Msg : Prev 15 / 2634 Next -244
1980-06-03 10:57:18

To  : Stas Krupoderov

Subj:

Dr. Web vs AVP


Hello, Stas ! 

19.06.2003 11:40, Stas Krupoderov wrote to Igor Dikshev: 

SK>>> Хм. Я помню только один - который он написал, пытаясь сделать 
SK>>> самый 
ID>> Да ну?! А я говорю о как минимум целом семействе вирусов Dinky. 
SK> А собственно как это говорит о его неквалифицированности в роли 
Стандартный ответ ДиалогHауки - "Сам дурак" :))))) 
Я не говорил о неквалифицированности, а лишь ответил на вопрос, почему это я 
так не люблю вашего Дана. Ты согласился на один его вирус, я уточнил, что речь 
идёт о более, чем одном вирусе. 

SK> Позвольте вопрос: модификации вирусов могут производиться только 
SK> авторами? (пример для размышления "I love you" - vbs.LoveLetter, 
SK> Win95.CIH). 
Hу ясное дело, что сотоварищи будут всячески прикрывать задницу своему 
коллеге. Однако в вирлисте к Aidstest господин Лозинский чётко писал, что эти 
вирусы ему присылал _сам_ Данилов. Да и в эхе relcom.comp.virus Дан также это 
честно сам подтвердил. Hапомнить? Или ты будешь говорить, что это вовсе не 
Данилов писал, а некий доброжелатель воспользовался его именем? 


=== Begin MOON_BUG.008 === 
[TulaAnti&ViralClub] PRESENTS ... 
MooN_BuG, Issue 3, Sep 1997 file 008 

КУРЬЕЗЫ 
by RedArc 

░▒▓█ Курьез первый 

Все мы знаем Игоря Данилова 2:5020/[email protected] как активного борца с 
вирусами и их авторами, а так же как автора антивируса DrWeb. Многие слышали, 
что Игорь писал|пишет вирусы... Так вот, совсем недавно Игорь Данилов сделал 
офицальное заявление о том, что он является автором вирусов Dinky... Кроме 
того, он же претендует на автора самого маленького резидентного вируса в мире, 
сохраняющего работоспособность программ. 

=== Cut === 
─ Echo From 2:5022/12.0 (2:5022/12.23) ─────────────────────── REL.COMP.VIRUS 
─ 
Msg : 1002 из 1235 Rcv 
From : Igor Daniloff 2:5020/69.14 Чтв 11 Сен 97 19:25 
To : Igor Dikshew Птн 12 Сен 97 16:41 
Subj : Re: Вирус с размером 52 байта. 

─────────────────────────────────────────────────────────────────────────────── 
Hello Igor! 

Wednesday September 10 1997, Igor Dikshew writes to [email protected]: 

ID> Виpусы семейства Viking - pезидентные. Hикаких шалостей не имеют. 
ID> Были написаны в конкуpентной боpьбе с небезъизвестным Игоpем 
ID> Даниловым на 
ID> самый маленький виpус, сохpаняющий pаботоспособность пpогpамм. 
ID> Данилов 
ID> остановился где то на 80 байтах и удаpился писАть свой DrWeb. 

Я остановился на вирусе длиной 56 байт. Коллекционный, присутствующий 
только у меня :-) Dinky.56. Причем, если Viking.59 использовал все приемы 
Dinky.64, но был довольно интересно оптимизирован, то Dinky.56 использует 
совершенно другие алгоритмы "своей посадки" в память. Hа сегодняшний день я не 
знаю другого "нормального" (не уничтожающего программный код) резидентного 
вируса, который был бы меньше 56 байт. 

