Перейти к содержанию
pROCKrammer

Совпадения имен сигнатур: кража или полезная хитрость

Recommended Posts

pROCKrammer
....

AntiVir 7.6.0.40 2007.12.07 TR/Dldr.Delf.ddz

....

Kaspersky 7.0.0.125 2007.12.08 Trojan-Downloader.Win32.Delf.ddz

....

Если посмотреть значит что имена малвар оденаковы. Смешно. :lol:

Значит Каспер ворует у Авиры малвары :?:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

....

AntiVir 7.6.0.40 2007.12.07 TR/Dldr.Delf.ddz

....

Kaspersky 7.0.0.125 2007.12.08 Trojan-Downloader.Win32.Delf.ddz

....

Если посмотреть значит что имена малвар оденаковы. Смешно. :lol:

Значит Каспер ворует у Авиры малвары :?:

да, а вы как думали ? воруем все, все включая классификацию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

A.

Ну как они воруют вообше интерестно. Шпион (человек или прога)? Или они покупают инфу? Мда трудно представить всё это! :puzzled:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

Ну как они воруют вообше интерестно. Шпион (человек или прога)? Или они покупают инфу? Мда трудно представить всё это! :puzzled:

что же сложного. приходит файл - ага, уже детектится под таким то именем, значит а) точно зловред б) и имя известно - с) добавляем его детектирование автоматом к себе - д) называем это все суперинтеллектуальной технологией е) получаем призы за инновационные продукты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

:lol: Мда вам нажоб юмористический антивирус писать.

Ну который придумывает шутки. Например: нашел икар тест файл и сказал что чернобль и чтоб юзер проверил систему 5 раз по полной программе. Эт я к тому что хорошо шутите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Почему шучу ? Чистая правда.

Новейшая разработка Avira GmbH

В этом году наиболее инновационные идеи немецкой экономики будут снова бороться за престижную награду Economic Innovation Awards. В этом конкурсе компания Avira будет представлять свою передовую технологию The Automatic Malware Analysis System.

Ежедневно появляются тысячи новых вирусов. Их обнаружение требует от вирусных лабораторий невероятных усилий. A справляется с таким количеством вирусов благодаря новейшей разработке: The Automatic Malware Analysis System (автоматическая система анализа вредоносных программ. Данная система ловит вирусы и запускает их в виртуальной среде Интернет. В этом виртуальном Интернет мире вирусы показывают своё вредоносное поведение, которое позволяет Avira быстро и в автоматическом режиме идентифицировать и удалить любую потенциально опасную угрозу.

Преимущество пользователя от этой передовой технологии заключается в получении обновленной защиты за очень короткий срок. Вирусные эксперты Avira будут бороться за престижную награду, присуждаемую самым перспективным инновационным разработкам немецкой экономики. Награждение состоится 19 января 2008 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Если посмотреть значит что имена малвар оденаковы. Смешно. :lol:

Значит Каспер ворует у Авиры малвары :?:

да, а вы как думали ? воруем все, все включая классификацию

еще один:

Datei installer_1_.VIR empfangen 2007.12.10 22:08:44 (CET)

AntiVir 7.6.0.40 2007.12.10 TR/Spy.BZub.buz

DrWeb 4.44.0.09170 2007.12.10 Trojan.DownLoader.37340

Kaspersky 7.0.0.125 2007.12.10 Trojan-Spy.Win32.BZub.buz

McAfee 5182 2007.12.10 -

Microsoft 1.3007 2007.12.10 TrojanSpy:Win32/Bzub.GB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
еще один:

Историю на тему вспомнил. Летом что ли дело было. Прислали какой-то странный драйверок, кривой, китайский, чего делает - не сильно понятно, но весьма на руткита тянет аля сони. Ключи реестра хайдит, процессы енумерит и все такое - долго разбираться не стал - взял и задетектил.

