект поврежден (например, нарушена структура объекта, неверный формат файла).
    SUSP-
    WARN-
    Файл содержит тестовый «вирус» (модификация). Лечение невозможно.
    Данный объект является модификацией известного вируса либо неизвестным вирусом. На момент обнаружения базы приложения не содержат описания процедуры лечения данного объекта. Приложение перемещает объект на карантин для последующей обработки с обновленными базами.
    ERRO-
    Ошибка обработки.
    В ходе обработки объекта возникла ошибка: приложение не может получить доступ к объекту проверки, поскольку нарушена целостность объекта (например, нет конца многотомного архива) либо отсутствует связь с ним (если проверяется объект на сетевом ресурсе).
    CURE-
    Файл содержит тестовый «вирус». Лечение возможно.
    Объект подвергается лечению, при этом текст тела «вируса» изменяется на CURE.
    Объект содержит вирус, поддающийся лечению. Приложение выполняет антивирусную обработку объекта, после которой он будет полностью вылечен.
    DELE-
    Файл содержит тестовый «вирус». Лечение невозможно.
    Данный объект содержит неизлечимый вирус либо является троянской программой. Приложение удаляет данные объекты.

    Теперь как модифицировать этот вирус, в начальную строчку тела вируса добавляем например значение CORR-(т.е. пишем CORR затем тире(без пробелов), затем вставляем тело вируса X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*,)выглядеть это будет так:
    Снимок.PNG
    Затем присваиваем имя блокноту corr_(подчёркивание)eicar.com(txt.exe)
    Проделываем всё тоже самое с остальными прификсами(WARR/ERRO и т.д)
    Примечание:название блокнота должно сооствествовать значению прификса(оно должно стоять в начале), т.е. например:dele_eicar.com
     
    • Мне нравится Мне нравится x 6
  5. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Существуют также специализированные сайты, для проверки своего AV
    например такой сайт как:MalwareDomanList:http://www.malwaredomainlist.com/mdl.php
    Снимок.PNG
    Чтобы проверить, блокирует ли ваш антивирус вредоносный контент, открываем новую вкладку, копируем(Ctrl+C) адрес ссылки(левый столбец) и вставляем(Ctrl+V) в адресную строку браузера ссылку и жмём Enter и смотрим на реакцию вашего антивируса.
    Предупреждение:Ссылки ведут на настоящие фишинговые и вирусные сайты!!!
     
    • Мне нравится Мне нравится x 6
  6. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Существует так же сайт, который специализируется на проверке Антишпионского ПО"Spycar.org", таких как: Spyware Terminator, Windows Defender, SuperAntiSpyware и мн.др.
    Сайт:http://www.spycar.org/Spycar.html
    Снимок1.PNG
    Для того, чтобы проверить свой Антишпион, просто нажмите на подчёркнутое слово here и начнётся автоматическая загрузка шпионских модулей, смотрим реакцию своего антишпиона!!!
    P/S:на сайте расположенны тестовые spyware-класса trojan, напоминает работу тестового вируса EICAR.
     
    • Мне нравится Мне нравится x 4
  7. Peek-a-boo ?!
    Peek-a-boo
    Ответить в чате

    Форумчанин

    Регистрация:
    18.11.2012
    Сообщения:
    895
    Симпатии:
    3.187
    Пол:
    Мужской
    Репа:
    +3.188 / 0 / -0
    Сам сайт по ходу зараженный ......
    [​IMG]
     
    • Мне нравится Мне нравится x 3
  8. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Старик, сайт не заражён, просто на сайте содержатся вредоносные объекты, но только тестовые, сайт в основном предназначен для тестирования антишпионского ПО(писал выше)- например, тоже самое происходит, когда пробуешь качать тестовый вирус EICAR. Я например отключал EMSI, чтобы протестить свой антишпион SuperAntispyware, иначе никак, Emsi тоже блокировал сайт!
     
    • Мне нравится Мне нравится x 3
  9. Peek-a-boo ?!
    Peek-a-boo
    Ответить в чате

    Форумчанин

    Регистрация:
    18.11.2012
    Сообщения:
    895
    Симпатии:
    3.187
    Пол:
    Мужской
    Репа:
    +3.188 / 0 / -0
    Ну а Бог его знает )))))))))хватает того что Нортон злится )))))))
     
    • Мне нравится Мне нравится x 3
  10. Rafail Гость
    Rafail
    Ответить в чате

    Репа:
    +0 / 0 / -0
    Нортон, злится на всё(ну почти)!!!;) И лучше эти проверки устраивать на вертуалке!!!(y)(Y)(ok)
     
    • Мне нравится Мне нравится x 3
Статус темы:
Закрыта.

Поделиться этой страницей