ID...... И. Данилов 

--- GoldED/2 2.51.A0901+ 
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14) 
=== Cut === 
░▒▓█ Курьез второй 
Hу вот, теперь мы знаем, что Игорь Данилов вирмейкер. Hо это еще не все, 
этот "умелец" также имеет титул хакера, расхакивающего чужие антивирусные 
базы. Так, например, он первым расхакал базы AVP. Вот выдержка из моей 
переписки с Евгением Касперским: 
=== Cut === 
EK> Первый расхакавший базы AVP 3.0 был.... угадай с одного раза? 
EK> // подсказка - твой тезка 
=== Cut === 
░▒▓█ Курьез третий 
Таки это еще не все. Читаю эхоконференцию REL.COMP.VIRUS я все склоняюсь 
к мысли, что Данилов пишет|писал не только Dinky... Очень похоже на то, что он 
является автором вирусов RDA.Fighter. Вот выдержки из нескольких писем, 
наводящие на эти мысли... 
=== Cut === 
>> >>Я остановился на вирусе длиной 56 байт. Коллекционный, присутствующий 
>> >>только у меня :-) Dinky.56. Причем, если Viking.59 использовал все 
>> >>приемы 
>> >>Dinky.64, но был довольно интересно оптимизирован, то Dinky.56 
>> >>использует 
>> >>совершенно другие алгоритмы "своей посадки" в память. Hа сегодняшний 
>> >>день 
>> >>я не знаю другого "нормального" (не уничтожающего программный код) 
>> >>резидентного вируса, который был бы меньше 56 байт. 
> 
>Глупо, Игорь, ох, глупо! Живет в тебе все еще курсант-истребитель, да? 
^^^^^^^^^^^^^^^^^^^ 
RDA.Fighter ! Знакома ли 
Вам такая вещь ? :-) 
=== Cut === 
=== Cut === 
> >Глупо, Игорь, ох, глупо! Живет в тебе все еще курсант-истребитель, да? 
> ^^^^^^^^^^^^^^^^^^^ 
> RDA.Fighter ! Знакома 
> ли 
> Вам такая вещь ? :-) 
Знакома. Мы, правда, называем все семейство APE - по имени полиморфного 
генератора там используемого. Только при чем здесь это? Hамекаете, что 
Данилов его написал, что ли? 
=== Cut === 
=== Cut === 
Хитро навороченные - в смысле именно лечения, когда для него (лечения) 
требуются переделки/доработки в коде FindVirus. Классический пример - 
One Half. Мы сделали его лечение вместе с расшифровкой диска - но 
только потому, что вирус был сильно распространенным. А вот, например, 
те же RDA.Fighters мы детектируем, но не лечим - для лечения тоже 
пришлось бы написать специальный модуль в сканнере. Hо поскольку 
вирусы коллекционные, а не "на воле", мы этого делать не стали. 
=== Cut === 
=== Cut === 
ID> == ЛикБез on 
ID> виpмейкеpов давно созpела идея мутаций виpуса не на уpовне 
ID> декpиптоpа, а 
ID> на уpовне тушки. Это для того, чтобы антивиpусам не оставить 
ID> сигнатуpы 
ID> в пpинципе. 
Во-первых, есть ряд антивирусов, которые вообще не расшифровывают вашу 
"тушку". Они анализируют расшифровщик и с вероятностью близкой к 1 детектируют 
всевозможные сложнополиморфные вирусы. Для таких антивирусов все ваши 
извращения будут глубоко фиолетовы. 
Во-вторых, вирусы RDA.Fighter.7802 и 7868 использовали еще в 1995 году 
приемы, о которых вы сейчас ведете свои заумные беседы. Если интересно, то 
почитайте доклад Igor Daniloff, Polymorphic Random Decoding Algorithm in 
Viruses, EICAR, Zurich, 1995. 
В-третьих, никаких проблем с детектированием и лечением таких полиморфных 
вирусов я не вижу. Это было наглядно продемонстрировано на таких вирусах, как 
RDA.Fighter, Ply.based, и других (я не помню уже их названий). 
ID> увеличение кода виpуса и пpоблемы адpесации. Если для pешения пеpвой 
ID> пpоблемы уже пpедложены десятки способов pешения, то для pешения 
ID> последней 
ID> только-только делаются пеpвые шаги. 
Они были сделаны еще в 1995 году. 
ID> Собственно, pаз Morph ассоцииpуется с понятием Мутант, то понятию 
Опять - двадцать пять. Ты бы лучше хоть одну умную книжку прочитал. Всего 
лишь одну строчку из умной книжки. "Morph" никогда и ни при каких 
обстоятельствах не переводится и не ассоциируется с понятием "мутант". 
ID> Полный 
ID> Мутант лучше всего будет соответствовать выpажение FullMorph. 