А файл этот, это важно, у нас уже года три-четыре валялся в коллекции "странных, но ... " - но раньше не детектился конечно.

Проверил мультисканером - ни один из 20и антивирусов на него не ругается. Гугл говорит что про этот файл народ в инете еще тогда же - 3-4 года назад интересовался, но так ничего конкретного по нему антивирусные компании и не решили. но то что он у всех основных ав-вендоров побывал (и остался в коллекциях "спорных") - почти на 100% уверен.

Все ок, все хорошо. Только через пару дней фины возбудились - видите ли у крупного клиента этот "руткит" на нескольких десятках машин нашелся. Сели разбираться с финскими аналитиками - да, драйвер левый и нехороший конечно, но концы от него мы таки нашли - оказался драйвером какого-то китайского usb-флеша. А в этой компании как раз эти флешки были. Фалса вообщем.

Запускаю мультисканер и что же я вижу ? Файлик то детектится уже не только нами, но и - конечно же да ! Авирой родимой. И еще парой каких-то таких же уродов, вроде Икаруса. и конечно же имя - с точностью до .bcu совпадает ...

У нас в базе фалсу я конечно убрал - а вот им кто про нее скажет ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Файлик то детектится уже не только нами, но еще парой каких-то таких же уродов, вроде Икаруса. и конечно же имя - с точностью до .bcu совпадает ...

:)

любопытно, почему тогда TR/Dldr.Delf.ddz ни авира ни касперский не увидели ?

только икарус, ну и еще пара уродов ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
У нас в базе фалсу я конечно убрал - а вот им кто про нее скажет ? :)

А у них так и останется. И народ будут кричать, что "моя Авира нашла заразу, а тормозной Каспер не нашел" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
И народ будут кричать, что "моя Авира нашла заразу, а тормозной Каспер не нашел"

Но с другой стороны, если Авира начнет вести базу вроде файлик такой-то, детектится так-то, таким-то антивирусом в дальнейшем будет на основание это базы устраивать "перепроверки", то ИМХО получится неплохая технология.

ЗЫ Я конечно понимаю, что сотрудникам ЛК обидно, что их труд воруют, но с другой стороны им можно гордиться, что раз воруют, значит их труд действительно ценится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
Я конечно понимаю, что сотрудникам ЛК обидно, что их труд воруют, но с другой стороны им можно гордиться, что раз воруют, значит их труд действительно ценится.

Если квартиру обворуют - я буду гордиться, что у меня было что-то ценное. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Опять горотите про Авиру чтото плохое :evil: Аира не чё не ворует :!:

Она работает очень очень хорошо и им нету дуло до какогото касперкого :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Опять горотите про Авиру чтото плохое Evil or Very Mad Аира не чё не ворует

Тут ничего плохого не говорится. Здесь в основном факты констатируют. Например то, что у Авиры названия некоторых вирусов вплоть до префикса совпадают с ЛК-шными. Кроме того я например это плохим не считаю. Наоборот, при правильном подходе - это отличный вариант по клепанию сигнатур.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grovana
У нас в базе фалсу я конечно убрал - а вот им кто про нее скажет ?

а им скажет следующий цикл по перепроверке сэмплов с обновленной базой сигнатур

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman
У нас в базе фалсу я конечно убрал - а вот им кто про нее скажет ? :)

А у них так и останется. И народ будут кричать, что "моя Авира нашла заразу, а тормозной Каспер не нашел" :)

Вообще в первом посте говорилось, что касперский ворует, т.е. ваши слова с точностью наоборот, может поэтому у каспера такие раздутые базы?

Добавлено спустя 2 минуты 27 секунд:

Опять горотите про Авиру чтото плохое Evil or Very Mad Аира не чё не ворует

Здесь в основном факты констатируют. Например то, что у Авиры названия некоторых вирусов вплоть до префикса совпадают с ЛК-шными.

Или наоборот

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

чего наоборот ?

мозг включать надо иногда хотя бы ...

