VMProtect + антивирусы...

Issues related to VMProtect
Dmitry Kazimirov
Posts: 7
Joined: Fri Aug 21, 2009 5:36 am

Re: VMProtect + антивирусы...

Post by Dmitry Kazimirov »

Кстати можно еще еще добавить.
Есть такая вещь как Astaro Security Gateway,один из двух его антивирусных движков(в 7.504 как минимум) - Avira(и исправленные в авире фолсы - у меня решили с ним проблемы)
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Dmitry Kazimirov wrote:Есть такая вещь как Astaro Security Gateway
Не знаете каким он именем живет на virustotal?
Dmitry Kazimirov
Posts: 7
Joined: Fri Aug 21, 2009 5:36 am

Re: VMProtect + антивирусы...

Post by Dmitry Kazimirov »

отдельно его нет там.
в 7.5xx используются движки от Avira и ClamAV
в моем случае - был фолс авирой(после чего я и писал письмо с проблемой на ней)
rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Post by rostyslav »

Наткнулся сегодня на проблемку с вирусами:

7 из 40
http://www.virustotal.com/ru/analisis/a ... 1271158259

6 из 40
http://www.virustotal.com/ru/analisis/f ... 1271156235

4 из 39
http://www.virustotal.com/ru/analisis/f ... 1271163732

+ в ходе работы касперский предупредил о поведении похожем на PDS.Query

Екзешник и настройки могу выслать приватом.

Есть ли какие-то общие рекомендации по уменьшению срабатываний антивирусов?
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Екзешник и настройки могу выслать приватом.
Шлите весь комплект на info@vmpsoft.com
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

Вот и с Касперским появилась трабла (VMProtect 2.04.3):
http://www.virustotal.com/ru/analisis/2 ... 1271354716

Опции защиты:
  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.
Отправил файл в антивирусную лабораторию Касперского. Посмотрим, что ответят.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

2 Larry:
Выслал вам более новую версию - защитите программу с её помощью и пришлите отчет с virustotal.
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

VMProtect 2.04.7:
http://www.virustotal.com/ru/analisis/9 ... 1271506183

Опции защиты:
  • Упаковывать выходной файл: Лучший (медленная распаковка);
  • Секции ВМ: .UPX
  • Компиляция: Контроль целостности ВМ объектов (снижение скорости), Шифрация регистров на выходе из ВМ (снижение скорости);
  • Виртуальные Машины: количество - 1.
Теперь 'Ikarus' шумит. Раньше такого не замечал. 'Trojan.Win32.Bredolab' - интересно, кого это они так называют. Ну с a-squared всё ясно. Они вирусные записи тырят у NOD32, Kaspersky, Avira и т.д.
Never put off till tomorrow what can be put off till day after tomorrow just as well
rostyslav
Posts: 3
Joined: Tue Apr 13, 2010 8:25 am

Re: VMProtect + антивирусы...

Post by rostyslav »

У меня сегодня новый рекорд 10 из 40
http://www.virustotal.com/ru/analisis/f ... 1271689234
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

2 Larry, rostyslav:
В настоящее время мы ведем переговоры с F-Prot, F-Secure и Ikarus по поводу ложных срабатываний, но к сожалению пока нет никаких новостей по поводу решения возникших проблем с фолсами. Единственный вариант решения проблемы на сегодняшний день - это самостоятельно отправить свои файлы через сайт разработчиков этих антивирусов с пометкой "false alarm".
Larry
Posts: 8
Joined: Thu Feb 11, 2010 6:27 pm

Re: VMProtect + антивирусы...

Post by Larry »

Ага, это понятно, спасибо. Интересно было, что за 'Bredolab' определяет антивирус Ikarus.
Never put off till tomorrow what can be put off till day after tomorrow just as well
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Интересно было, что за 'Bredolab' определяет антивирус Ikarus.
Похоже на очередной креатив от Ikarus :))
Cyber
Posts: 48
Joined: Mon Feb 08, 2010 3:29 pm

Re: VMProtect + антивирусы...

Post by Cyber »

Вот чисто из любопытства:

Антивирусы ловят запротекченые "чистые" программные продукты по сигнатуре или плавающей сигнатуре ну и нескольким подходящим шаблонам (упаковка, экспорт и.т.д.)
У вас есть средство мутации кода.. почему бы не избавлятся от плавающих сигнатур и шаблонов с помощью мутации по дефолту? Скажим так рабочее ядро всегда рандомно с точки зрения антивируса, а запротекченые участки кода пользователь сам уже выберет каким способом их защищать.

Или сейчас оно в таком духе и реализовано?
Admin
Site Admin
Posts: 2562
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VMProtect + антивирусы...

Post by Admin »

Рабочее ядро (исполнитель ВМ) и так мутирует при каждой компиляции - поэтому у него нет постоянных сигнатур. Насчет плавающих - не уверен (возможно антивирусы уже научились деобфусцировать натив на этапе проверки EntryPoint). Ну а в целом создается впечатление, что дальше EntryPoint многие "антивирусы" даже не лезут - файл "детектится" по внешним признакам (названию секций, расположение импорта, точки входа и т.п.). В последних версиях наоборот пришлось добавить дополнительные признаки наличия VMProtect чтобы антивирусы шли по правильной ветке :))
vzaguski
Posts: 1
Joined: Wed Jun 16, 2010 12:48 pm

Re: VMProtect + антивирусы...

Post by vzaguski »

VMprotect Lite 2.05, дефолтные настройки, секции поменяны на .UPX.
Ругаются ClamAV, Sophos, Arcavir. Вот так вот - http://virusscan.jotti.org/en/scanresul ... a4e5c69a3e
Post Reply