Malware naming scheme - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
grovana

Malware naming scheme

Recommended Posts

grovana

Подкажите пожалуйста сабж для популярных антивирусов (КАВ, др.веб и т.д.). Интересуют возможные значения полей и их смысл. Недавно встречал такое для Др.Веб, но не могу найти. Помогите ссылками и инфой. Заранее всем спасибо.

Добавлено спустя 17 минут 18 секунд:

Делюсь инфой по возможным значениям поля Type (по CARO-naming scheme) для KAV (взято из verdicts.ini):

Trojan-ArcBombBackdoorTrojanTrojan-AOLTrojan-ClickerTrojan-DownloaderTrojan-Dropper;Trojan-MSNTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyTrojan-DDoSTrojan-IMRootKitTrojan-SMSEmail-WormIM-WormIRC-WormNet-WormP2P-WormWormVirusConstructorDoSExploitFileCryptorFlooderHackToolnot-virus:Hoaxnot-virus:BadJokeNukerPolyCryptorPolyEngineSnifferSpamToolSpooferVirToolEmail-FlooderIM-FlooderSMS-Floodernot-a-virus:AdWarenot-a-virus:Porn-Dialernot-a-virus:Porn-Downloadernot-a-virus:Porn-Toolnot-a-virus:Toolnot-a-virus:Client-IRCnot-a-virus:Dialernot-a-virus:Downloadernot-a-virus:Monitornot-a-virus:PSWToolnot-a-virus:RemoteAdminnot-a-virus:Server-FTPnot-a-virus:Server-Proxynot-a-virus:Server-Telnetnot-a-virus:Server-Webnot-a-virus:RiskToolnot-a-virus:NetToolnot-a-virus:Client-P2Pnot-a-virus:Client-SMTPnot-a-virus:AdToolnot-a-virus:FraudToolnot-a-virus:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Для Касперского схема такая: Класс_вируса.Платформа.Имя.Индекс. Email-Worm.Win32.Brontok.a. Я вас правильно понял? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Trend Micro: КЛАСС_ИМЯ.ИНДЕКС. Примеры: WORM_NYXEM.E, TROJ_STRAT.CJ, PE_CHIR.B

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

NickGolovko

да, только там еще иногда спецификаторы добавляются (.dropper etc), иногда цифра какая-то (например, Backdoor.Win32.XXX.12.a).

По CARO цифра означает Infective Lenght, а у KAV-а непонятно для чего она используется. Последняя буква - это Variant name.

По др.вебу нашел инфу тут - http://wiki.drweb.com/index.php/%D0%9D%D0%...%81%D0%BE%D0%B2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
    • PR55.RP55
      Как вылетал uVS при попытке скопировать файл в Zoo  так и вылетает. Есть системный дамп. https://disk.yandex.ru/d/6R97oQE3_nzfiA + Такая ошибка: https://disk.yandex.ru/i/Dr2xnpoU0CFYdg Тоже может быть использована.
×