Сергей Ильин

Проактивный и Generic-детект у различных антивирусов

В этой теме 48 сообщений

Коллеги, для подготовки будущих тестов встала проблема классификации вердиктов различных антивирусов, а также выделения вердиктов, относящихся к проактивному обнаружению.

Почти у всех антивирусов есть Generic-детект, когда одним методом/сигнатурой детектируется целое семейство вредоносных программ. По смыслу, насколько я понимаю, это некий расширенный сигнатурный детект, который IMHO можно отнести к проактивным методам обнаружения (новой модификации еще нет, а детект обеспечен).

У Panda распространенный проактивный вердикт - Generic Malware, он явно проактивный. Есть еще DialerMini.gen - это вроде уже сигнатура работает.

Sophos много берет на –FAM и –GEN. По описанию это не вердикт эвристики, но тоже проактивный детект.

У компании Symantec, много вердиктов типа: Trojan Horse, Downloader и т.д.

По описанию это - generic, но они по таким записям почти все детектят. Нельзя же все подобные вердикты относить к проактивному обнарудению? Потом меня смущает, что у Symantec есть еще и вердикты типа W32.Beagle.gen.

Не факт, что у всех вендоров Generic-детект - это именно сигнатурный детект. Возможно, у кото-то это вердикт эвристика.

К чему я это все?

1. Буду очень признателен, если кто-то поможет мне с классификацией вердиктов у различных вендоров. Очень хочется знать точно, какие Generic-вердикты - это сигнатурные, какие - эвристические (если такие есть вообще).

2. Хочется составить четкий перечень Generic, также всех проактивных вердиктов у большинства антивирусных компаний.

P.S. Под проактивность я понимаю возможность обнаружения антивирусом новым видов/модификаций вредоносов, без дополнительного внесения изменений в базы и модули программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Постараюсь подготовить для Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Постараюсь подготовить для Касперского.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не вопрос. По Trend Micro я тоже готов подготовить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Наример у Eset есть такие вердикты:

1. a variant of Win32/Rootkit.Agent.NBS trojan

2. probably a variant of Win32/TrojanDropper.Delf.NFC trojan

3. probably unknown NewHeur_PE virus

4. Win32/Rootkit.Agent.EY trojan

5. JS/Tivso.15.gen trojan

Первые три - результат работы эвристика, последнияя - Generic-детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

3. Модификация Trojan.Packed.162

Есть ли какие-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

Есть ли какие-то еще?

Не знаю, нужно ли сюда добавить ещё .based... Это расширенная сигнатура, но чистая сигнатура или нет, это нужно уточнять.

Добавлено спустя 1 минуту 4 секунды:

Есть ещё такой вариант как "Модификация Win32.xxx". На старых типах вирусов часто встречается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У Avira замечены вот такие типы проактивных вердиктов:

1. Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

3. HEUR/Malware

4. HEUR/Crypted

5. HEUR/Exploit.HTML

Возможно что-то еще, что мне пока не попалось.

Добавлено спустя 2 минуты 27 секунд:

Есть ещё такой вариант как "Модификация Win32.xxx".

Спасибо, действительно есть такое, нашел в реальной жизни :-)

Добавлено спустя 39 минут 7 секунд:

Теперь сладкое - проактивные детекты Panda Security :-)

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

P.S. Я сейчас говорю про вердикты, которые могут иметь место при сканировании по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин

а как вы простите различаете - детект типа Gen или Generic это детект эвристиком или дженерик сигнатурой как например Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Теперь сладкое - проактивные детекты Panda Security

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

Сергей Ильин

1. Generic Malware

2. Generic Trojan

3. Generic Worm

Это не проактивный детект, а сигнатурный:

The files 34.tmp, d1.exe- belong to the trojan Generic Trojan, due to the nature of the files, they can only be deleted.The following advice will help you to eliminate the Generic Trojan and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=82040Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=82040 The file D29.tmp belongs to the trojan Generic Malware, due to the nature of the file, it can only be deleted.The following advice will help you to eliminate the Generic Malware and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=139530Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=139530

У меня таких идентичных вердиктов на разные файлы море. Один из них по касперу это пресловутая модификация Агента которых на варезных сайтах завались. Но эти файлы ловит сигнатура. Пока не добавят в базы панда тут бессильна, ничего в них до сигнатуры вредоносного не видит. :(

Всё что ловиться эвристикой детект один: Suspicious file

Проактивки в панде, мною не замечено! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

эвристик у них кажись тока

HEUR/Malware http://www.avira.com/en/threats/section/fu...ur_malware.html

HEUR/Crypted

http://www.avira.com/en/threats/section/fu...ur_crypted.html

HEUR/Exploit.HTML и прочие HEUR

все остальное дженерики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

Первый вердикт похох на нечеткую сигнатуру типа origine у Доктора.