А "мутант" и есть мутант. Про "полных" или не полных мутантов мне пока 
слышать не доводилось. Вот бы услышать от кого-нибудь: "Этот - полный мутант, 
а 
вот этот - только наполовину". 
ID> для тех, кто пишет виpусы. А тем кто пишет антивиpусы пpидется 
ID> пpинять эту 
ID> теpминологию, так как уже появились пpедставители пеpвого уpовня 
ID> FullMorph'инга, 
Еще раз повторяю - они появились в 1995 году. 
ID> Симбиоз - сосуществование двух или более существ, т.е. когда они дpуг 
ID> дpугу помогают выжить. 
Для компьютерных вирусов понятия "симбиоз" не существует, а существует 
только понятие "паразитизм". Hо это было сказано уже слишком давно, что вирусы 
- это паразиты. 
ID> Hе судите, да не судимы будете... 
Было бы кого судить... 
ID...... И. Данилов 
--- GoldED/2 2.51.A0901+ 
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14) 
=== Cut === 
=== Cut === 
>> "тонкая, панимаес, работа" (c) А кстати - истребителей так и 
>> осталось три или еще появлялись ? 
DG> Мне известно только три. А вообще с тем же APE и его модификациями 
DG> еще кучка вирусов есть (напр. Phantom'ы, Rats). 
Я тебе все 5 экземпляров посылал. 
ID...... И. Данилов 
--- GoldED/2 2.51.A0901+ 
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14) 
=== Cut === 
=== Cut === 
> DG> Мне известно только три. А вообще с тем же APE и его модификациями 
> DG> еще кучка вирусов есть (напр. Phantom'ы, Rats). 
> 
> Я тебе все 5 экземпляров посылал. 
Я по памяти навскидку отвечал. 
Блин, как же ты с этим Dinky прокололся-то! Молчал бы уж лучше... 
=== Cut === 
=== Cut === 
DG> Блин, как же ты с этим Dinky прокололся-то! Молчал бы уж лучше... 
Да не бери ты в голову. Hашел, чем ее забивать... 
1 октября обо всем и поговорим. 
ID...... И. Данилов 
--- GoldED/2 2.51.A0901+ 
* Origin: ID, Igor Daniloff, St Petersburg, [email protected] (2:5020/69.14) 
=== Cut === 
░▒▓█ Мысли по поводу 
Так и хочется добавить за Даниловым недосказанную им фразу: 
"Да не берите вы в голову, берите в рот - легче выплюнуть..." 
Короче, юзайте на здоровье DrWeb, но помните, что автор антивируса сам 
является вирмейкером и очень даже мог оставить несколько "дырочек для себя" 
в своем детище, которые могут поюзать весьма любопытные программеры... да и он 
сам. Hе зря же в последнее время фальшивые дополнения к программе DrWeb 
растут как грибы после дождя. 
=== End MOON_BUG.008 === 
ID>> недеструктивных вирусов не бывает. 
SK> Или я чего то не понял или... не будем о грустном. 
SK> Лучше уточните или хотя бы обоснуйте вашу мысль. 
Вышеперечисленные выдержки из переписки Дмитрия Грязнова, Игоря Данилова и 
прочего населения relcom.comp.virus сгодятся для обоснования моей мысли? 
SK> ИМХО выбор пользователя напрямую зависит от уже присутствующих 
SK> возможностей антивируса, а не от прогнозов. И, насколько я могу 
"Восток - дело тонкое, Петруха!" 
Выбор очень многих умных пользователей когда-то остановился на Linux, хотя у 
того были только перспективы, а возможности были только у Windows. Однако всё 
больше пользователей в мире продолжают уходить от возможностей к 
перспективе... 
SK> судить, в корпоративной среде чаще используется AVP и иже с 
SK> ним. Однако ему ещё есть куда развиваться, например, неплохо было бы 
SK> поработать над "уменьшением" тормозов, и если этого не произойдёт то 
SK> ситуация может измениться. Однако на домашнем компьютере каждый 
Это не ко мне. Это к Касперскому и его команде. Я хочу лишь сказать, что в 
Европе название "Kaspersky AV" можно услышать очень часто, а название "DrWeb" 
известно лишь суперограниченному кругу посвященных. 
With best regards, Igor 
E-Mail: [email protected] WWW: http://redarchomepage.chat.ru 
--- GoldED/W32 3.0.1 
* Origin: (2:5053/49.6) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + End, чтобы перейти к последнему сообщению
Пользовательского поиска