Перейти к содержанию
r-2-b-5

Что такое расширенная сигнатура?

Recommended Posts

r-2-b-5

[Сергей Ильин: тема выделена из обсуждения новой версии Warezov http://www.anti-malware.ru/phpbb/viewtopic.php?p=14134]

Коллеги, объясните, пожалуйста, понятие "расширенная сигнатура".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

Объясните, пожалуйста, понятие "расширенная сигнатура". Другую Вашу мысль я понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Корректно выбранная по мнению вирусных аналитиков. В реальности она может не выполнять (не надлежащим образом выполнять) "свои обязанности". За примерами далеко ходить не надо.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Позвольте вмещаться

Кусочек реальных баз DrWeb 2002 года, который был разослан вместе с обновлением.

CheckTrojanIframeExec#:for (i=7,++i,i<CurDat1) {  if (textd(i)!='<IFR') continue;  if (textd(i+4)!='AME ') continue;  if (textd(i+8)!='SRC=') continue;  if (textd(i+12)!='CID:') continue;  for (j=i+18,++j,j<i+18+CurDat2) {    if (textd(j)!='HEIG') continue;    if (textd(j+3)!='GHT=') continue;    if (byte textd(j+7)!='0') continue;    if (textd(j+8)!=' WID') continue;    if (textd(j+11)!='DTH=') continue;    if (byte textd(j+15)!='0') continue;    if (byte textd(j+16)!='>') continue;    if (byte textd(j+17)==0ah) ++j;    if (byte textd(j+17)!='<') continue;    if (textd(j+18)!='/IFR') continue;    if (textd(j+22)!='AME>') continue;    prnvir;    delete;    exit;  }}ret;end;

Если по-вашему, это сигнатура, то пусть это будет сигнатура, для меня это подпрограмма. Аналогичные вещи есть почти у всех. У кого-то в базах, у кого-то в движке. Но сут не меняется. Для большинства Generic пишется код, с помошью которого детектится много вирусов. Имя одно.

Если говорить о DrWeb и Warezov, то вот время обнаружения им предпоследне (Сегодня пошел новый вариант).

Время обнаружение нового варианта компанией CommTouch 2007-01-15 01:58 GMT

Разница по времени с обнаружением и добавлением детектирования в DrWeb 4:50 hrs. имя Win32.HLLM.Limar

Слегка модифицированный вариант 2007-01-15 03:24

Dr Web Win32.HLLM.Limar 3:24 hrs

Имя тоже. Все последующие модификации брались на имя Limar-based.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko

Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

Простите, а чем я вам не угодил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

Исходный текст обновлений, вместе с бинарной базой, был дважды разослан всем клиентам и лег на сервера обновлений в 2002 году. Сей факт могут подтвердить как и пользователи, так и сотрудники Доктор Вэб, которые работали в компании в 2002 году, если смелости хватит, конечно. А вот про воровство вы зря начали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Добавлено спустя 9 минут 36 секунд:

_Stout

К сожалению не поверю, что не дизассемблируете. Сотрудник Лаборатории Касперского прямо высказывается о том ,что собирается дизассемблировать D.Web. Прокомментируйте, пожалуйста, это сообщение http://www.anti-malware.ru/phpbb/viewtopic...ighlight=#13893

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

пардон, а где там про дисамблирование написано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Даже если это так? Все равно из листинга технологию не украсть. Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Что Вы хотите услышать? Да, кусок исходного кода попадал на область обновления как-то. Но я не считаю, что это повод для того, чтобы его публиковать в открытом доступе. Просто у каждого свои морали. Кто-то может что-то небольшое переступить "для иллюстрации своих мыслей", кто-то ничем не будет брезговать.

Добавлено спустя 2 минуты 32 секунды:

Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово :)

http://old.antivir.ru/forum/archive/305.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

Валерий, он свечку держал ;-) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово :)

http://old.antivir.ru/forum/archive/305.html

Хорошо, Вы меня убедили, не буду Вам верить. Поэтому на второй вопрос можно не отвечать, ситуация очевидна и отрицать ее было бы глупо.