Второй простой Generic.

Это не проактивный детект, а сигнатурный:

Так я не писал, что это эвристик. Но это не однозначная сигнатура типа Rootkit/Feebs.HV или W32/Radoppan.L.drp

Как ты правильно заметил Generic Malware, Generic Trojan и Generic Worm это популярный вердик и по смыслу похож на .GEN у других.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сергей, мой вам совет - бросьте эту бесполезную (имхо) попытку что-то тут выяснить точно.

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Например, у Касперского есть вердикты и .gen и .generic, но общего между ними вообще ничего.

Или вот как в одном из популярных антивирусов правило:

если файл имеет размер около 25кб, упакован MEW и имеет имя setup32.exe - выдать "подозрение" на нечто из конкретного семейства. А другой антивирус с такими же правилами - может просто сказать NewHeur или probably, без уточнения. ну и так далее.

И как вы это считать будете - как эвристику или как generic ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Можно отключить эвристику и проверить точно, будет такой вердикт или нет. Но сигнатуры в обоих случах, насколько я знаю.

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

На счет Sophos я пока не уверен, если кто подскажет точно - буду очень признателен.

Добавлено спустя 5 минут 58 секунд:

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.

И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но это не однозначная сигнатура

Ну да, согласен.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm

Мне ещё попадались Backdoor.gen

Но это всё сигнатура. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

тогда я не понимаю зачем вам это ...

классическая эвристика - это эвристические анализаторы КОДА. а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.
И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

то что вендор X взял вирус с вердиктом gen нефига не означает, что он его взял проактивно (т.е. без доп работы вирлаба) - может вирлаб нечеткую сигнатуру докрутил и после этого все стало браться

а то как-то странно у одних вы будете W32.IRCBot.Gen и Backdoor.Win32.Wootbot.gen относить к сигнатурному, а у других Generic Trojan и Is the Trojan horse TR/Dropper.Gen к проактивному детекту? а по какому принципу различаете?

Интересно кстати а как товарищ Клименти свои ретроспективные тесты проводит? как он там у себя определяет что есть сигнатурный, а что проактивный детект?

он в методологии пишет, что типа проактивно=heuristic/generic, но что он при этом считает сигнатурным детектом и как отличает его от generic?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс..

Полу-эвристическое правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Хочу внести смуту. А не все ли равно, как именно был взат новый экземпляр вредоносной программы -- эвристиком, Generic сигнатурой или святым духом? Задача какая? Проверить как разные АВ детектят новый, появившийся после даты создания (релиза) сигнатур малвар. Ради научного интереса, конечно, интересно разобраться что и как задетекчено, но вот практического смысла (для клиента) в этом знании я не вижу. Главное -- берет проактивно (т.е. без вмешательства человека) или нет.

Еще. Только что имел интересную беседу с коллегий с Safe'n'Sec (Женя, привет). Она, задав провокационный вопрос "А правда, что у Касперского нет проактивной защиты", попала на лекцию о том, что такое проактивная защита. Итак, по-моему, проактивная защита это комплекс мер, позволяющий детектить нечто (спам, вирусы, фишинг), не прибегая к помощи человека, который что-то изменит и это нечно начнет детектироваться уже после этого воздействия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Никакие вердикты нельзя считать проактивными, только исходя из написанного имени. ну давай мы завтра выпустим базы, в которых ВСЕ записи будут иметь префикс в имени .gen - что, это будет означать, что у нас эвристикой берется 99.6% вредоносов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Ну у PDM вердиктов побольше. Но нет смысла их перечислять. Думаю, все их могут отличить от сигнатурных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...
    • AM_Bot
      На вопросы Anti-Malware.ru любезно согласился ответить Дмитрий Мананников, бизнес-консультант по безопасности. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее