Сегодня мне удалось документально зафиксировать отпраку файла, загруженного на virustotal на анализ, третьим лицам.
Но, как говориться, обо всем по порядку.
Как известно, в соответствующих кругах давно ведутся споры о том отправляются ли проверяемые на virustotal файлы, антивирусным компаниям.
Мне ни разу не приходилось видеть какие-либо существенные аргументы или доказательства в поддержку той или иной версии. Все было на словах.
Сегодня, работая в обычном режиме, я экспериментировал над новой компиляцией
ксинча. Ну, и традиционно я проверял полученные билды на virustotal. Я отослал файл (при этом отключил distribute), получил результат. Потом зашел
на почтовый яшик, на который должны приходить отчеты. Все было, как обычно. Далее, пока я криптовал билд, в этом почтовом ящике появился отчет. Хм... Думаю я. Откуда там взяться отчету. Ксинч я пока никому не отправлял. Да, и Ip
странный. Как потом оказалось - испанский. И я решил, что может быть кто-то где-то подхватил давно оставленный мной билд и открыл сейчас. Ладно... Я зарегал, новый аккаунт на хостинге (для нового билда) и опять проделал такую же обычную проверку на virustotal. И что вы думаете? Мне опять пришел отчет! Опять с испанского Ip. И самое главное, в subject стоял адрес нового gate. И тут, до меня доходит.
После этого я сделал "контрольный тест". Результат - что и следовало ожидать.
Конечно, я сразу поспешил посмотреть отчеты. Они были маленькме. Но программы, установленные
на компьютере с которого пришли отчеты, говорили сами сам себя:
Revisiуn de Windows XP - KB823559 (Версия: 20030701.22055
Revisiуn de Windows XP - KB828741 (Версия: 20040305.181012)
Revisiуn de Windows XP - KB834707 (Версия: 20040929.115007)
Revisiуn de Windows XP - KB835732 (Версия: 20040329.172825)
Revisiуn de Windows XP - KB842773 (Версия: 20040805.140010)
Windows XP Hotfix (SP1) [See Q329048 for more information]
Paquete de revisiуn de Windows XP [Consulte Q329115 para obtener mбs informaciуn ]
Windows XP Hotfix (SP1) Q329170 (Версия: 20030102.11545
Windows XP Hotfix (SP1) [See Q329390 for more information]
Windows XP Hotfix (SP1) [See Q329441 for more information]
Windows XP Hotfix (SP1) [See Q329834 for more information]
Windows XP Hotfix (SP1) Q810577 (Версия: 20021118.133626)
Windows XP Hotfix (SP1) Q810833 (Версия: 20021203.200852)
Windows XP Hotfix (SP1) Q815021 (Версия: 20030502.110549)
Windows XP Hotfix (SP1) Q817606 (Версия: 20030331.103325)
TrojanResearcher v1.1
Windows Genuine Advantage Validation Tool (KB892130) (Версия: 1.5.0530.0)
WebFldrs XP (Версия: 9.50.531
VMware Tools (Версия: 3.1.0000)
А вот процессы:
\??\C:\WINDOWS\system32\csrss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\VMware\VMware Tools\VMwareService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe
C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\TrojanResearcher\TrojanResearcher.exe
C:\Archivos de programa\TrojanResearcher\tr_engine.exe
z:\cebos\6e9de6c1513fa512cd7e4a68e3d2f113.exe
Далее, я внимательно посмотрел почтовый ящик и среди набежавшего спама, обнаружил письмо, которое пришло примерно в 2 часа ночи. И действительно,я вспомнил, что примерно в это же время проверял криптованный ксинч на virustotal.
Заметьте, что за этот промежуток времени, данный билд открыть никто не мог,
билд я никому не давал.
Но на этот раз это был другой тестер. Во список установленных у него программ:
4NT Unicode 6.0 (Версия: 6.0)
AIM Toolbar
AOL Instant Messenger
AppServ v2.5.4a
Compuware SoftICE Driver Suite 3.1 (Версия: 3.1)
eMusic - 50 Free MP3 offer
Ethereal 0.10.9 (Версия: 0.10.9)
ICQ
IDA Pro Advanced v4.7
InstallRite 2.5
IrfanView
mIRC
PE Explorer 1.96 (Версия: 1.96)
QQ2004 ХэКЅ°жSP1 (Версия: ХэКЅ°жSP1)
SiS VGA Utilities
Trillian
Viewpoint Media Player
Vision
Winamp
WinHex
WinPcap 3.0
WinRAR archiver
WinZip (Версия: 9.0 SR-1 (6224))
Yahoo! Messenger
WebFldrs XP (Версия: 9.50.531
Java 2 SDK, SE v1.4.2_06 (Версия: 1.4.2_06)
UltraEdit-32 (Версия: 10.20c)
Microsoft .NET Framework SDK (English) (Версия: 1.0.3705)
ActivePerl 5.8.0 Build 806 (Версия: 5.8.806)
Java 2 Runtime Environment, SE v1.4.2_06 (Версия: 1.4.2_06)
Trend Micro PC-cillin Internet Security 2005 (Версия: 12.0)
Intel® Extreme Graphics 2 Driver
DJ Java Decompiler v.3.7.7.81 (Версия: 1.7)
Microsoft Office XP Professional with FrontPage (Версия: 10.0.2627.01)
RTLSetup
VMware Workstation (Версия: 4.5.2.884
Lotus Notes 6.5.1 (Версия: 6.501.421)
MSN Messenger 7.0 (Версия: 7.0.0777)
Adobe Reader 7.0 (Версия: 7.0.0)
Compuware SoftICE Driver Suite (Версия: 3.1)
API Monitor 1.5 (Версия: 1.5.0)
Realtek AC'97 Audio
Процессы:
\??\C:\WINDOWS\system32\csrss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Trend Micro\Internet Security 2005\pccguide.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ethereal\ethereal.exe
C:\Program Files\Epsilon Squared\InstallRite\InstallRite.exe
C:\_AV Tools\SysInternals\Process Explorer\procexpnt\procexp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\VMware\VMware Workstation\vmware.exe
C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\_AV Tools\Dumpfx\DumpFX.exe
C:\Documents and Settings\WinXP1\Desktop\Screen.exe
Комментарий: последний процесс C:\Documents and Settings\WinXP1\Desktop\Screen.exe,
как раз и является моим билдом.
Выводы:
1) Безусловно, из данного случая не следует, что все 100% файлов проходят ручной анализ. Хотя, возможно мне попались два не слишком аккуратных тестра, которые допустили такой прокол и на самом деле таких людей там много и обрабатывается подавляющее количество материала.
Вполне вероятно, что кнопка distribute служит как раз красным флажком для таких людей.
По принципу - раз ты ее нажал, значит тебе есть чего скрывать и надо обязательно этот
файл проверить.
2) При таком раскладе, целесообразно использовать этот сервис только для собственной защиты, т. е.
для проверки подозрительных файлов перед запуском на своей машине. А для нападения лучше использовать личные автономные системы детектирования вирусов, особенно тем кто занимается созданием крипторов и т. д.