Перейти к содержанию
grovana

Malware naming scheme

Recommended Posts

grovana

Подкажите пожалуйста сабж для популярных антивирусов (КАВ, др.веб и т.д.). Интересуют возможные значения полей и их смысл. Недавно встречал такое для Др.Веб, но не могу найти. Помогите ссылками и инфой. Заранее всем спасибо.

Добавлено спустя 17 минут 18 секунд:

Делюсь инфой по возможным значениям поля Type (по CARO-naming scheme) для KAV (взято из verdicts.ini):

Trojan-ArcBombBackdoorTrojanTrojan-AOLTrojan-ClickerTrojan-DownloaderTrojan-Dropper;Trojan-MSNTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyTrojan-DDoSTrojan-IMRootKitTrojan-SMSEmail-WormIM-WormIRC-WormNet-WormP2P-WormWormVirusConstructorDoSExploitFileCryptorFlooderHackToolnot-virus:Hoaxnot-virus:BadJokeNukerPolyCryptorPolyEngineSnifferSpamToolSpooferVirToolEmail-FlooderIM-FlooderSMS-Floodernot-a-virus:AdWarenot-a-virus:Porn-Dialernot-a-virus:Porn-Downloadernot-a-virus:Porn-Toolnot-a-virus:Toolnot-a-virus:Client-IRCnot-a-virus:Dialernot-a-virus:Downloadernot-a-virus:Monitornot-a-virus:PSWToolnot-a-virus:RemoteAdminnot-a-virus:Server-FTPnot-a-virus:Server-Proxynot-a-virus:Server-Telnetnot-a-virus:Server-Webnot-a-virus:RiskToolnot-a-virus:NetToolnot-a-virus:Client-P2Pnot-a-virus:Client-SMTPnot-a-virus:AdToolnot-a-virus:FraudToolnot-a-virus:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Для Касперского схема такая: Класс_вируса.Платформа.Имя.Индекс. Email-Worm.Win32.Brontok.a. Я вас правильно понял? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

NickGolovko

да, только там еще иногда спецификаторы добавляются (.dropper etc), иногда цифра какая-то (например, Backdoor.Win32.XXX.12.a).

По CARO цифра означает Infective Lenght, а у KAV-а непонятно для чего она используется. Последняя буква - это Variant name.

По др.вебу нашел инфу тут - http://wiki.drweb.com/index.php/%D0%9D%D0%...%81%D0%BE%D0%B2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      1) Код system monitor с отслеживанием GPU https://github.com/brndnmtthws/conky/blob/fcbc5c8ba2a9546f50661a4846aef2f76f07a066/src/nvidia.cc 2) Возможно стоит найти Benchmark с открытым исходным кодом.
    • demkd
      даже скомплировалось, но интереса никакого не представляет, проще использвать WMI для этого, который и в XP работает в отличии от этого примера,  еще и работает криво, даже набортную видео память правильно определить не смогло, 4Gb рисует вместо 11gb. а это вообще не в тему.
    • PR55.RP55
      Возможно будет полезно. 1) Обнаружение GPU intel с примером кода. https://software.intel.com/ru-ru/articles/gpu-detect-sample 2) Использование GPU - Visual Studio  в плане тестирования. https://msdn.microsoft.com/ru-ru/library/mt126195.aspx    
    • demkd
      это если пользоваться regedit-ом, впрочем там невозможно обнулить dacl там можно его сделать пустым, что приведет к обратному - недоступности ключа для всех пользователей кроме владельца, если убивать dacl программно то ничего не появляется его просто нет и ключ доступен для всех. Сами исправят когда-нибудь, я им не пользуюсь. Увы, но майнеры работают напрямую с библиотеками amd opencl или с cuda nvidia или просто с opencl какой зацепят включая интеля, через них можно получить общую загрузку gpu для родной карты, но не раскладку по процессам, ну разве что за исключением nvidia quadro у них есть свои бибилиотки и там вроде как можно что-то вытянуть, но опять же только для quadro.
      Да и это не актуально, я набросал на коленке небольшую тестовую утилиту через direct-x, все довольно точно считает и в 10-ке и в 7-ке, вряд ли оно конечно будет работать в XP, но оно и не надо впрочем желающие протестируют, добавлю в след. версии uVS, будет считать аналогично CPU с момента запуска процесса, такой подход майнеров CPU/GPU выявляет замечательно, они грузят постоянно, а значит и процент близкий 100 выходит, на фоне практически нуля для всех остальных процессов.
    • PR55.RP55
      Dragokas Да, сегодня искал по данному вопросу информацию. https://ru.bmstu.wiki/Кража_веб-страниц,_запускаемых_в_браузере_пользователя,_с_использованием_уязвимостей_графического_процессора + Ещё будет полезна информация полученная по:  tasklist  [ Память ] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/tasklist  
×