Перейти к содержанию
Сергей Ильин

Проактивный и Generic-детект у различных антивирусов

Recommended Posts

Сергей Ильин

Коллеги, для подготовки будущих тестов встала проблема классификации вердиктов различных антивирусов, а также выделения вердиктов, относящихся к проактивному обнаружению.

Почти у всех антивирусов есть Generic-детект, когда одним методом/сигнатурой детектируется целое семейство вредоносных программ. По смыслу, насколько я понимаю, это некий расширенный сигнатурный детект, который IMHO можно отнести к проактивным методам обнаружения (новой модификации еще нет, а детект обеспечен).

У Panda распространенный проактивный вердикт - Generic Malware, он явно проактивный. Есть еще DialerMini.gen - это вроде уже сигнатура работает.

Sophos много берет на –FAM и –GEN. По описанию это не вердикт эвристики, но тоже проактивный детект.

У компании Symantec, много вердиктов типа: Trojan Horse, Downloader и т.д.

По описанию это - generic, но они по таким записям почти все детектят. Нельзя же все подобные вердикты относить к проактивному обнарудению? Потом меня смущает, что у Symantec есть еще и вердикты типа W32.Beagle.gen.

Не факт, что у всех вендоров Generic-детект - это именно сигнатурный детект. Возможно, у кото-то это вердикт эвристика.

К чему я это все?

1. Буду очень признателен, если кто-то поможет мне с классификацией вердиктов у различных вендоров. Очень хочется знать точно, какие Generic-вердикты - это сигнатурные, какие - эвристические (если такие есть вообще).

2. Хочется составить четкий перечень Generic, также всех проактивных вердиктов у большинства антивирусных компаний.

P.S. Под проактивность я понимаю возможность обнаружения антивирусом новым видов/модификаций вредоносов, без дополнительного внесения изменений в базы и модули программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Постараюсь подготовить для Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Постараюсь подготовить для Касперского.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Не вопрос. По Trend Micro я тоже готов подготовить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Наример у Eset есть такие вердикты:

1. a variant of Win32/Rootkit.Agent.NBS trojan

2. probably a variant of Win32/TrojanDropper.Delf.NFC trojan

3. probably unknown NewHeur_PE virus

4. Win32/Rootkit.Agent.EY trojan

5. JS/Tivso.15.gen trojan

Первые три - результат работы эвристика, последнияя - Generic-детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

если бы было все так просто ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

3. Модификация Trojan.Packed.162

Есть ли какие-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

Есть ли какие-то еще?

Не знаю, нужно ли сюда добавить ещё .based... Это расширенная сигнатура, но чистая сигнатура или нет, это нужно уточнять.

Добавлено спустя 1 минуту 4 секунды:

Есть ещё такой вариант как "Модификация Win32.xxx". На старых типах вирусов часто встречается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Avira замечены вот такие типы проактивных вердиктов:

1. Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

3. HEUR/Malware

4. HEUR/Crypted

5. HEUR/Exploit.HTML

Возможно что-то еще, что мне пока не попалось.

Добавлено спустя 2 минуты 27 секунд:

Есть ещё такой вариант как "Модификация Win32.xxx".

Спасибо, действительно есть такое, нашел в реальной жизни :-)

Добавлено спустя 39 минут 7 секунд:

Теперь сладкое - проактивные детекты Panda Security :-)

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

P.S. Я сейчас говорю про вердикты, которые могут иметь место при сканировании по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Сергей Ильин

а как вы простите различаете - детект типа Gen или Generic это детект эвристиком или дженерик сигнатурой как например Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Теперь сладкое - проактивные детекты Panda Security

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

Сергей Ильин

1. Generic Malware

2. Generic Trojan

3. Generic Worm

Это не проактивный детект, а сигнатурный:

The files 34.tmp, d1.exe- belong to the trojan Generic Trojan, due to the nature of the files, they can only be deleted.The following advice will help you to eliminate the Generic Trojan and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=82040Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=82040 The file D29.tmp belongs to the trojan Generic Malware, due to the nature of the file, it can only be deleted.The following advice will help you to eliminate the Generic Malware and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=139530Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=139530

