Перейти к содержанию
grovana

Malware naming scheme

Recommended Posts

grovana

Подкажите пожалуйста сабж для популярных антивирусов (КАВ, др.веб и т.д.). Интересуют возможные значения полей и их смысл. Недавно встречал такое для Др.Веб, но не могу найти. Помогите ссылками и инфой. Заранее всем спасибо.

Добавлено спустя 17 минут 18 секунд:

Делюсь инфой по возможным значениям поля Type (по CARO-naming scheme) для KAV (взято из verdicts.ini):

Trojan-ArcBombBackdoorTrojanTrojan-AOLTrojan-ClickerTrojan-DownloaderTrojan-Dropper;Trojan-MSNTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyTrojan-DDoSTrojan-IMRootKitTrojan-SMSEmail-WormIM-WormIRC-WormNet-WormP2P-WormWormVirusConstructorDoSExploitFileCryptorFlooderHackToolnot-virus:Hoaxnot-virus:BadJokeNukerPolyCryptorPolyEngineSnifferSpamToolSpooferVirToolEmail-FlooderIM-FlooderSMS-Floodernot-a-virus:AdWarenot-a-virus:Porn-Dialernot-a-virus:Porn-Downloadernot-a-virus:Porn-Toolnot-a-virus:Toolnot-a-virus:Client-IRCnot-a-virus:Dialernot-a-virus:Downloadernot-a-virus:Monitornot-a-virus:PSWToolnot-a-virus:RemoteAdminnot-a-virus:Server-FTPnot-a-virus:Server-Proxynot-a-virus:Server-Telnetnot-a-virus:Server-Webnot-a-virus:RiskToolnot-a-virus:NetToolnot-a-virus:Client-P2Pnot-a-virus:Client-SMTPnot-a-virus:AdToolnot-a-virus:FraudToolnot-a-virus:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Для Касперского схема такая: Класс_вируса.Платформа.Имя.Индекс. Email-Worm.Win32.Brontok.a. Я вас правильно понял? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

NickGolovko

да, только там еще иногда спецификаторы добавляются (.dropper etc), иногда цифра какая-то (например, Backdoor.Win32.XXX.12.a).

По CARO цифра означает Infective Lenght, а у KAV-а непонятно для чего она используется. Последняя буква - это Variant name.

По др.вебу нашел инфу тут - http://wiki.drweb.com/index.php/%D0%9D%D0%...%81%D0%BE%D0%B2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В меню: Скрипт добавить проверку скрипта находящегося в буфере обмена. Это нужно при работе на форумах.    
    • demkd
      причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.
    • santy
      похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены  
    • demkd
      потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856]
      (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    • PR55.RP55
      C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/
×