Защити свой компьютер на 100% от вирусов и хакеров

Итак, пожалуй, начнем.

Тест № 1

Для проведения первого теста были использованы случайным образом отобранные из коллекции (579 штук) четыре экземпляра вредоносного кода:

¦ TrojanDownloader.13547;

¦ Backdoor. Win32Optix.b;

¦ Trojan-Win32PSW.QQRob.16;

¦ Trojan-Win32PSW.QQShou.EH.

Каждый экземпляр был пропущен через PeStubOEP (программа предназначена для защиты EXE-файлов от определения их компилятора/упаковщика). Результаты проверки следующие ('+' – распознан; '-' – не распознан). Итак (результаты на рис. 5.3).

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+'.

Рис. 5.3. TrojanDownloader.13547 был успешно найден

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.4).

Рис. 5.4. Backdoor.Win32Optix.b – «крепкие орешки» еще впереди!

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.5).

Рис. 5.5. Наш антивирус пока на высоте

Trojan-Win32PSW.QQShou.EH оказался крепким орешком, и Vba32 определил его, только после того как были установлены максимальные настройки:

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.6, 5.7).

ПРИМЕЧАНИЕ

Один из экземпляров вредоносного кода (Trojan-Win32PSW.QQShou.EH) Vba32 был определен как Trojan-Spy.Delf.13.

Как видите, некоторые из экземпляров вредоносного кода могут быть обнаружены только с максимальными настройками, и совсем не факт, что антивирус расскажет вам всю правду.

Рис. 5.6. Экспертный анализ – максимален!

Рис. 5.7. Похож на Spy-Delf…

Используем следующую партию экземпляров, случайно отобранных из коллекции:

¦ Trojan.Spambot;

¦ OS.cope.Worm.UK.Nuwar;

¦ Trojan-Proxy.WIN32.Lager.aq.

Два троянских коня и червь были запакованы Tibs. Проверяем:

¦ Nod32 2.7 '-';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.8).

Рис. 5.8. Результат проверки – Trojan.Spambot!

ПРИМЕЧАНИЕ

Как видите, здесь нас немного огорчил NOD32. Но не будем забывать, что даже качественно проработанный движок несовершенен.

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.9).

Рис. 5.9. Самый настоящий червь!

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.10).

Рис. 5.10. Прокси-троян у нас под колпаком

Продолжаем наши эксперименты. Теперь возьмем три различных вируса и наобум запакуем их тремя различными упаковщиками. Троянского коня упаковываем NsAnti. Результаты:

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.11).

Рис. 5.11. На ловца и зверь бежит!

Теперь Trojan-Spy.Win32.AimSpy запакуем SkD Undetectabler Pro 2 SkDPRO. Результаты:

¦ Nod32 2.7 '-';

¦ 'Антивирус Касперского 6.0' '-';

¦ Vba32 '-'.

ПРИМЕЧАНИЕ

Ну вот, собственно, и настал момент истины. Заметьте, что ни один из наших антивирусных продуктов не смог обнаружить запакованный SkD Undetectabler Pro 2 SkDPRO троянский конь – SkD Undetectabler Pro 2 SkDPRO!

Едем дальше. Trojan.Mezzia пакуем Zipworx SecureEXE. Результаты:

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.12).

Рис. 5.12.Vba не спит

Тест № 2

Тест включает в себя упаковку одного вируса несколькими упаковщиками. В качестве «зло-кода» был использован известный Virus.Win32.Neshta.b. Итак, результаты.

Пропускаем нашего 'нечто' через WinUpack:

¦ Nod32 2.7 '-';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.13).

Рис. 5.13. Neshta – не уйдет! Пропускаем Neshta через Arm Protector ver.01:

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '-' (рис. 5.14).

Рис. 5.14. Vba32 не видит наше «нечто»

Пропускаем 'нечто' через FSG. Результаты:

¦ Nod32 2.7 '+';

¦ 'Антивирус Касперского 6.0' '+';

¦ Vba32 '+' (рис. 5.15).

Рис. 5.15. И опять наш антивирус на высоте

ПРИМЕЧАНИЕ

Как видите, в этом тесте Vba32 не смог обнаружить 'нечто', запакованного Arm Protector ver.01. Nod32 совсем не распознал Neshta, запакованного WinUpack. Вывод: совершенной эвристики нет – к ней лишь можно стремиться.

Тест № 3