Перейти к содержанию
pROCKrammer

Совпадения имен сигнатур: кража или полезная хитрость

Recommended Posts

Storm
yup

Ась?

Китайский

Это в тексте поста Гостева есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Ась?

это типа угу было=))

однажды, пользователям некоего китайского антивируса, это стало весьма принципиально, когда их антивирус стал находить заразу в самом себе...

позвольте поинтересоваться, кто им помог задетектить самих себя?=))

и как они после этого отреагировали?=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman

Не может такого ли быть, кто первый нашел и обозвал и передав вирус другим, то потом должен так же его и называть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

так с кетайцами небось это вот эта история

http://www.cnews.ru/news/top/index.shtml?2007/07/12/258590

«Война» между «Лабораторией Касперского» и Rising Tech началась после того, как ЛК добавила в базу вредоносных программ, используемую в своих продуктах для защиты, сигнатуру одного из файлов, относящихся к антивирусам Rising Tech.

во эти отморозки наверное расстроились когда начали сами себя детектить:o)

кстати а чем суд-то закончился?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
кстати а чем суд-то закончился?

Здесь Е.К. комментирует - http://forum.kasperskyclub.com/index.php?s...ost&p=19093

По-моему, ЛК одержала победу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI.

И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
И где же хотя бы один скрин из этих 4 разов ? Пока я вижу только очередное подтверждение, того о чем в этом топике говорится, но никак не обратное ...

НУ я их не делал! А что надр былоб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Еще один пример.

Раньше было так:

CAT-QuickHeal - - (Suspicious) - DNAScan

DrWeb - - BackDoor.Generic.1616

eSafe - - Suspicious File

F-Secure - - Trojan.Win32.Sovest.s

Ikarus - - Trojan-Spy.Win32.Agent.CH

Kaspersky - - Trojan.Win32.Sovest.s

McAfee - - New Malware.ac

Panda - - Suspicious file

Prevx1 - - Heuristic: Suspicious Self Modifying EXE

Sunbelt - - VIPRE.Suspicious

Webwasher-Gateway - - Win32.Malware.gen#PECompact!84 (suspicious)

А теперь:

AntiVir 7.6.0.46 2007.12.25 TR/Sovest.S.1

Avast 4.7.1098.0 2007.12.25 Win32:Sovest

AVG 7.5.0.516 2007.12.25 Generic8.KXN

CAT-QuickHeal 9.00 2007.12.25 (Suspicious) - DNAScan

DrWeb 4.44.0.09170 2007.12.26 BackDoor.Generic.1616

eSafe 7.0.15.0 2007.12.25 Suspicious File

Ewido 4.0 2007.12.26 Trojan.Sovest.s

F-Secure 6.70.13030.0 2007.12.26 Trojan.Win32.Sovest.s

Ikarus T3.1.1.15 2007.12.26 Trojan-Spy.Win32.Agent.CH

Kaspersky 7.0.0.125 2007.12.26 Trojan.Win32.Sovest.s

McAfee 5192 2007.12.24 New Malware.ac

NOD32v2 2747 2007.12.25 a variant of Win32/VB.NIK

Panda 9.0.0.4 2007.12.25 Bck/VB.SZ

Prevx1 V2 2007.12.26 Heuristic: Suspicious Self Modifying EXE

Rising 20.24.21.00 2007.12.26 Trojan.Win32.Sovest.s

Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious

Symantec 10 2007.12.26 Trojan Horse

VBA32 3.12.2.5 2007.12.24 Trojan.Win32.Sovest.s

Webwasher-Gateway 6.6.2 2007.12.26 Win32.Malware.gen#PECompact!84 (suspicious)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

надо было букы в конце добавить est и знак вопроса=)) хорошае название..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Видимо зловред блокирует доступы к порно-сайтам :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Так вот ссылка на результат тестирования файла в вирустотале.

http://www.virustotal.com/resultado.html?b...dad7db4dfb7c6f5

Как видите имена малвар совпадают! Но в прошлые разы(4 раза) когда я этот файл проверял в вирус тотале каспер не находил вредоностного кода а Авира находила и давала имя VBS/AutoRun.AI. А этот файл я сам отправлял авире вот ссылка http://analysis.avira.com/samples/details....cidentid=107918

Ну на это что скажете?

Поехали...

Смотрим Вашу историю общения с Avira:

http://analysis.avira.com/samples/details....1pBJyQsT7X0vXB6

Отсюда видно, что файл Вы им отправили 20-го декабря.

