Строка, которую не любят антивирусы

← →
Alx_ © (2006-07-10 22:58) [0]

Как-то на форуме приводили пример строчки, на сохранение которой в файл
бурно реагировали антивирусные программы. Не могу найти ее.
Не подскажите ?

← →
unknown © (2006-07-10 23:13) [1]

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

← →
Чайник © (2006-07-11 00:09) [2]

> X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-
> FILE!$H+H*

Попробовал - Касперский (5) чихал на нее.

← →
KilkennyCat © (2006-07-11 00:31) [3]

Вывод: "Касперкий" - отстой.

← →
Труп Васи Доброго © (2006-07-11 01:02) [4]

unknown © (10.07.06 23:13) [1]
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Реально, BitDefender сразу всполошился, хотя и сказал что файл заражён не вирусом.

← →
TUser © (2006-07-11 01:42) [5]

AVG при сканировании написал - 0, хотя попытку запуска присек.

← →
Alx_ © (2006-07-11 02:42) [6]

Norton просто уничтожил файл ( правда была возможность поместить в карантин :)

← →
VirEx © (2006-07-11 05:58) [7]

nod32 описал вирус как:
Eicar тест файла

ну и естессно изолировал его

← →
Gydvin © (2006-07-11 07:21) [8]

> Попробовал - Касперский (5) чихал на нее.

У меня нет. EICAR-Test-File

← →
КиТаЯц © (2006-07-11 07:27) [9]

Symanrec AntiVirus 9.0.0.338 (сканер 61.1.0.11)

ничего не заметил...

← →
vajo (2006-07-11 07:35) [10]

> КиТаЯц ©
А у меня определил.
Может у тебя автоматическая защита выключена?

← →
Рамиль © (2006-07-11 08:53) [11]

К Касперскому надо подключать дополнительную базу.

← →
atruhin © (2006-07-11 09:05) [12]

> AVG при сканировании написал - 0

А у меня сразу матюкнулся, и при нажатии "лечить" удалил его.

← →
VictorT © (2006-07-11 10:06) [13]

Я не смог открыть эту ветку в клиенте Magic Forum, Panda сразу замотюкалась и заблокировала :D А в броузере открылось.

← →
Rouse_ © (2006-07-11 10:06) [14]

NIS прибил при попытке создания файла :)

← →
Ketmar © (2006-07-11 10:07) [15]

AVG отреагировал: Eicar-test.

← →
umbra © (2006-07-11 10:14) [16]

e-trust тоже поймал. Неудивительно - это ж тест, который, по идее, должны ловить все антивирусы

← →
Некто © (2006-07-11 12:49) [17]

Каспер 4.5 реагирует :-)

← →
StriderMan © (2006-07-11 12:54) [18]

для любителей каспера, попробуйте создать батник:

Format C: Format D:

он его убивает молча. в лог записывает как Trojan Format C

Я когда на это напоролся, думал крыша поехала. Создаю файлик, через несколько секунд - бац - его нет!!!

← →
второе явление Чапаева народу (2006-07-11 12:55) [19]

Нортон закарантинил )))

← →
Alx_ © (2006-07-11 13:49) [20]

Интересно: Delphi 2005.
На юнит, сожержащий эту строку никто не ругался, но при
сохранении проекта Delphi стала создавать .bak файл
для этого юнита.

← →
Rouse_ © (2006-07-11 14:45) [21]

> StriderMan © (11.07.06 12:54) [18]
> для любителей каспера, попробуйте создать батник:

Проще из программы попробовать выполнить ZwOpenProcess(nil, 0, nil, nil);
Перед этим все что важное желательно сохранить (два раза) :)

← →
StriderMan © (2006-07-11 14:46) [22]

> ZwOpenProcess

это где такая функция?

← →
DrPass © (2006-07-11 15:09) [23]

> это где такая функция?

В ntdll.dll

← →
Cincinnut (2006-07-13 00:47) [24]

detected as EICAR test file
state Moved (Clean failed because the file isn"t cleanable)
Это McAfee. собственно эта строчка для этого и нужна - узнать что делает антивирус с вирусами.

← →
Gero © (2006-07-13 09:50) [25]

> [21] Rouse_ © (11.07.06 14:45)

Заинтриговал ) Скажи хоть, что произойдет, а то пробовать как-то страшно :)

← →
Der Nechk@ssoff © (2006-07-13 10:16) [26]

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Отрезаем то.что выделено и сейвим.

BitDefinder 8 rus заблокировал файл в момент и намертво: "доступ к файлу заблокирован, ваш компьютер не заражен".
Прибить файл удалось только принудительным перемещением в карантин и последующим удалением.

> Заинтриговал ) Скажи хоть, что произойдет, а то пробовать
> как-то страшно :)

Будет BSOD при попытке разименования четвертого параметра.

Rouse_ © (11.07.06 14:45) [21]

unit main; interface uses Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls; type TForm1 = class(TForm) Button1: TButton; procedure Button1Click(Sender: TObject); end; var Form1: TForm1; implementation uses NtDll, HsNtDef, NtUtils; {$R *.DFM} procedure TForm1.Button1Click(Sender: TObject); var Status: NTSTATUS; begin Status := NtOpenProcess(nil, 0, nil, nil); if not NT_SUCCESS(Status) then RaiseNtError(Status); end; end.

BSOD"а нет. Есть статус $C0000005 - Access Violation.

Я что-то сделал не так ?

> Я что-то сделал не так ?

Угу, как минимум не сказал какая версия стоит KAV :)
В самой свежей вроде как прикрыли данную дырку.

> Угу, как минимум не сказал какая версия стоит KAV

Никакой

Бууу... сказано же, в драйвере Касперского ошибка, он перехватывает ZwOpenProcess примерно таким образом:

NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId OPTIONAL) { if (ClientId->UniqueProcess == MyPid) return STATUS_ACCESS_DENIED; else return RealZwOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); }

Состветственно на ClientId->UniqueProcess BSOD

> Касперскому удавиться и сдохнуть.

LOL :)))))
Респект :)))))))

NtOpenProcess = NtOpenProcess ?

опечатка, хотел спросить
NtOpenProcess = ZwOpenProcess ?
это одно и тоже?

> это одно и тоже?

угу, одна из них валидная, вторая указывает на первую... Забыл кто есть какая... У Шрайбера вроде было описано.

Nt на Zw, а Zw -- в керналь. %-)

Строка, которую не любят антивирусы Найти похожие ветки