Перейти к содержанию
Сергей Ильин

Проактивный и Generic-детект у различных антивирусов

Recommended Posts

Сергей Ильин

Коллеги, для подготовки будущих тестов встала проблема классификации вердиктов различных антивирусов, а также выделения вердиктов, относящихся к проактивному обнаружению.

Почти у всех антивирусов есть Generic-детект, когда одним методом/сигнатурой детектируется целое семейство вредоносных программ. По смыслу, насколько я понимаю, это некий расширенный сигнатурный детект, который IMHO можно отнести к проактивным методам обнаружения (новой модификации еще нет, а детект обеспечен).

У Panda распространенный проактивный вердикт - Generic Malware, он явно проактивный. Есть еще DialerMini.gen - это вроде уже сигнатура работает.

Sophos много берет на –FAM и –GEN. По описанию это не вердикт эвристики, но тоже проактивный детект.

У компании Symantec, много вердиктов типа: Trojan Horse, Downloader и т.д.

По описанию это - generic, но они по таким записям почти все детектят. Нельзя же все подобные вердикты относить к проактивному обнарудению? Потом меня смущает, что у Symantec есть еще и вердикты типа W32.Beagle.gen.

Не факт, что у всех вендоров Generic-детект - это именно сигнатурный детект. Возможно, у кото-то это вердикт эвристика.

К чему я это все?

1. Буду очень признателен, если кто-то поможет мне с классификацией вердиктов у различных вендоров. Очень хочется знать точно, какие Generic-вердикты - это сигнатурные, какие - эвристические (если такие есть вообще).

2. Хочется составить четкий перечень Generic, также всех проактивных вердиктов у большинства антивирусных компаний.

P.S. Под проактивность я понимаю возможность обнаружения антивирусом новым видов/модификаций вредоносов, без дополнительного внесения изменений в базы и модули программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Постараюсь подготовить для Касперского.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Постараюсь подготовить для Касперского.

Заранее спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Не вопрос. По Trend Micro я тоже готов подготовить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Наример у Eset есть такие вердикты:

1. a variant of Win32/Rootkit.Agent.NBS trojan

2. probably a variant of Win32/TrojanDropper.Delf.NFC trojan

3. probably unknown NewHeur_PE virus

4. Win32/Rootkit.Agent.EY trojan

5. JS/Tivso.15.gen trojan

Первые три - результат работы эвристика, последнияя - Generic-детект.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

если бы было все так просто ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

3. Модификация Trojan.Packed.162

Есть ли какие-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
У Доктор Веба замечены следующие типы проактивных вердиктов:

1. Trojan.Spambot.origin

2. Возможно, DLOADER.Trojan

Есть ли какие-то еще?

Не знаю, нужно ли сюда добавить ещё .based... Это расширенная сигнатура, но чистая сигнатура или нет, это нужно уточнять.

Добавлено спустя 1 минуту 4 секунды:

Есть ещё такой вариант как "Модификация Win32.xxx". На старых типах вирусов часто встречается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У Avira замечены вот такие типы проактивных вердиктов:

1. Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

3. HEUR/Malware

4. HEUR/Crypted

5. HEUR/Exploit.HTML

Возможно что-то еще, что мне пока не попалось.

Добавлено спустя 2 минуты 27 секунд:

Есть ещё такой вариант как "Модификация Win32.xxx".

Спасибо, действительно есть такое, нашел в реальной жизни :-)

Добавлено спустя 39 минут 7 секунд:

Теперь сладкое - проактивные детекты Panda Security :-)

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

P.S. Я сейчас говорю про вердикты, которые могут иметь место при сканировании по требованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Сергей Ильин

а как вы простите различаете - детект типа Gen или Generic это детект эвристиком или дженерик сигнатурой как например Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Теперь сладкое - проактивные детекты Panda Security

1. Generic Malware

2. Generic Trojan

3. Generic Worm

4. Suspicious file (Подозрительный файл)

Сергей Ильин

1. Generic Malware

2. Generic Trojan

3. Generic Worm

Это не проактивный детект, а сигнатурный:

The files 34.tmp, d1.exe- belong to the trojan Generic Trojan, due to the nature of the files, they can only be deleted.The following advice will help you to eliminate the Generic Trojan and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=82040Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=82040 The file D29.tmp belongs to the trojan Generic Malware, due to the nature of the file, it can only be deleted.The following advice will help you to eliminate the Generic Malware and protect yourself against it in future.Visit our web page with information about the malware:http://www.pandasecurity.com/homeusers/security-info/about-malware/encyclopedia/overview.aspx?IdVirus=139530Follow the instructions on how to eliminate the malware:http://www.pandasecurity.com/com/homeusers/security-info/about-malware/encyclopedia/overview.aspx??lst=sol&idvirus=139530

У меня таких идентичных вердиктов на разные файлы море. Один из них по касперу это пресловутая модификация Агента которых на варезных сайтах завались. Но эти файлы ловит сигнатура. Пока не добавят в базы панда тут бессильна, ничего в них до сигнатуры вредоносного не видит. :(

Всё что ловиться эвристикой детект один: Suspicious file

Проактивки в панде, мною не замечено! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

эвристик у них кажись тока

HEUR/Malware http://www.avira.com/en/threats/section/fu...ur_malware.html

HEUR/Crypted

http://www.avira.com/en/threats/section/fu...ur_crypted.html

HEUR/Exploit.HTML и прочие HEUR

все остальное дженерики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
и у авиры небось

1.Contains detection pattern of the dropper DR/Delphi.Gen

2. Is the Trojan horse TR/Dropper.Gen

это тоже нефига не эвристик

Первый вердикт похох на нечеткую сигнатуру типа origine у Доктора.

