Что такое расширенная сигнатура?

[r-2-b-5 0]

[Сергей Ильин: тема выделена из обсуждения новой версии Warezov http://www.anti-malware.ru/phpbb/viewtopic.php?p=14134]

Коллеги, объясните, пожалуйста, понятие "расширенная сигнатура".

[_Stout 131]

И ловится старой .based записью.

Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

[r-2-b-5 0]

И ловится старой .based записью.

Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

Объясните, пожалуйста, понятие "расширенная сигнатура". Другую Вашу мысль я понял.

[Николай Головко 70]

Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно?

[r-2-b-5 0]

Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно?

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

[Mr. Justice 771]

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Корректно выбранная по мнению вирусных аналитиков. В реальности она может не выполнять (не надлежащим образом выполнять) "свои обязанности". За примерами далеко ходить не надо.

[_Stout 131]

Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно?

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Позвольте вмещаться

Кусочек реальных баз DrWeb 2002 года, который был разослан вместе с обновлением.

CheckTrojanIframeExec#:for (i=7,++i,i<CurDat1) {  if (textd(i)!='<IFR') continue;  if (textd(i+4)!='AME ') continue;  if (textd(i+8)!='SRC=') continue;  if (textd(i+12)!='CID:') continue;  for (j=i+18,++j,j<i+18+CurDat2) {    if (textd(j)!='HEIG') continue;    if (textd(j+3)!='GHT=') continue;    if (byte textd(j+7)!='0') continue;    if (textd(j+8)!=' WID') continue;    if (textd(j+11)!='DTH=') continue;    if (byte textd(j+15)!='0') continue;    if (byte textd(j+16)!='>') continue;    if (byte textd(j+17)==0ah) ++j;    if (byte textd(j+17)!='<') continue;    if (textd(j+18)!='/IFR') continue;    if (textd(j+22)!='AME>') continue;    prnvir;    delete;    exit;  }}ret;end;

Если по-вашему, это сигнатура, то пусть это будет сигнатура, для меня это подпрограмма. Аналогичные вещи есть почти у всех. У кого-то в базах, у кого-то в движке. Но сут не меняется. Для большинства Generic пишется код, с помошью которого детектится много вирусов. Имя одно.

Если говорить о DrWeb и Warezov, то вот время обнаружения им предпоследне (Сегодня пошел новый вариант).

Время обнаружение нового варианта компанией CommTouch 2007-01-15 01:58 GMT

Разница по времени с обнаружением и добавлением детектирования в DrWeb 4:50 hrs. имя Win32.HLLM.Limar

Слегка модифицированный вариант 2007-01-15 03:24

Dr Web Win32.HLLM.Limar 3:24 hrs

Имя тоже. Все последующие модификации брались на имя Limar-based.

[Sergeyko 0]

Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

[_Stout 131]

Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

Простите, а чем я вам не угодил?

[r-2-b-5 0]

_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

[_Stout 131]

_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

Исходный текст обновлений, вместе с бинарной базой, был дважды разослан всем клиентам и лег на сервера обновлений в 2002 году. Сей факт могут подтвердить как и пользователи, так и сотрудники Доктор Вэб, которые работали в компании в 2002 году, если смелости хватит, конечно. А вот про воровство вы зря начали.

[r-2-b-5 0]

_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Добавлено спустя 9 минут 36 секунд:

_Stout

К сожалению не поверю, что не дизассемблируете. Сотрудник Лаборатории Касперского прямо высказывается о том ,что собирается дизассемблировать D.Web. Прокомментируйте, пожалуйста, это сообщение http://www.anti-malware.ru/phpbb/viewtopic...ighlight=#13893

[Ego1st 95]

пардон, а где там про дисамблирование написано?

[Storm 0]

Даже если это так? Все равно из листинга технологию не украсть. Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

[Valery Ledovskoy 1082]

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Что Вы хотите услышать? Да, кусок исходного кода попадал на область обновления как-то. Но я не считаю, что это повод для того, чтобы его публиковать в открытом доступе. Просто у каждого свои морали. Кто-то может что-то небольшое переступить "для иллюстрации своих мыслей", кто-то ничем не будет брезговать.

Добавлено спустя 2 минуты 32 секунды:

Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

[_Stout 131]

_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово

http://old.antivir.ru/forum/archive/305.html

[nobody.nogroup 0]

Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

Валерий, он свечку держал ;-) .

[r-2-b-5 0]

_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово

http://old.antivir.ru/forum/archive/305.html

Хорошо, Вы меня убедили, не буду Вам верить. Поэтому на второй вопрос можно не отвечать, ситуация очевидна и отрицать ее было бы глупо.

