Вопрос по классификации имён детектов - Symantec - комплексная информационная безопасность - Форумы Anti-Malware.ru Перейти к содержанию
K_Mikhail

Вопрос по классификации имён детектов

Автор K_Mikhail, в Symantec - комплексная информационная безопасность

Recommended Posts

K_Mikhail    807

K_Mikhail
Опубликовано

Интересует суть следующих детектов:

WS.Reputation.x

Suspicious.Cloud.x, где х - число.

В чём принципиальная разница в этих детектах, в каких пределах может меняться число х для каждого из них?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано

Судя по типу, первый детект это скорее всего отсутствие надежной репутации(например новый файл который еще не зарекомендовал себя с "хорошей" стороны в облаке)

Второй тип, это после того как файл был проанализирован облаком в нем были выявленные некие подозрительные характеристики, например размер файла от 5 до 100 КБ, в тоже время файл упакован, в тоже время он скрыт(файловые атрибуты скрытый, системный) и.т.д.

Насчет изменения чисел x, не уверен, но скорее всего облачные сигнатуры - это наборы совпадений подозрительных характеристик в том или ином файле. Сказать что именно эти цифры значат сможет только вирусный аналитик работающий в SSRT(Symantec Security Responce Team)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано

Я полистал официальные ресурсы Симы -- к их описаниям предмета больше вопросов, чем желания сказать "Спасибо, я получил ответ на свой вопрос". Из названий -- да, можно сделать примерные прикидки сути, но лучше знать наверняка. А с этим-то как раз сложности...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Symantec - комплексная информационная безопасность

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      Новые функции в Universal Virus Sniffer (uVS)

      От santy · Опубликовано

      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Год от года фактически постоянно можно наблюдать ... такого рода записи C:\ProgramData\Google\Chrome\updater.exe PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE APPDATA\LOCAL\360EXTREMEBROWSER\CHROME C:\ProgramData\Google\Chrome\helper.exe Предлагаю все записи где фигурирует Chrome - добавить  к Категории: Chromium-based Да... это другое... Это, как правило имитация ( но имеющая отношение ) так какой смысл в отдельных записях, если всё это можно собрать в одной категории.  
×