Перейти к содержанию
pROCKrammer

Совпадения имен сигнатур: кража или полезная хитрость

Recommended Posts

Storm
yup

Ась?

Китайский

Это в тексте поста Гостева есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Ась?

это типа угу было=))

однажды, пользователям некоего китайского антивируса, это стало весьма принципиально, когда их антивирус стал находить заразу в самом себе...

позвольте поинтересоваться, кто им помог задетектить самих себя?=))

и как они после этого отреагировали?=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Не может такого ли быть, кто первый нашел и обозвал и передав вирус другим, то потом должен так же его и называть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

так с кетайцами небось это вот эта история

http://www.cnews.ru/news/top/index.shtml?2007/07/12/258590

«Война» между «Лабораторией Касперского» и Rising Tech началась после того, как ЛК добавила в базу вредоносных программ, используемую в своих продуктах для защиты, сигнатуру одного из файлов, относящихся к антивирусам Rising Tech.

во эти отморозки наверное расстроились когда начали сами себя детектить:o)

кстати а чем суд-то закончился?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
кстати а чем суд-то закончился?

Здесь Е.К. комментирует - http://forum.kasperskyclub.com/index.php?s...ost&p=19093

По-моему, ЛК одержала победу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI.

И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

НУ я их не делал! А что надр былоб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Еще один пример.

Раньше было так:

CAT-QuickHeal - - (Suspicious) - DNAScan

DrWeb - - BackDoor.Generic.1616

eSafe - - Suspicious File

F-Secure - - Trojan.Win32.Sovest.s

Ikarus - - Trojan-Spy.Win32.Agent.CH

Kaspersky - - Trojan.Win32.Sovest.s

McAfee - - New Malware.ac

Panda - - Suspicious file

Prevx1 - - Heuristic: Suspicious Self Modifying EXE

Sunbelt - - VIPRE.Suspicious

Webwasher-Gateway - - Win32.Malware.gen#PECompact!84 (suspicious)

А теперь:

AntiVir 7.6.0.46 2007.12.25 TR/Sovest.S.1

Avast 4.7.1098.0 2007.12.25 Win32:Sovest

AVG 7.5.0.516 2007.12.25 Generic8.KXN

CAT-QuickHeal 9.00 2007.12.25 (Suspicious) - DNAScan

DrWeb 4.44.0.09170 2007.12.26 BackDoor.Generic.1616

eSafe 7.0.15.0 2007.12.25 Suspicious File

Ewido 4.0 2007.12.26 Trojan.Sovest.s

F-Secure 6.70.13030.0 2007.12.26 Trojan.Win32.Sovest.s

Ikarus T3.1.1.15 2007.12.26 Trojan-Spy.Win32.Agent.CH

Kaspersky 7.0.0.125 2007.12.26 Trojan.Win32.Sovest.s

McAfee 5192 2007.12.24 New Malware.ac

NOD32v2 2747 2007.12.25 a variant of Win32/VB.NIK

Panda 9.0.0.4 2007.12.25 Bck/VB.SZ

Prevx1 V2 2007.12.26 Heuristic: Suspicious Self Modifying EXE

Rising 20.24.21.00 2007.12.26 Trojan.Win32.Sovest.s

Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious

Symantec 10 2007.12.26 Trojan Horse

VBA32 3.12.2.5 2007.12.24 Trojan.Win32.Sovest.s

Webwasher-Gateway 6.6.2 2007.12.26 Win32.Malware.gen#PECompact!84 (suspicious)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

надо было букы в конце добавить est и знак вопроса=)) хорошае название..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Видимо зловред блокирует доступы к порно-сайтам :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поехали...

Смотрим Вашу историю общения с Avira:

http://analysis.avira.com/samples/details....1pBJyQsT7X0vXB6

Отсюда видно, что файл Вы им отправили 20-го декабря.

Смотрим VirusWatch у Касперского:

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Детект добавлен 5-го декабря.

А вообще, судя по Вашему обмену файлами с Авирой, дела с фолсами у них обстоят намного хуже чем я думал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Ну вот опять я отпарвил файл в авиру который был виром. А давно когда я проверял этот файл в вирус тотале тока Аваст детектил его как MSIL:Kilo-C а потом его начал детектить икарус как Virus.MSIL.Kilo.C и наконец вирус лаб авиры назвал его W32/Kilo.A.(если в вирус тотале не детектит они на базу потом добавят)

.

Ну вот вопрос как они имена оденаковые придумали?

Ссылка в вирус тотал http://www.virustotal.com/resultado.html?5...8cb7104c05954c7

Ссылка на файл

http://analysis.avira.com/samples/details....cidentid=108571

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно ;) .

А версия А была добавлена в июне 2006 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну вот вопрос как они имена оденаковые придумали?

Передерают друг у друга имена, к гадалке не ходи. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ну, принцип раздачи имен у ЛК известен совершенно точно. А вот как другие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента ;) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

pROCKrammer, а может такой вариант? Например: грузите файл на вирустотал, там детект только у одного вендора (вышеупомянутый аваст). Затем этот файл едет к остальным вендорам посредством механизма вирустотала с результатом проверки, т.е. как раз с отчетом, что один-то вендор детектит с таким-то названием. И приезжает этот файлик к опять же вышеупомянутому икарусу, те смотрят на файл и смотрят на отчет с вирустотала и недолго думая добавляют его в базы с таким же названием (ключевое слово: "недолго думая"). :roll: Может по такому сюжету события развиваются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента :wink:

Вот и я о том же подумал.

pROCKrammer, в следующий раз, когда еще что-то интересное скомпилируете, будьте добры, направьте результат одновременно и остальным вендорам.

Думаю, в результае будет больше разных интересных названий для сигнатур...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

ума нет - считай калека.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

ума нет - считай калека.
Я его только с билдил а не запускал! И я не вирмак! А запускал я его в Виртуальной машине! А исходник если надо выложу гдето.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

По поводу "воровства" сигнатур. Смотрим вот этот пост и видим, что у Ikarus'а в 3 исследовании стоит детект MalwareScope. А эта технология используется только в антивирусе VBA32. Дальше - больше. Видно, что этот файл VBA32 вообще не детектит! И как это понимать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

То, что Икарус - паразит, известно уже дааавноооо :)

Видимо VBA32 поправил фолс, а Икарус не убрал его. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×