Реакция AV на SignFinder

Любопытные вести принёс сканер nod32.

Никаких официальных комментариев по утилите av-вендоры не давали, однако реакция   последовала.

Локальный сканер eset после проверки файлов выданных SignFinder’ом внезапно становится глух и слеп к сканированию новых файлов.

На видео показано как он детектирует файл, а после проверки папок от SignFinder’а не видит в упор копию ранее детектируемого. Более того даёт его исполнить!

Неужели AV боится подобных утилит?

Поиск причин

Сигнатуры eset плотно связаны с картой апи вызовов. Во время чистки сканируется файл с поврежденным импортом, в связи с чем детект на нём пропадает.

Версия первая

Затирание импорта толкуется им как попытка чистки сигнатур. После этого eset детектирует факт чистки и не реагирует на всё семейство сигнатур  этого вредоноса, дабы помешать крипторам.

Версия вторая

Это хитрый баг кеширования у сканера.

Заключение

Мы следим за развитием событий, однако при любой версии выглядит это не очень приятно.

2 thoughts on “Реакция AV на SignFinder

  1. это не баг это фича почти уверен, даже при ручном затирании байтов, после 3 сканов он всегда показывает что файл чистый минут на 20-30, затем опять виден детект, нод это головная боль 0_О

Добавить комментарий