PDA

Visualizza versione completa : Trojan Simulator 1.0


Macao
17-11-2004, 12.04.14
<p align="center"><img src="http://www.wintricks.it/wtstaff/loghi/Trojan%20Simulator.png"></p><br><br><br><br><p align="center"><strong><font color="#527bb5" size="4">Trojan Simulator 1.0</font></strong></p><p align="justify"><font size="2">Un seplice simulatore di Trojan per testare il nostro scanner &quot;anti-Trojan&quot;.</font></p><br><br><br><br><table cellspacing="2" cellpadding="2" border="0"><tbody><tr><td><img height="16" src="/image/icons/homeicon.gif" width="16"></td><td bgcolor="#527bb5"><font color="#ffffff" size="1"><b>Homepage:</b></font></td><td><font size="2"><a href="/framer.php?url=http://www.misec.net/trojansimulator/" target="_blank">Mischel Internet Security</a></font></td></tr><tr><td><img height="16" src="/image/icons/winflag.gif" width="16"></td><td bgcolor="#527bb5"><font color="#ffffff" size="1"><b>Sistema operativo:</b></font></td><td><font size="2">98/ME/NT/2000/XP</font></td></tr><tr><td><img height="16" src="/image/icons/progfolder.gif" width="16"></td><td bgcolor="#527bb5"><font color="#ffffff" size="1"><b>Licenza:</b></font></td><td><font size="2">Freeware</font></td></tr><tr><td><img height="16" src="/image/icons/filesize.gif" width="16"></td><td bgcolor="#527bb5"><font color="#ffffff" size="1"><b>Download:</b></font></td><td><font size="2"><a href="http://www.misec.net/products/TrojanSimulator.zip">Trojan Simulator 1.0</a> [ 315 Kb ]</font></td></tr></tbody></table><br><br><br><br>

Gigi75
17-11-2004, 15.25.18
Il fatto che il KAV non mi abbia segnalato nulla significa che è troppo furbo che ha capito che era una simulazione o troppo fesso e non si è accorto di nulla?

mah!:mm:

Thor
17-11-2004, 15.33.45
Originariamente inviato da Gigi75
Il fatto che il KAV non mi abbia segnalato nulla significa che è troppo furbo che ha capito che era una simulazione o troppo fesso e non si è accorto di nulla?

mah!:mm: mi sa la seconda..fosse davvero efficiente, dovrebbe accorgersi e dirti che è una specie di hoax..no?

Gigi75
17-11-2004, 15.39.27
Inizio a preoccuparmi!:eek:

Qualcuno che l'ha provato ed ha ottenuto l'effetto desiderato?

Frequency
17-11-2004, 23.14.09
il panda non me l'ha beccato...:mm:

Gigi75
17-11-2004, 23.56.09
mal comune..:p

Thor
17-11-2004, 23.58.30
se vi siete letti il readme..ecco degli stralci:

For years you have been able to test your virus scanner with the harmless "Eicar" test file. Using the just released "Trojan Simulator" you can now test your trojan scanner in the same manner, using a harmless demonstration trojan

When the Trojan Simulator server is installed, it will exist as an active process in memory. It will also have an autostart entry in the system registry. Most virus scanners are not that good at dealing with trojans, so it's likely that your virus scanner, if it detects the Trojan Simulator server, will neither be able to remove the process from memory nor be able to remove the registry entry. Any decent trojan scanner should take care of this if the server is detected.

quindi, non ci sarebbe da stupirsi se un antivirus non lo becca..
è più per uno scanner antitrojan in esecuzione.

Thor
18-11-2004, 00.02.47
per la cronaca, neppure eTrust EZ Antivirus lo becca.
non ho un antitrojan per testarlo, però.

Gigi75
18-11-2004, 00.05.05
Io ero arrivato alla parola "Eicar" (che però il KAV becca):)

...poi come ogni file readme degno di questo nome, l'ho lasciato perdere:D:D

Cmq la cosa non mi quadra.
Se è un simulatore allora non mi dire che un antivirus non lo beccherebbe
O non è un simulatore, e allora non capisco l'utilità.

