Перейти к содержанию
r-2-b-5

Что такое расширенная сигнатура?

Recommended Posts

r-2-b-5

[Сергей Ильин: тема выделена из обсуждения новой версии Warezov http://www.anti-malware.ru/phpbb/viewtopic.php?p=14134]

Коллеги, объясните, пожалуйста, понятие "расширенная сигнатура".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
И ловится старой .based записью.
Ну я б не сказал что старой, просто .BASED обозначает общую базу (расширенную сигнатуру - вернее наверно так будет) для нескольких различных модификаций данного малвара, чтобы не выпускать каждый раз новую под новый вид...

То есть запись новую не выпускали, ловят старой, что я и говорил. Объясните, пожалуйста, понятие "расширенная сигнатура".

Коллега, если вирус первые часы не ловится, а после обновления начинает ловиться, но имя старое, это по-вашему что? Старая запись или новая?

Объясните, пожалуйста, понятие "расширенная сигнатура". Другую Вашу мысль я понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Корректно выбранная по мнению вирусных аналитиков. В реальности она может не выполнять (не надлежащим образом выполнять) "свои обязанности". За примерами далеко ходить не надо.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Расширенная сигнатура - это когда в сигнатуру включен кусок кода, характерный не для одной конкретной разновидности вируса, а всего семейства, к которому он принадлежит.

Так понятно? :D

То есть расширенная сигнатура - это всего лишь корректно выбранная сигнатура , которая позволяет не добавлять каждую разновидность вируса. Тогда получается я прав в своем замечании?

Позвольте вмещаться

Кусочек реальных баз DrWeb 2002 года, который был разослан вместе с обновлением.

CheckTrojanIframeExec#:for (i=7,++i,i<CurDat1) {  if (textd(i)!='<IFR') continue;  if (textd(i+4)!='AME ') continue;  if (textd(i+8)!='SRC=') continue;  if (textd(i+12)!='CID:') continue;  for (j=i+18,++j,j<i+18+CurDat2) {    if (textd(j)!='HEIG') continue;    if (textd(j+3)!='GHT=') continue;    if (byte textd(j+7)!='0') continue;    if (textd(j+8)!=' WID') continue;    if (textd(j+11)!='DTH=') continue;    if (byte textd(j+15)!='0') continue;    if (byte textd(j+16)!='>') continue;    if (byte textd(j+17)==0ah) ++j;    if (byte textd(j+17)!='<') continue;    if (textd(j+18)!='/IFR') continue;    if (textd(j+22)!='AME>') continue;    prnvir;    delete;    exit;  }}ret;end;

Если по-вашему, это сигнатура, то пусть это будет сигнатура, для меня это подпрограмма. Аналогичные вещи есть почти у всех. У кого-то в базах, у кого-то в движке. Но сут не меняется. Для большинства Generic пишется код, с помошью которого детектится много вирусов. Имя одно.

Если говорить о DrWeb и Warezov, то вот время обнаружения им предпоследне (Сегодня пошел новый вариант).

Время обнаружение нового варианта компанией CommTouch 2007-01-15 01:58 GMT

Разница по времени с обнаружением и добавлением детектирования в DrWeb 4:50 hrs. имя Win32.HLLM.Limar

Слегка модифицированный вариант 2007-01-15 03:24

Dr Web Win32.HLLM.Limar 3:24 hrs

Имя тоже. Все последующие модификации брались на имя Limar-based.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko

Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Модеры, а не забанить ли вам никишина? Ну или его сообщение убрать?

Сомневаюсь, что сделаете это, конечно, но тогда переименуйтесь уже во что-нибудь более подходящее.

Простите, а чем я вам не угодил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

И часто Лаборатория Касперского ворует коды Dr.Web и занимается его дизаасемблированием?

Исходный текст обновлений, вместе с бинарной базой, был дважды разослан всем клиентам и лег на сервера обновлений в 2002 году. Сей факт могут подтвердить как и пользователи, так и сотрудники Доктор Вэб, которые работали в компании в 2002 году, если смелости хватит, конечно. А вот про воровство вы зря начали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Добавлено спустя 9 минут 36 секунд:

_Stout

К сожалению не поверю, что не дизассемблируете. Сотрудник Лаборатории Касперского прямо высказывается о том ,что собирается дизассемблировать D.Web. Прокомментируйте, пожалуйста, это сообщение http://www.anti-malware.ru/phpbb/viewtopic...ighlight=#13893

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

пардон, а где там про дисамблирование написано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm

Даже если это так? Все равно из листинга технологию не украсть. Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Что Вы хотите услышать? Да, кусок исходного кода попадал на область обновления как-то. Но я не считаю, что это повод для того, чтобы его публиковать в открытом доступе. Просто у каждого свои морали. Кто-то может что-то небольшое переступить "для иллюстрации своих мыслей", кто-то ничем не будет брезговать.

Добавлено спустя 2 минуты 32 секунды:

Ведь уязвимость обнаруженная сотрудником Др. Веб`а найдена не без помощи дизассемблера.

Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово :)

http://old.antivir.ru/forum/archive/305.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody.nogroup
Вы рядом стоЯли? Я не думаю, что до той уязвимости нельзя было додуматься без дизассемблирования.

Валерий, он свечку держал ;-) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5
_Stout

Поверю Вам на слово, сотрудников DrWeb, к сожалению, здесь не видно. Если есть отзовитесь!

Никому не надо верить на слово :)

http://old.antivir.ru/forum/archive/305.html

Хорошо, Вы меня убедили, не буду Вам верить. Поэтому на второй вопрос можно не отвечать, ситуация очевидна и отрицать ее было бы глупо.

Жаль, что Вашу ссылку не удалось прочитать, получаются только песочные часики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

[Форум пользователей DrWeb][Написать ответ]

--------------------------------------------------------------------------------

Отправлено A. Khalimonenko, 11:01:18 22/07/2002

в ответ на: 11-е обновление, отправлено aplet, 09:53:40 22/07/2002:

> Скачал drw42811.zip, а там кроме *.vdb еще скриптовый файл drw42811.vbs прилагается. Это что — ответ на тему: «Вирусная запись. Что это?» Раньше вроде исходники не выкладывали.

>

Похоже на то, что ответ 8-)

Бывало такое. Впрочем тут ничего страшного нет. Просто удалите этот файл и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
r-2-b-5

Alex_Goodwin

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

to _Stout

2002 год - это не тот ли, в котром ЛК "осчастливила" пользователей бетой 4.00 в "боевом релизе"? не напомните, сколько фиксов было сделано, чтоб это изделие заработало? Забавно, как "классно" тогда поддерживали корпоративных клиентов - только что на феншуй не посылали..... Кстати, тогда же старательно ЛК раскручивалась тема дискового ревизора, если память мне не изменяет...Не напомните?

Или вспоминать можно только про ошибки Dr.Web? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Это ответ на реплику _Stout c публикацией исходника. Во-первых, 2002 год. Во-вторых, очень некорректным это выглядит со стороны.

В 2002 году было масса багов, будем начинать вспоминать? Это, конечно, офф-топ, но не вынесла душа, когда извлекаются из шкафа забытые скелеты. У каждого есть свои скелеты- это не я сказал. Помощи в рассмотрении темы это не дало-однозначно, зачем делалось? Наступить на хвост другому вендору? А смысл какой?Сейчас можно начать разбор, кто, когда, какие кривые файлы засылал...2002 год для этого подходит, поскольку не многие помнят те события и хранят такие файлики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

http://secunia.com/search/?search=Kaspersky (Found 13)

Kaspersky Antivirus PE File Handling Denial of Service 2007-01-06

Kaspersky Labs Anti-Virus IOCTL Privilege Escalation 2006-10-20

Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability 2006-06-14

Kaspersky Anti-Virus Engine Malformed Archives Virus Detection Bypass 2005-10-13

Kaspersky Anti-Virus Engine CHM File Parsing Buffer Overflow 2005-10-11

Kaspersky Anti-Virus CAB Archive Handling Buffer Overflow 2005-10-04

Kaspersky Anti-Virus Insecure Log Directory Security Issue 2005-08-15

Kaspersky Anti-Virus "klif.sys" Privilege Escalation Vulnerability 2005-06-08

Kaspersky Anti-Virus Zip Archive Virus Detection Bypass Vulnerability 2004-10-20

Kaspersky Anti-Hacker Denial of Service 2003-03-21

Kaspersky Anti-Virus DoS and Filter Circumvention 2003-02-12

Multiple AV Products bzip2 Processing Denial of Service Vulnerability 2004-01-12

F-Secure Anti-Virus for Linux CHM File Parsing Buffer Overflow 2005-10-11 (...The vulnerability is caused due to a boundary error in the Kaspersky Anti-Virus (KAV) scan engine used by the product.)

http://secunia.com/search/?search=Dr.Web (Found 1)

Dr.Web LHA Directory Name Buffer Overflow 2006-09-20

И что вы видите тут забавного? То, что у ЛК есть что перечислять, и не безосновательно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Это ответ на реплику _Stout c публикацией исходника.

Выдрано из контекста. Реплика эта не была наездом на DrWeb. Сам исходник был приведён в рамках дискуссии о понятии "расширенная сигнатура". Не более того. А упоминание о том, что он ошибочно лёг на сервера обновлений, - это уже реакция _Stout на попытку уличить ЛК в краже исходников у многострадального DrWeb. Надеюсь, линки на посты приводить не нужно? Тема не большая, вернитесь назад на страничку...

Добавлено спустя 44 секунды:

Или вспоминать можно только про ошибки Dr.Web? :P

Забавно =) На этом форуме последние полгода только и делают, что перечисляют ошибки ЛК, каждый раз при этом жалуясь, что ЛК только и делает, что перечисляет ошибки конкурентов на этом форуме...

Простой поиск по сайту датской компании Secunia:

О! Очередное подтверждение моей реплики не заставило себя ждать! =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×