Жаль, что Вашу ссылку не удалось прочитать, получаются только песочные часики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

[Форум пользователей DrWeb][Написать ответ]

--------------------------------------------------------------------------------

Отправлено A. Khalimonenko, 11:01:18 22/07/2002

в ответ на: 11-е обновление, отправлено aplet, 09:53:40 22/07/2002:

> Скачал drw42811.zip, а там кроме *.vdb еще скриптовый файл drw42811.vbs прилагается. Это что — ответ на тему: «Вирусная запись. Что это?» Раньше вроде исходники не выкладывали.

>

Похоже на то, что ответ 8-)

Бывало такое. Впрочем тут ничего страшного нет. Просто удалите этот файл и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

Alex_Goodwin

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

to _Stout

2002 год - это не тот ли, в котром ЛК "осчастливила" пользователей бетой 4.00 в "боевом релизе"? не напомните, сколько фиксов было сделано, чтоб это изделие заработало? Забавно, как "классно" тогда поддерживали корпоративных клиентов - только что на феншуй не посылали..... Кстати, тогда же старательно ЛК раскручивалась тема дискового ревизора, если память мне не изменяет...Не напомните?

Или вспоминать можно только про ошибки Dr.Web? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Это ответ на реплику _Stout c публикацией исходника. Во-первых, 2002 год. Во-вторых, очень некорректным это выглядит со стороны.

В 2002 году было масса багов, будем начинать вспоминать? Это, конечно, офф-топ, но не вынесла душа, когда извлекаются из шкафа забытые скелеты. У каждого есть свои скелеты- это не я сказал. Помощи в рассмотрении темы это не дало-однозначно, зачем делалось? Наступить на хвост другому вендору? А смысл какой?Сейчас можно начать разбор, кто, когда, какие кривые файлы засылал...2002 год для этого подходит, поскольку не многие помнят те события и хранят такие файлики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

http://secunia.com/search/?search=Kaspersky (Found 13)

Kaspersky Antivirus PE File Handling Denial of Service 2007-01-06

Kaspersky Labs Anti-Virus IOCTL Privilege Escalation 2006-10-20

Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability 2006-06-14

Kaspersky Anti-Virus Engine Malformed Archives Virus Detection Bypass 2005-10-13

Kaspersky Anti-Virus Engine CHM File Parsing Buffer Overflow 2005-10-11

Kaspersky Anti-Virus CAB Archive Handling Buffer Overflow 2005-10-04

Kaspersky Anti-Virus Insecure Log Directory Security Issue 2005-08-15

Kaspersky Anti-Virus "klif.sys" Privilege Escalation Vulnerability 2005-06-08

Kaspersky Anti-Virus Zip Archive Virus Detection Bypass Vulnerability 2004-10-20

Kaspersky Anti-Hacker Denial of Service 2003-03-21

Kaspersky Anti-Virus DoS and Filter Circumvention 2003-02-12

Multiple AV Products bzip2 Processing Denial of Service Vulnerability 2004-01-12

F-Secure Anti-Virus for Linux CHM File Parsing Buffer Overflow 2005-10-11 (...The vulnerability is caused due to a boundary error in the Kaspersky Anti-Virus (KAV) scan engine used by the product.)

http://secunia.com/search/?search=Dr.Web (Found 1)

Dr.Web LHA Directory Name Buffer Overflow 2006-09-20

И что вы видите тут забавного? То, что у ЛК есть что перечислять, и не безосновательно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Это ответ на реплику _Stout c публикацией исходника.

Выдрано из контекста. Реплика эта не была наездом на DrWeb. Сам исходник был приведён в рамках дискуссии о понятии "расширенная сигнатура". Не более того. А упоминание о том, что он ошибочно лёг на сервера обновлений, - это уже реакция _Stout на попытку уличить ЛК в краже исходников у многострадального DrWeb. Надеюсь, линки на посты приводить не нужно? Тема не большая, вернитесь назад на страничку...

Добавлено спустя 44 секунды:

Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

О! Очередное подтверждение моей реплики не заставило себя ждать! =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×