Жаль, что Вашу ссылку не удалось прочитать, получаются только песочные часики.

[Alex_Goodwin 81]

[Форум пользователей DrWeb][Написать ответ]

--------------------------------------------------------------------------------

Отправлено A. Khalimonenko, 11:01:18 22/07/2002

в ответ на: 11-е обновление, отправлено aplet, 09:53:40 22/07/2002:

> Скачал drw42811.zip, а там кроме *.vdb еще скриптовый файл drw42811.vbs прилагается. Это что — ответ на тему: «Вирусная запись. Что это?» Раньше вроде исходники не выкладывали.

>

Похоже на то, что ответ 8-)

Бывало такое. Впрочем тут ничего страшного нет. Просто удалите этот файл и все.

[r-2-b-5 0]

Alex_Goodwin

Спасибо!

[alexgr 556]

to _Stout

2002 год - это не тот ли, в котром ЛК "осчастливила" пользователей бетой 4.00 в "боевом релизе"? не напомните, сколько фиксов было сделано, чтоб это изделие заработало? Забавно, как "классно" тогда поддерживали корпоративных клиентов - только что на феншуй не посылали..... Кстати, тогда же старательно ЛК раскручивалась тема дискового ревизора, если память мне не изменяет...Не напомните?

Или вспоминать можно только про ошибки Dr.Web?

[Dmitry Perets 30]

Или вспоминать можно только про ошибки Dr.Web?

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

[alexgr 556]

Или вспоминать можно только про ошибки Dr.Web?

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Это ответ на реплику _Stout c публикацией исходника. Во-первых, 2002 год. Во-вторых, очень некорректным это выглядит со стороны.

В 2002 году было масса багов, будем начинать вспоминать? Это, конечно, офф-топ, но не вынесла душа, когда извлекаются из шкафа забытые скелеты. У каждого есть свои скелеты- это не я сказал. Помощи в рассмотрении темы это не дало-однозначно, зачем делалось? Наступить на хвост другому вендору? А смысл какой?Сейчас можно начать разбор, кто, когда, какие кривые файлы засылал...2002 год для этого подходит, поскольку не многие помнят те события и хранят такие файлики.

[K_Mikhail 807]

Или вспоминать можно только про ошибки Dr.Web?

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

http://secunia.com/search/?search=Kaspersky (Found 13)

Kaspersky Antivirus PE File Handling Denial of Service 2007-01-06

Kaspersky Labs Anti-Virus IOCTL Privilege Escalation 2006-10-20

Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability 2006-06-14

Kaspersky Anti-Virus Engine Malformed Archives Virus Detection Bypass 2005-10-13

Kaspersky Anti-Virus Engine CHM File Parsing Buffer Overflow 2005-10-11

Kaspersky Anti-Virus CAB Archive Handling Buffer Overflow 2005-10-04

Kaspersky Anti-Virus Insecure Log Directory Security Issue 2005-08-15

Kaspersky Anti-Virus "klif.sys" Privilege Escalation Vulnerability 2005-06-08

Kaspersky Anti-Virus Zip Archive Virus Detection Bypass Vulnerability 2004-10-20

Kaspersky Anti-Hacker Denial of Service 2003-03-21

Kaspersky Anti-Virus DoS and Filter Circumvention 2003-02-12

Multiple AV Products bzip2 Processing Denial of Service Vulnerability 2004-01-12

F-Secure Anti-Virus for Linux CHM File Parsing Buffer Overflow 2005-10-11 (...The vulnerability is caused due to a boundary error in the Kaspersky Anti-Virus (KAV) scan engine used by the product.)

http://secunia.com/search/?search=Dr.Web (Found 1)

Dr.Web LHA Directory Name Buffer Overflow 2006-09-20

И что вы видите тут забавного? То, что у ЛК есть что перечислять, и не безосновательно?

[Dmitry Perets 30]

Это ответ на реплику _Stout c публикацией исходника.

Выдрано из контекста. Реплика эта не была наездом на DrWeb. Сам исходник был приведён в рамках дискуссии о понятии "расширенная сигнатура". Не более того. А упоминание о том, что он ошибочно лёг на сервера обновлений, - это уже реакция _Stout на попытку уличить ЛК в краже исходников у многострадального DrWeb. Надеюсь, линки на посты приводить не нужно? Тема не большая, вернитесь назад на страничку...

Добавлено спустя 44 секунды:

Или вспоминать можно только про ошибки Dr.Web?

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

О! Очередное подтверждение моей реплики не заставило себя ждать! =)