У меня таких идентичных вердиктов на разные файлы море. Один из них по касперу это пресловутая модификация Агента которых на варезных сайтах завались. Но эти файлы ловит сигнатура. Пока не добавят в базы панда тут бессильна, ничего в них до сигнатуры вредоносного не видит. :(

Всё что ловиться эвристикой детект один: Suspicious file

Проактивки в панде, мною не замечено! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

эвристик у них кажись тока

HEUR/Malware http://www.avira.com/en/threats/section/fu...ur_malware.html

HEUR/Crypted

http://www.avira.com/en/threats/section/fu...ur_crypted.html

HEUR/Exploit.HTML и прочие HEUR

все остальное дженерики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

Первый вердикт похох на нечеткую сигнатуру типа origine у Доктора.

Второй простой Generic.

Это не проактивный детект, а сигнатурный:

Так я не писал, что это эвристик. Но это не однозначная сигнатура типа Rootkit/Feebs.HV или W32/Radoppan.L.drp

Как ты правильно заметил Generic Malware, Generic Trojan и Generic Worm это популярный вердик и по смыслу похож на .GEN у других.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Сергей, мой вам совет - бросьте эту бесполезную (имхо) попытку что-то тут выяснить точно.

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Например, у Касперского есть вердикты и .gen и .generic, но общего между ними вообще ничего.

Или вот как в одном из популярных антивирусов правило:

если файл имеет размер около 25кб, упакован MEW и имеет имя setup32.exe - выдать "подозрение" на нечто из конкретного семейства. А другой антивирус с такими же правилами - может просто сказать NewHeur или probably, без уточнения. ну и так далее.

И как вы это считать будете - как эвристику или как generic ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Можно отключить эвристику и проверить точно, будет такой вердикт или нет. Но сигнатуры в обоих случах, насколько я знаю.

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

На счет Sophos я пока не уверен, если кто подскажет точно - буду очень признателен.

Добавлено спустя 5 минут 58 секунд:

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.

И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Но это не однозначная сигнатура

Ну да, согласен.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm

Мне ещё попадались Backdoor.gen

Но это всё сигнатура. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

тогда я не понимаю зачем вам это ...

классическая эвристика - это эвристические анализаторы КОДА. а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.
И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

то что вендор X взял вирус с вердиктом gen нефига не означает, что он его взял проактивно (т.е. без доп работы вирлаба) - может вирлаб нечеткую сигнатуру докрутил и после этого все стало браться

а то как-то странно у одних вы будете W32.IRCBot.Gen и Backdoor.Win32.Wootbot.gen относить к сигнатурному, а у других Generic Trojan и Is the Trojan horse TR/Dropper.Gen к проактивному детекту? а по какому принципу различаете?

Интересно кстати а как товарищ Клименти свои ретроспективные тесты проводит? как он там у себя определяет что есть сигнатурный, а что проактивный детект?

он в методологии пишет, что типа проактивно=heuristic/generic, но что он при этом считает сигнатурным детектом и как отличает его от generic?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс..

Полу-эвристическое правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Хочу внести смуту. А не все ли равно, как именно был взат новый экземпляр вредоносной программы -- эвристиком, Generic сигнатурой или святым духом? Задача какая? Проверить как разные АВ детектят новый, появившийся после даты создания (релиза) сигнатур малвар. Ради научного интереса, конечно, интересно разобраться что и как задетекчено, но вот практического смысла (для клиента) в этом знании я не вижу. Главное -- берет проактивно (т.е. без вмешательства человека) или нет.

Еще. Только что имел интересную беседу с коллегий с Safe'n'Sec (Женя, привет). Она, задав провокационный вопрос "А правда, что у Касперского нет проактивной защиты", попала на лекцию о том, что такое проактивная защита. Итак, по-моему, проактивная защита это комплекс мер, позволяющий детектить нечто (спам, вирусы, фишинг), не прибегая к помощи человека, который что-то изменит и это нечно начнет детектироваться уже после этого воздействия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Никакие вердикты нельзя считать проактивными, только исходя из написанного имени. ну давай мы завтра выпустим базы, в которых ВСЕ записи будут иметь префикс в имени .gen - что, это будет означать, что у нас эвристикой берется 99.6% вредоносов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Ну у PDM вердиктов побольше. Но нет смысла их перечислять. Думаю, все их могут отличить от сигнатурных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×