Ma che sia un "come-trojan" ma non rilevabile dagli AV questo mi suona moltro strano.

Diciamo che è una stronzata e ci facciamo una risata va;)

Thor
18-11-2004, 00.15.35
Originariamente inviato da Gigi75
Diciamo che è una stronzata e ci facciamo una risata va;) non direi proprio che è una stronzata..il già citato readme è fonte di informazione:

Ways Trojan Simulator can be detected
-------------------------------------
When the Trojan Simulator server is installed, it will exist as an active process in memory. It will also have an autostart entry in the system registry. Most virus scanners are not that good at dealing with trojans, so it's likely that your virus scanner, if it detects the Trojan Simulator server, will neither be able to remove the process from memory nor be able to remove the registry entry. Any decent trojan scanner should take care of this if the server is detected.

The demo trojan server can be detected on the system in the following ways:

- By its file fingerprint.

The demo trojan server file, named TSServ.exe, has a unique fingerprint that can be used by security software to detect its presence on a system. The file is packed with the executable packer UPX to reduce its size and to further simulate the behavior of a real trojan. Trojan servers are often packed to avoid detection by security software - see the note below for more information about this.

- By its in-memory fingerprint.

Once TSServ.exe gets loaded into memory, it has a unique fingerprint in its code section. This can be used by security software to detect its presence in memory. Even though the server file is packed with the UPX executable packer, it always exists in memory in unpacked form. This means the fingerprint won't be the same as for the file on disk, but it also means that this is the perfect opportunity to detect the server, should a file scan have missed it.

- By the registry entry it creates

TSServ.exe creates an autostart entry in the Windows registry, under the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run. The name of the entry is "TrojanSimulator" (without the quotes), and its value is the path to TSServ.exe, enclosed in quotes ("), and followed by the /install parameter. The type of the entry is REG_SZ (standard registry string value).

Quindi, quelli sono i metodi con cui potrebbe essere beccato..

unexplained
18-11-2004, 00.18.20
ragazzi in fase di apertura del file zip Antivir Pe mi ha rilevato la presenza di qualcosa di losco.

Gigi75
18-11-2004, 00.18.55
Quindi diciamo che ci sono parecchi trojan (veri, non finti) che usando quei metodi potrebbero non essere rilevati dall'AV?

Continuo a non capire :mm:

Thor
18-11-2004, 00.20.32
Originariamente inviato da unexplained
ragazzi in fase di apertura del file zip Antivir Pe mi ha rilevato la presenza e questa è un'ottima cosa! (Y) ci puoi postare uno screenshot? :)

Gigi75
18-11-2004, 00.20.41
Originariamente inviato da unexplained
ragazzi in fase di apertura del file zip Antivir Pe mi ha rilevato la presenza

Oh a me nulla di nulla!

Vuoi vedere che ora butto KAV per Antivir va!:)

unexplained
18-11-2004, 00.25.41
ecco

unexplained
18-11-2004, 00.27.31
anzi scusate i file sono 2: TrojanSimulat.2 e TrojanSimulat.1

Thor
18-11-2004, 00.48.12
ottimo! ora mi piacerebbe sapere se Avast! e AVG, gli altri 2 AV free, ce la fanno anche loro..

qualcuno che provi? :)

Bico Bico
18-11-2004, 15.09.05
Originariamente inviato da Thor

quindi, non ci sarebbe da stupirsi se un antivirus non lo becca..
è più per uno scanner antitrojan in esecuzione.

Veramente gli antivirus rilevano molti + trojan degli anti-trojan (che di fatto sono completamente inutili).

E' un luogo comune abbastanza diffuso. Tutti gli anti-trojan, anche quelli + blasonati come i famosi Tauscan e The Cleaner, sono in realtà molto meno efficaci di un qualsiasi antivirus. E' abbastanza stupido installare un anti-trojan quando già si dispone di un antivirus.

Tanto x dirne una: il NAV, pur non essendo eccellente con trojan e derivati, supera di gran lunga The Cleaner, Tauscan, Swat-It e qualsiasi altro anti-trojan esistente...

