Проактивный и Generic-детект у различных антивирусов

[Dr.Golova 55]

На имена однозначно нельзя смотреть. Если я кладу маски меньше шести байт на высерки эмулятора, я их всегда называю .gen но от того что они берут сразу несколько сотен вариантов малвары, они не перстают быть сигнатурными =)

[_Stout 131]

На имена однозначно нельзя смотреть. Если я кладу маски меньше шести байт на высерки эмулятора, я их всегда называю .gen но от того что они берут сразу несколько сотен вариантов малвары, они не перстают быть сигнатурными =)

Но при этом это проактивное детектирование

[A. 875]

На имена однозначно нельзя смотреть. Если я кладу маски меньше шести байт на высерки эмулятора, я их всегда называю .gen но от того что они берут сразу несколько сотен вариантов малвары, они не перстают быть сигнатурными =)

Вот о чем я и говорю. То что мы детектим одной 6-и байтной маской - то НОД32 ловит только несколько килобайтной функцией, переписываемой с каждым новым самплом. Зато у них оно гордо зовется "эвристикой", а мы используем "архаичный, умирающий и неэффективный сигнатурный метод".

[pROCKrammer 50]

Я думаю что в Авире это не сигнатурный детект это детект движка во текст история версии движка 7.6.0.30.

This is the version number of the new engine:

7.6.0.30

The following changes were done:

- Added & Updated: Generic and heuristic detections:

DR/Zlob.Gen

TR/Dldr.Zlob.Gen

TR/Spy.Banker.Gen

TR/Dldr.ConHook.Gen

TR/Proxy.Horst.Gen

WORM/Stration.Gen

BDS/Hupigon.Gen

WORM/Zhelatin.Gen

WORM/Zhelatin.Damaged.Gen

TR/Dropper.Gen

DR/Delphi.Gen

TR/Spy.Gen

TR/Hijacker.Gen

TR/Rootkit.Gen

TR/Crypt.XPACK.Gen

TR/Crypt.XDR.Gen

TR/Crypt.CFI.Gen

TR/Vundo.Gen

HTML/Psyme.Gen

EXP/PDF.URI.Gen

- Updated: Detection of polymorphic viruses:

W32/Thorin

W32/Virut.Gen

- Fixed: Heuristic false positives

- Fixed: Renamed HEUR-DBLEXT/ prefix to HIDDENEXT/

[Сергей Ильин 1538]

Я думаю что в Авире это не сигнатурный детект это детект движка во текст история версии движка 7.6.0.30.

Вот тут как раз и не понятно, эвристика это или generic-сигнатуры :?

Я склонен полагать, что последнее, это по крайней мере логично было бы.

[Dr.Golova 55]

Ну, как мы уже выяснили, все variant of это сигнатурный детект на отэмуленные данные, а чистой эвристикой можно считать только probably new heur XX

Извольте пересчитать свои таблицы

[Денис Лебедев 20]

У TrendMicro встречаются вот такие вердикты:

• (This is the Trend Micro detection for suspicious files that manifest behavior and characteristics similar to known VUNDO variants.)

POSSIBLE_STRAT-6 (This is the Trend Micro detection for suspicious files that manifest behavior and characteristics similar to known STRATION variants.)

POSSIBLE_DLDER (This is the Trend Micro detection for suspicious files that manifest behavior and characteristics similar to known TROJ_DLOAD, TROJ_DLOADER, TROJ_DLDR, TROJ_SMALL, and TROJ_AGENT variants.)

PE_VIRUT.GEN-2 (This is the Trend Micro detection for suspicious files that manifest behavior and characteristics similar to known PE_VIRUT variants.)

BKDR_Generic.Z

TROJ_Generic

WORM_NUCRYPT.GEN

[Олег Рагозин 10]

Очень хотелось бы помочь по поводу Sophos, но с именами действительно есть небольшие сложности.

Можно посмотреть комплексный документ по созданию имен вирусов от Sophos:

http://www.sophos.com/pressoffice/news/art...a_glossary.html

Но в общем что касается распознаваний семейств вирусов по одной сигнатуре, то варианты могут быть такие:

-Fam and -Gen

Sophos's proactive protection technology will identify viruses, Trojans or worms of a particular family with the suffix -Fam or -Gen initially, where the variant is not currently separately identified. Where full analysis is performed, the variant will then be individually named.

Examples: W32/Sdbot-Gen and W32/Spybot-Fam

Name

Each detected virus, Trojan and worm, and family of virus, Trojan and worm variants, are each given a name. The programming code in all variants within a family will be similar (it is often copied and only altered slightly) and the effects will usually also be similar.

Examples: 'Bagle' family includes variants with these names W32/Bagle-A and W32/Bagle-B

Но например, что конкретно относится к проактивной технологии Sophos Genotype, в имени обнаруженного вируса не отражается насколько мне известно.

[Сергей Ильин 1538]

Олег Рагозин, спасибо за помощь!

Но например, что конкретно относится к проактивной технологии Sophos Genotype, в имени обнаруженного вируса не отражается насколько мне известно.

Очень жаль, было бы очень интересно посмотреть, насколько эта технология эффективна.

[A. 875]

Но например, что конкретно относится к проактивной технологии Sophos Genotype, в имени обнаруженного вируса не отражается насколько мне известно.

Mal/Behav

[Олег Рагозин 10]

Это расширение относится к технологии Sophos HIPS, а точнее распознавание по потенциально вредоносному поведению. Насколько я понял, тут требовалось провести тест не по поведению, а по отнесению нового вируса к семейству уже известных.

[A. 875]

Это расширение относится к технологии Sophos HIPS, а точнее распознавание по потенциально вредоносному поведению. Насколько я понял, тут требовалось провести тест не по поведению, а по отнесению нового вируса к семейству уже известных.

это вердикт на основе анализа кода и нахождения в нем некоторых текстовых строк и используемых функций = эвристик.

[Олег Рагозин 10]

HIPS

Description:

A Host Intrusion Prevention System (HIPS) guards against unknown threats. Sophos's HIPS technology uses our anti-virus engine to stop unknown threats by analyzing behavior before code executes.

Naming:

Sophos Anti-Virus detects the behavior of these files as 'Malicious Behavior' and reports them with the prefix "Mal/".

Есть технология Sophos Genotype, которая по коду может определить к какому семейству относится вирус, и собственно указать в полученном определении вредоноса от кого тот рожден. А есть технология Sophos Behavior Genotype (он же HIPS), которая определяет вредоноса по поведению. Да, это производится до реального запуска кода, но не определяет семейство вирусов, от которых вредонос произошел. Насколько я понимаю, интересовала работа прежде всего именно Genotype, так что "Mal/Behav" здесь не поможет.

[A. 875]

HIPS

Description:

A Host Intrusion Prevention System (HIPS) guards against unknown threats. Sophos's HIPS technology uses our anti-virus engine to stop unknown threats by analyzing behavior before code executes.

Naming:

Sophos Anti-Virus detects the behavior of these files as 'Malicious Behavior' and reports them with the prefix "Mal/".

Есть технология Sophos Genotype, которая по коду может определить к какому семейству относится вирус, и собственно указать в полученном определении вредоноса от кого тот рожден. А есть технология Sophos Behavior Genotype (он же HIPS), которая определяет вредоноса по поведению. Да, это производится до реального запуска кода, но не определяет семейство вирусов, от которых вредонос произошел. Насколько я понимаю, интересовала работа прежде всего именно Genotype, так что "Mal/Behav" здесь не поможет.

Все еще год назад обсудили и разжевали.

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1264

[Dr.Golova 55]

> This is the version number of the new engine:

> 7.6.0.30

>

> The following changes were done:

>

> - Added & Updated: Generic and heuristic detections:

> DR/Zlob.Gen

> TR/Dldr.Zlob.Gen

> TR/Spy.Banker.Gen

> TR/Dldr.ConHook.Gen

> и т.д.

Эээ, т.е. им приходится перевыпускать не базы, а _движок_, чтобы поддерживать эвристики? Причем эвристики на конкретные зловерды, а не на поведение типа TR/Dldr (тогда был бы хоть как-то обоснован перевыпуск движка)? Однако, век живи, век учись...

[Сергей Ильин 1538]

Получается что так, к тому же детект типа .Gen в данном случае вводит в заблуждение.

[pROCKrammer 50]

Вот что я обнаружил Backdoor.Hupigon.gen ! В SpywareTerminator. Вроде у него нету ЭВРИСТИКИ? НУ тогда откуда .GEN/?

http://www.spywareterminator.com/item/1137...upigon.gen.html

[Сергей Ильин 1538]

Значит это детект по дженерик сигнатуре. Там антивирус ClamAV встроен

ClamAV Integration - optional integration of the ClamAV the real-time shields provides active protection against over 100,000 threats identified by the ClamAV team.

[pROCKrammer 50]

Сергей Ильин

Сори я знаю что тама Clam установлен но для него есть всоя база которая обновляется а это входит в стандартную свою базу. НУ КАК

[Umnik 997]

pROCKrammer

казнить нельзя помиловать

[Dr.Golova 55]

> Значит это детект по дженерик сигнатуре. Там антивирус ClamAV встроен.

У кламава нет, небыло, и не будет никогда дженериков.

[pROCKrammer 50]

У кламава нет, небыло, и не будет никогда дженериков.

Ну я что им говорил

[Сергей Ильин 1538]

У кламава нет, небыло, и не будет никогда дженериков.

Так что это тогда было? Просто передранное у кого-то название сигнатуры? Если так, то грубо работают ребята.

Trend Micro сегодня удивил интересными вердиктам:

1. Type: Generic; Примеры: Possible_Strat-6, Possible_Vundo-1

2. Type: Multiple; Пример: Compressed file

Есть документальные подтверждения, что эвристика у Trend Micro есть, так же как и детект по пакерам :wink: