Перейти к содержанию
pROCKrammer

Совпадения имен сигнатур: кража или полезная хитрость

Recommended Posts

Storm
yup

Ась?

Китайский

Это в тексте поста Гостева есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Ась?

это типа угу было=))

однажды, пользователям некоего китайского антивируса, это стало весьма принципиально, когда их антивирус стал находить заразу в самом себе...

позвольте поинтересоваться, кто им помог задетектить самих себя?=))

и как они после этого отреагировали?=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Не может такого ли быть, кто первый нашел и обозвал и передав вирус другим, то потом должен так же его и называть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

так с кетайцами небось это вот эта история

http://www.cnews.ru/news/top/index.shtml?2007/07/12/258590

«Война» между «Лабораторией Касперского» и Rising Tech началась после того, как ЛК добавила в базу вредоносных программ, используемую в своих продуктах для защиты, сигнатуру одного из файлов, относящихся к антивирусам Rising Tech.

во эти отморозки наверное расстроились когда начали сами себя детектить:o)

кстати а чем суд-то закончился?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
кстати а чем суд-то закончился?

Здесь Е.К. комментирует - http://forum.kasperskyclub.com/index.php?s...ost&p=19093

По-моему, ЛК одержала победу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI.

И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

НУ я их не делал! А что надр былоб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Еще один пример.

Раньше было так:

CAT-QuickHeal - - (Suspicious) - DNAScan

DrWeb - - BackDoor.Generic.1616

eSafe - - Suspicious File

F-Secure - - Trojan.Win32.Sovest.s

Ikarus - - Trojan-Spy.Win32.Agent.CH

Kaspersky - - Trojan.Win32.Sovest.s

McAfee - - New Malware.ac

Panda - - Suspicious file

Prevx1 - - Heuristic: Suspicious Self Modifying EXE

Sunbelt - - VIPRE.Suspicious

Webwasher-Gateway - - Win32.Malware.gen#PECompact!84 (suspicious)

А теперь:

AntiVir 7.6.0.46 2007.12.25 TR/Sovest.S.1

Avast 4.7.1098.0 2007.12.25 Win32:Sovest

AVG 7.5.0.516 2007.12.25 Generic8.KXN

CAT-QuickHeal 9.00 2007.12.25 (Suspicious) - DNAScan

DrWeb 4.44.0.09170 2007.12.26 BackDoor.Generic.1616

eSafe 7.0.15.0 2007.12.25 Suspicious File

Ewido 4.0 2007.12.26 Trojan.Sovest.s

F-Secure 6.70.13030.0 2007.12.26 Trojan.Win32.Sovest.s

Ikarus T3.1.1.15 2007.12.26 Trojan-Spy.Win32.Agent.CH

Kaspersky 7.0.0.125 2007.12.26 Trojan.Win32.Sovest.s

McAfee 5192 2007.12.24 New Malware.ac

NOD32v2 2747 2007.12.25 a variant of Win32/VB.NIK

Panda 9.0.0.4 2007.12.25 Bck/VB.SZ

Prevx1 V2 2007.12.26 Heuristic: Suspicious Self Modifying EXE

Rising 20.24.21.00 2007.12.26 Trojan.Win32.Sovest.s

Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious

Symantec 10 2007.12.26 Trojan Horse

VBA32 3.12.2.5 2007.12.24 Trojan.Win32.Sovest.s

Webwasher-Gateway 6.6.2 2007.12.26 Win32.Malware.gen#PECompact!84 (suspicious)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

надо было букы в конце добавить est и знак вопроса=)) хорошае название..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Видимо зловред блокирует доступы к порно-сайтам :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поехали...

Смотрим Вашу историю общения с Avira:

http://analysis.avira.com/samples/details....1pBJyQsT7X0vXB6

Отсюда видно, что файл Вы им отправили 20-го декабря.

Смотрим VirusWatch у Касперского:

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Детект добавлен 5-го декабря.

А вообще, судя по Вашему обмену файлами с Авирой, дела с фолсами у них обстоят намного хуже чем я думал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Ну вот опять я отпарвил файл в авиру который был виром. А давно когда я проверял этот файл в вирус тотале тока Аваст детектил его как MSIL:Kilo-C а потом его начал детектить икарус как Virus.MSIL.Kilo.C и наконец вирус лаб авиры назвал его W32/Kilo.A.(если в вирус тотале не детектит они на базу потом добавят)

.

Ну вот вопрос как они имена оденаковые придумали?

Ссылка в вирус тотал http://www.virustotal.com/resultado.html?5...8cb7104c05954c7

Ссылка на файл

http://analysis.avira.com/samples/details....cidentid=108571

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно ;) .

А версия А была добавлена в июне 2006 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну вот вопрос как они имена оденаковые придумали?

Передерают друг у друга имена, к гадалке не ходи. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ну, принцип раздачи имен у ЛК известен совершенно точно. А вот как другие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента ;) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

pROCKrammer, а может такой вариант? Например: грузите файл на вирустотал, там детект только у одного вендора (вышеупомянутый аваст). Затем этот файл едет к остальным вендорам посредством механизма вирустотала с результатом проверки, т.е. как раз с отчетом, что один-то вендор детектит с таким-то названием. И приезжает этот файлик к опять же вышеупомянутому икарусу, те смотрят на файл и смотрят на отчет с вирустотала и недолго думая добавляют его в базы с таким же названием (ключевое слово: "недолго думая"). :roll: Может по такому сюжету события развиваются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента :wink:

Вот и я о том же подумал.

pROCKrammer, в следующий раз, когда еще что-то интересное скомпилируете, будьте добры, направьте результат одновременно и остальным вендорам.

Думаю, в результае будет больше разных интересных названий для сигнатур...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

ума нет - считай калека.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

ума нет - считай калека.
Я его только с билдил а не запускал! И я не вирмак! А запускал я его в Виртуальной машине! А исходник если надо выложу гдето.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

По поводу "воровства" сигнатур. Смотрим вот этот пост и видим, что у Ikarus'а в 3 исследовании стоит детект MalwareScope. А эта технология используется только в антивирусе VBA32. Дальше - больше. Видно, что этот файл VBA32 вообще не детектит! И как это понимать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

То, что Икарус - паразит, известно уже дааавноооо :)

Видимо VBA32 поправил фолс, а Икарус не убрал его. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×