Insomma, senza tanti giri: il vostro antivirus basta e avanza, gli anti-trojan non servono a una ceppa, non lasciatevi ingannare. :p

Bico Bico
18-11-2004, 15.15.15
Provate ad esaminare il file utilizzando questa scansione: http://virusscan.jotti.dhs.org/

In pratica scansiona uno stesso file utilizzando i motori di diversi antivirus; è interessante confrontare i risultati.

A quanto pare gli unici in grado di rilevare il file sono AntiVir PE, Kaspersky e BitDefender. ;)

Gigi75
18-11-2004, 15.15.47
Già è quello che pensavo anche io.

Sta di fatto che il KAV riposa tranquillo..:rolleyes:

Bico Bico
18-11-2004, 15.44.10
Originariamente inviato da Gigi75
Già è quello che pensavo anche io.

Sta di fatto che il KAV riposa tranquillo..:rolleyes:

Sicuro? Lo scanner on-line che ho linkato prima afferma che il KAV è in grado di rilevarlo...

a parte questo, il KAV è comunque uno dei migliori antivirus in commercio, ha una percentuale di rilevazione altissima, vicina al 100%, direi che non c'è da preoccuparsi se non segnala la presenza di questo Trojan Simulator mai visto e sentito in vita mia. E tra l'altro quasi tutti gli antivirus (a parte 2 o 3) non lo rilevano, quindi... :)

Gigi75
18-11-2004, 15.48.23
Originariamente inviato da Bico Bico


Sicuro? Lo scanner on-line che ho linkato prima afferma che il KAV è in grado di rilevarlo...
Sicuro, anche con la scansione sul file, compresso e non compresso. Nulla.

a parte questo, il KAV è comunque uno dei migliori antivirus in commercio, ha una percentuale di rilevazione altissima, vicina al 100%, direi che non c'è da preoccuparsi se non segnala la presenza di questo Trojan Simulator mai visto e sentito in vita mia. E tra l'altro quasi tutti gli antivirus (a parte 2 o 3) non lo rilevano, quindi... :)

Si tutto sommato sto tranquillo.
Un po' perchè i trojan non mi spaventano più di tanto, un po' perchè in effetti sto sw, come dici tu, non è mica rinomato.
C'è la beffa di Antivir, che è free, ma in ogni caso sono sempre soddisfatto del Kav;)

bYe Bico;)

Bico Bico
18-11-2004, 22.28.56
Ho provato con McAfee VirusScan, lo rileva anche lui come programma pericoloso.

Leopardo
19-11-2004, 13.42.23
Ciao a tutti!
anche sysclean aggiornato lo trova...
ma non lo dovrebbero rivelare anche ad-ware e spybot? o dico una cavolata...? comunque non lo trovano...
norton non lo prova; quando ho sottomano un'altro computer, provo con AVG 7
Ciao

Xtefano
19-11-2004, 15.11.44
Symantec Corporate 9.0, AdAware SE, Spybot e Avast 4.5 tutti aggiornatissimi all'ultima definizione: niente.
:(


Byez

Stefano

Bico Bico
19-11-2004, 15.51.09
Originariamente inviato da Leopardo
Ciao a tutti!
anche sysclean aggiornato lo trova...
ma non lo dovrebbero rivelare anche ad-ware e spybot? o dico una cavolata...? comunque non lo trovano...
norton non lo prova; quando ho sottomano un'altro computer, provo con AVG 7
Ciao

Ad-aware e SpyBot S&D sono prevalentemente degli anti-spyware, xché dovrebbero?

E poi non dimentichiamoci che stiamo parlando di un trojan finto, non reale. :)

Leopardo
21-11-2004, 01.51.32
mha...per farti un favoruccio...? :D
no, davvero, lo stavo domandando, data la mia ignoranza in materia...domani dovrei provare con AVG 7.

Ciao :)

Leopardo
24-11-2004, 00.56.31
Ciao a tutti!
AGV 7 non lo rivela...l'ho provato a scansionare in tutte le salse, ma nisba...
Ciao!