Перейти к содержанию
Сергей Ильин

Проактивный и Generic-детект у различных антивирусов

Recommended Posts

Сергей Ильин

Коллеги, для подготовки будущих тестов встала проблема классификации вердиктов различных антивирусов, а также выделения вердиктов, относящихся к проактивному обнаружению.

Почти у всех антивирусов есть Generic-детект, когда одним методом/сигнатурой детектируется целое семейство вредоносных программ. По смыслу, насколько я понимаю, это некий расширенный сигнатурный детект, который IMHO можно отнести к проактивным методам обнаружения (новой модификации еще нет, а детект обеспечен).

У Panda распространенный проактивный вердикт - Generic Malware, он явно проактивный. Есть еще DialerMini.gen - это вроде уже сигнатура работает.

Sophos много берет на –FAM и –GEN. По описанию это не вердикт эвристики, но тоже проактивный детект.

У компании Symantec, много вердиктов типа: Trojan Horse, Downloader и т.д.

По описанию это - generic, но они по таким записям почти все детектят. Нельзя же все подобные вердикты относить к проактивному обнарудению? Потом меня смущает, что у Symantec есть еще и вердикты типа W32.Beagle.gen.

Не факт, что у всех вендоров Generic-детект - это именно сигнатурный детект. Возможно, у кото-то это вердикт эвристика.

К чему я это все?

1. Буду очень признателен, если кто-то поможет мне с классификацией вердиктов у различных вендоров. Очень хочется знать точно, какие Generic-вердикты - это сигнатурные, какие - эвристические (если такие есть вообще).

2. Хочется составить четкий перечень Generic, также всех проактивных вердиктов у большинства антивирусных компаний.

P.S. Под проактивность я понимаю возможность обнаружения антивирусом новым видов/модификаций вредоносов, без дополнительного внесения изменений в базы и модули программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Постараюсь подготовить для Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Постараюсь подготовить для Касперского.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Не вопрос. По Trend Micro я тоже готов подготовить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Наример у Eset есть такие вердикты:

1. a variant of Win32/Rootkit.Agent.NBS trojan

2. probably a variant of Win32/TrojanDropper.Delf.NFC trojan

3. probably unknown NewHeur_PE virus

4. Win32/Rootkit.Agent.EY trojan

5. JS/Tivso.15.gen trojan

Первые три - результат работы эвристика, последнияя - Generic-детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

3. Модификация Trojan.Packed.162

Есть ли какие-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

Есть ли какие-то еще?

Не знаю, нужно ли сюда добавить ещё .based... Это расширенная сигнатура, но чистая сигнатура или нет, это нужно уточнять.

Добавлено спустя 1 минуту 4 секунды:

Есть ещё такой вариант как "Модификация Win32.xxx". На старых типах вирусов часто встречается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Avira замечены вот такие типы проактивных вердиктов:

1. Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

3. HEUR/Malware

4. HEUR/Crypted

5. HEUR/Exploit.HTML

Возможно что-то еще, что мне пока не попалось.

Добавлено спустя 2 минуты 27 секунд:

Есть ещё такой вариант как "Модификация Win32.xxx".

Спасибо, действительно есть такое, нашел в реальной жизни :-)

Добавлено спустя 39 минут 7 секунд:

Теперь сладкое - проактивные детекты Panda Security :-)

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

P.S. Я сейчас говорю про вердикты, которые могут иметь место при сканировании по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Сергей Ильин

а как вы простите различаете - детект типа Gen или Generic это детект эвристиком или дженерик сигнатурой как например Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Теперь сладкое - проактивные детекты Panda Security

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

Сергей Ильин

1. Generic Malware

2. Generic Trojan

3. Generic Worm

Это не проактивный детект, а сигнатурный:

The files 34.tmp, d1.exe- belong to the trojan Generic Trojan, due to the nature of the files, they can only be deleted.The following advice will help you to eliminate the Generic Trojan and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=82040Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=82040 The file D29.tmp belongs to the trojan Generic Malware, due to the nature of the file, it can only be deleted.The following advice will help you to eliminate the Generic Malware and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=139530Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=139530

У меня таких идентичных вердиктов на разные файлы море. Один из них по касперу это пресловутая модификация Агента которых на варезных сайтах завались. Но эти файлы ловит сигнатура. Пока не добавят в базы панда тут бессильна, ничего в них до сигнатуры вредоносного не видит. :(

Всё что ловиться эвристикой детект один: Suspicious file

Проактивки в панде, мною не замечено! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

эвристик у них кажись тока

HEUR/Malware http://www.avira.com/en/threats/section/fu...ur_malware.html

HEUR/Crypted

http://www.avira.com/en/threats/section/fu...ur_crypted.html

HEUR/Exploit.HTML и прочие HEUR

все остальное дженерики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

Первый вердикт похох на нечеткую сигнатуру типа origine у Доктора.

Второй простой Generic.

Это не проактивный детект, а сигнатурный:

Так я не писал, что это эвристик. Но это не однозначная сигнатура типа Rootkit/Feebs.HV или W32/Radoppan.L.drp

Как ты правильно заметил Generic Malware, Generic Trojan и Generic Worm это популярный вердик и по смыслу похож на .GEN у других.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Сергей, мой вам совет - бросьте эту бесполезную (имхо) попытку что-то тут выяснить точно.

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Например, у Касперского есть вердикты и .gen и .generic, но общего между ними вообще ничего.

Или вот как в одном из популярных антивирусов правило:

если файл имеет размер около 25кб, упакован MEW и имеет имя setup32.exe - выдать "подозрение" на нечто из конкретного семейства. А другой антивирус с такими же правилами - может просто сказать NewHeur или probably, без уточнения. ну и так далее.

И как вы это считать будете - как эвристику или как generic ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Можно отключить эвристику и проверить точно, будет такой вердикт или нет. Но сигнатуры в обоих случах, насколько я знаю.

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

На счет Sophos я пока не уверен, если кто подскажет точно - буду очень признателен.

Добавлено спустя 5 минут 58 секунд:

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.

И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Но это не однозначная сигнатура

Ну да, согласен.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm

Мне ещё попадались Backdoor.gen

Но это всё сигнатура. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

тогда я не понимаю зачем вам это ...

классическая эвристика - это эвристические анализаторы КОДА. а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.
И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

то что вендор X взял вирус с вердиктом gen нефига не означает, что он его взял проактивно (т.е. без доп работы вирлаба) - может вирлаб нечеткую сигнатуру докрутил и после этого все стало браться

а то как-то странно у одних вы будете W32.IRCBot.Gen и Backdoor.Win32.Wootbot.gen относить к сигнатурному, а у других Generic Trojan и Is the Trojan horse TR/Dropper.Gen к проактивному детекту? а по какому принципу различаете?

Интересно кстати а как товарищ Клименти свои ретроспективные тесты проводит? как он там у себя определяет что есть сигнатурный, а что проактивный детект?

он в методологии пишет, что типа проактивно=heuristic/generic, но что он при этом считает сигнатурным детектом и как отличает его от generic?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс..

Полу-эвристическое правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Хочу внести смуту. А не все ли равно, как именно был взат новый экземпляр вредоносной программы -- эвристиком, Generic сигнатурой или святым духом? Задача какая? Проверить как разные АВ детектят новый, появившийся после даты создания (релиза) сигнатур малвар. Ради научного интереса, конечно, интересно разобраться что и как задетекчено, но вот практического смысла (для клиента) в этом знании я не вижу. Главное -- берет проактивно (т.е. без вмешательства человека) или нет.

Еще. Только что имел интересную беседу с коллегий с Safe'n'Sec (Женя, привет). Она, задав провокационный вопрос "А правда, что у Касперского нет проактивной защиты", попала на лекцию о том, что такое проактивная защита. Итак, по-моему, проактивная защита это комплекс мер, позволяющий детектить нечто (спам, вирусы, фишинг), не прибегая к помощи человека, который что-то изменит и это нечно начнет детектироваться уже после этого воздействия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Никакие вердикты нельзя считать проактивными, только исходя из написанного имени. ну давай мы завтра выпустим базы, в которых ВСЕ записи будут иметь префикс в имени .gen - что, это будет означать, что у нас эвристикой берется 99.6% вредоносов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Ну у PDM вердиктов побольше. Но нет смысла их перечислять. Думаю, все их могут отличить от сигнатурных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×