Второй простой Generic.

Это не проактивный детект, а сигнатурный:

Так я не писал, что это эвристик. Но это не однозначная сигнатура типа Rootkit/Feebs.HV или W32/Radoppan.L.drp

Как ты правильно заметил Generic Malware, Generic Trojan и Generic Worm это популярный вердик и по смыслу похож на .GEN у других.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm :?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Сергей, мой вам совет - бросьте эту бесполезную (имхо) попытку что-то тут выяснить точно.

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Например, у Касперского есть вердикты и .gen и .generic, но общего между ними вообще ничего.

Или вот как в одном из популярных антивирусов правило:

если файл имеет размер около 25кб, упакован MEW и имеет имя setup32.exe - выдать "подозрение" на нечто из конкретного семейства. А другой антивирус с такими же правилами - может просто сказать NewHeur или probably, без уточнения. ну и так далее.

И как вы это считать будете - как эвристику или как generic ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Backdoor.Win32.Wootbot.gen(Kaspersky) или W32.IRCBot.Gen (Symantec)?

Можно отключить эвристику и проверить точно, будет такой вердикт или нет. Но сигнатуры в обоих случах, насколько я знаю.

Или вот у Софоса например вердикты типа Troj/BagDl-Gen или W32/Sdbot-Fam это чего эвристик или дженерик?

На счет Sophos я пока не уверен, если кто подскажет точно - буду очень признателен.

Добавлено спустя 5 минут 58 секунд:

Точно вы можете выяснить только самостоятельно распротрошив движки каждого антивируса. И то не до конца.

Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.

И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Но это не однозначная сигнатура

Ну да, согласен.

Кстати у Panda еще есть вот такая прелесть W32/Feebs.gen.worm

Мне ещё попадались Backdoor.gen

Но это всё сигнатура. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

тогда я не понимаю зачем вам это ...

классическая эвристика - это эвристические анализаторы КОДА. а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Согласен, поэтому я пытаюсь собрать максимум информации относительно проактивного или Generic детекта. Самое главное, что мне нужно список вердиктов относящихся к этим классам. Точная разбивка эвристик/generic не так важна, но была бы тоже очень полезна.
И как вы это считать будете - как эвристику или как generic ?

Это на усмотрение вендора, мне это не важно. Я лишь для себя отмечу, что этот вирус вендор X взял эвристикой, а этот - generic. Результат один - наличие детекта нового вируса.

то что вендор X взял вирус с вердиктом gen нефига не означает, что он его взял проактивно (т.е. без доп работы вирлаба) - может вирлаб нечеткую сигнатуру докрутил и после этого все стало браться

а то как-то странно у одних вы будете W32.IRCBot.Gen и Backdoor.Win32.Wootbot.gen относить к сигнатурному, а у других Generic Trojan и Is the Trojan horse TR/Dropper.Gen к проактивному детекту? а по какому принципу различаете?

Интересно кстати а как товарищ Клименти свои ретроспективные тесты проводит? как он там у себя определяет что есть сигнатурный, а что проактивный детект?

он в методологии пишет, что типа проактивно=heuristic/generic, но что он при этом считает сигнатурным детектом и как отличает его от generic?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
а когда продукт выносит вердикт по неким признакам ФАЙЛА (размер, пакер, имя и проч) - это уже не эвристика, это какой-то другой процесс..

Полу-эвристическое правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Пит, ты был прав.

Вердикт Generic malware/worm/trojan у Panda Socurity - это не работа эвристика, а сигнатуры.

Хочу внести смуту. А не все ли равно, как именно был взат новый экземпляр вредоносной программы -- эвристиком, Generic сигнатурой или святым духом? Задача какая? Проверить как разные АВ детектят новый, появившийся после даты создания (релиза) сигнатур малвар. Ради научного интереса, конечно, интересно разобраться что и как задетекчено, но вот практического смысла (для клиента) в этом знании я не вижу. Главное -- берет проактивно (т.е. без вмешательства человека) или нет.

Еще. Только что имел интересную беседу с коллегий с Safe'n'Sec (Женя, привет). Она, задав провокационный вопрос "А правда, что у Касперского нет проактивной защиты", попала на лекцию о том, что такое проактивная защита. Итак, по-моему, проактивная защита это комплекс мер, позволяющий детектить нечто (спам, вирусы, фишинг), не прибегая к помощи человека, который что-то изменит и это нечно начнет детектироваться уже после этого воздействия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Вот поэтому я в самом начале и написал, что проактивным обнаружением можно считать вердикты типа: .gen, Generic Malware, Trojan DownLoader и т.д. Разделить вердикты на эвристические и generic я хочу из исследовательских соображений.

Никакие вердикты нельзя считать проактивными, только исходя из написанного имени. ну давай мы завтра выпустим базы, в которых ВСЕ записи будут иметь префикс в имени .gen - что, это будет означать, что у нас эвристикой берется 99.6% вредоносов ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Итак.

Кодовый анализатор Касперского в основном выдает вердикты, содержащие "Type". Есть еще Password-protected-EXE. Расширенные сигнатуры - заканчиваются на .gen / .generic. Эмулятор пишет вердикты, содержащие "Heur". Поведенческий анализатор - Trojan.Generic, Trojan.Cryptor, Hidden.Object, Invader, Keylogger. Вроде все.

Ну у PDM вердиктов побольше. Но нет смысла их перечислять. Думаю, все их могут отличить от сигнатурных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×