Добавлено спустя 10 минут 5 секунд:

первые попавшиеся примеры навскидку

берем:

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

+ для разнообразия - из другого семейства:

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

смотрим на даты добавления и имена

идем сюда

http://www.avira.com/en/threats/section/vd...7.00.01.70.html

ищем .kcz, .kje, .jza, .jbj, .fnj

смотрим на имена, смотрим на дату релиза

долго думаем

можете сами на других примерах посравнивать, понаблюдать ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

A.

Может вы и правы, я не сравнивал, а судил по сообщению из первого поста, в котором по дате как раз говорится об обратном.

Проверил, Вы правы. Мозгу нужны перерывы :) Некоторые записи не нашел в Касперском (обратный ход Касперский-Авира не проверял).

Возможны ли партнерские соглашения об обмене базами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
Возможны ли партнерские соглашения об обмене базами?

ЛК обменивается найденным вирьем примерно с 15-ю компаниями раз в месяц. Но, насколько я понимаю, обмен происходит не базами, а самими зловредами в оригинальном виде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Ситуация тут двоякая. Точнее троякая :)

1. Плохо, конечно, если сигнатуры воруют, но КАК ЭТО ПРОИСХОДИТ? Откуда, например, Авира или Икарус знают, что под таким-то именем скрывается именно этот зловред? Нет, ну понятно, что если файл прогоняли на вирустотале, он попал вместе с отчетом по другим антивирам и Авире (или Икарусу). Но в задчке спрашивается: нафига козе бОян? Т.е. нафига обзывать его так же, как у Каспера? Можно ведь любое имя дать (в рамках разумного, конечно) :)

2. Мне вот в связи с этим до сих пор непонятно, если у Авиры и ВэбВошера совпадают имена баз, то это значит, что а) ВэбВошер тырит базы у Авиры? б) ВэбВошер законно использует базы Авиры? в) ВэбВошер использует и базы и движок Авиры? Непаняяятнаааа... :( Это, кстати, и поражает массу споров :(

3. Конечному юзеру, в принципе, не принципиально кто у кого че стырял, лишь бы его антивир заразу ловил :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
1. Плохо, конечно, если сигнатуры воруют, но КАК ЭТО ПРОИСХОДИТ? Откуда, например, Авира или Икарус знают, что под таким-то именем скрывается именно этот зловред? Нет, ну понятно, что если файл прогоняли на вирустотале, он попал вместе с отчетом по другим антивирам и Авире (или Икарусу). Но в задчке спрашивается: нафига козе бОян? Т.е. нафига обзывать его так же, как у Каспера? Можно ведь любое имя дать (в рамках разумного, конечно) :)

Это-то как раз просто.

Роботы сами имена придумывать не умеют.

3. Конечному юзеру, в принципе, не принципиально кто у кого че стырял, лишь бы его антивир заразу ловил :)

однажды, пользователям некоего китайского антивируса, это стало весьма принципиально, когда их антивирус стал находить заразу в самом себе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Это-то как раз просто.

Роботы сами имена придумывать не умеют.

однажды, пользователям некоего китайского антивируса, это стало весьма принципиально, когда их антивирус стал находить заразу в самом себе...

Так зачем обслуживающий персонал дает такие же названия? руководство за это по шапке не дает? ведь у каждой конторы есть свои стандарты "обзывания"... Непонятнааа :(

Ну, это скорее исключение. Разве будет рядовой пользователь при обнаружении вирни лезть на вирустотал или в список обновления баз конкурентов и смотреть - действительно ли его антивирус обозвал заразу оригинально или же использовал имя конкурента? Не думаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
когда их антивирус стал находить заразу в самом себе...

Это который базы ЛК использовал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
когда их антивирус стал находить заразу в самом себе...

Это который базы ЛК использовал?

yup

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
когда их антивирус стал находить заразу в самом себе...

Это который базы ЛК использовал?

Китайский

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×