Перейти к содержанию
grovana

Malware naming scheme

Recommended Posts

grovana

Подкажите пожалуйста сабж для популярных антивирусов (КАВ, др.веб и т.д.). Интересуют возможные значения полей и их смысл. Недавно встречал такое для Др.Веб, но не могу найти. Помогите ссылками и инфой. Заранее всем спасибо.

Добавлено спустя 17 минут 18 секунд:

Делюсь инфой по возможным значениям поля Type (по CARO-naming scheme) для KAV (взято из verdicts.ini):

Trojan-ArcBombBackdoorTrojanTrojan-AOLTrojan-ClickerTrojan-DownloaderTrojan-Dropper;Trojan-MSNTrojan-NotifierTrojan-ProxyTrojan-PSWTrojan-SpyTrojan-DDoSTrojan-IMRootKitTrojan-SMSEmail-WormIM-WormIRC-WormNet-WormP2P-WormWormVirusConstructorDoSExploitFileCryptorFlooderHackToolnot-virus:Hoaxnot-virus:BadJokeNukerPolyCryptorPolyEngineSnifferSpamToolSpooferVirToolEmail-FlooderIM-FlooderSMS-Floodernot-a-virus:AdWarenot-a-virus:Porn-Dialernot-a-virus:Porn-Downloadernot-a-virus:Porn-Toolnot-a-virus:Toolnot-a-virus:Client-IRCnot-a-virus:Dialernot-a-virus:Downloadernot-a-virus:Monitornot-a-virus:PSWToolnot-a-virus:RemoteAdminnot-a-virus:Server-FTPnot-a-virus:Server-Proxynot-a-virus:Server-Telnetnot-a-virus:Server-Webnot-a-virus:RiskToolnot-a-virus:NetToolnot-a-virus:Client-P2Pnot-a-virus:Client-SMTPnot-a-virus:AdToolnot-a-virus:FraudToolnot-a-virus:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Для Касперского схема такая: Класс_вируса.Платформа.Имя.Индекс. Email-Worm.Win32.Brontok.a. Я вас правильно понял? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana

NickGolovko

да, только там еще иногда спецификаторы добавляются (.dropper etc), иногда цифра какая-то (например, Backdoor.Win32.XXX.12.a).

По CARO цифра означает Infective Lenght, а у KAV-а непонятно для чего она используется. Последняя буква - это Variant name.

По др.вебу нашел инфу тут - http://wiki.drweb.com/index.php/%D0%9D%D0%...%81%D0%BE%D0%B2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×