Смотрим VirusWatch у Касперского:

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

Детект добавлен 5-го декабря.

А вообще, судя по Вашему обмену файлами с Авирой, дела с фолсами у них обстоят намного хуже чем я думал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

Ну вот опять я отпарвил файл в авиру который был виром. А давно когда я проверял этот файл в вирус тотале тока Аваст детектил его как MSIL:Kilo-C а потом его начал детектить икарус как Virus.MSIL.Kilo.C и наконец вирус лаб авиры назвал его W32/Kilo.A.(если в вирус тотале не детектит они на базу потом добавят)

.

Ну вот вопрос как они имена оденаковые придумали?

Ссылка в вирус тотал http://www.virustotal.com/resultado.html?5...8cb7104c05954c7

Ссылка на файл

http://analysis.avira.com/samples/details....cidentid=108571

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно ;) .

А версия А была добавлена в июне 2006 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну вот вопрос как они имена оденаковые придумали?

Передерают друг у друга имена, к гадалке не ходи. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ну, принцип раздачи имен у ЛК известен совершенно точно. А вот как другие?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Более того, если КЛ решит детектить этот файл, то называться он будет скорее всего Virus.MSIL.Kilo.b .

Если не фолса конечно .

А версия А была добавлена в июне 2006 года.

Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента ;) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

pROCKrammer, а может такой вариант? Например: грузите файл на вирустотал, там детект только у одного вендора (вышеупомянутый аваст). Затем этот файл едет к остальным вендорам посредством механизма вирустотала с результатом проверки, т.е. как раз с отчетом, что один-то вендор детектит с таким-то названием. И приезжает этот файлик к опять же вышеупомянутому икарусу, те смотрят на файл и смотрят на отчет с вирустотала и недолго думая добавляют его в базы с таким же названием (ключевое слово: "недолго думая"). :roll: Может по такому сюжету события развиваются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
Вот и нашли очередного вирмака, уважаемый Сардорбек Пулатов из Ташкента :wink:

Вот и я о том же подумал.

pROCKrammer, в следующий раз, когда еще что-то интересное скомпилируете, будьте добры, направьте результат одновременно и остальным вендорам.

Думаю, в результае будет больше разных интересных названий для сигнатур...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Нет этот файл не фолс! Я сам его компилил на Visual Studio 2005.NET и код его написан на C# (я этот вирь не писал а нашел гдето).

ума нет - считай калека.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
pROCKrammer

ума нет - считай калека.
Я его только с билдил а не запускал! И я не вирмак! А запускал я его в Виртуальной машине! А исходник если надо выложу гдето.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

По поводу "воровства" сигнатур. Смотрим вот этот пост и видим, что у Ikarus'а в 3 исследовании стоит детект MalwareScope. А эта технология используется только в антивирусе VBA32. Дальше - больше. Видно, что этот файл VBA32 вообще не детектит! И как это понимать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

То, что Икарус - паразит, известно уже дааавноооо :)

Видимо VBA32 поправил фолс, а Икарус не убрал его. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
    • PR55.RP55
      "времени на раскачку нет"  https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
      C:\Windows\System32\1corona.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
      C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
      C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 
    • dompokypok1
      Работаю над проектом интернет-магазина вроде все урезал ужал и жаль что еще можно сделать.
    • dgek2022
      Японская кухня пользуется популярностью по всей России. Традиционная еда из риса и морепродуктов – это прекрасная альтернатива привычному ужину или обеду. Наше кафе японской кухни предлагает удобную услугу – доставка суши, сеты, роллы и других блюд в Томске на дом или в офис. Для больших компаний у нас есть особенные предложения. Зачем куда-то ходить, если можно в любой момент заказать блюда японской кухни. Делая заявку в нашем кафе «Джекина Доставка», вы получаете свежий продукт. Для приготовления используются только натуральные ингредиенты. Особого внимания заслуживает дизайнерская упаковка из экосырья. Эстетичный вид и вкусные японские блюда – все это по доступной цене.
    • dompokypok1
      Периодически у компаний и частных лиц (реже) возникает задача по рейтингованию идей сотрудников или клиентов. Хороший инструмент — параметрические таблицы выбора. Лучшая реализация таблиц выбора на сайте https://choser.ru в choser.ru можно создать неограниченно большие списки/рейтинги идей/рационализаторских предложений/инноваций и за секунды менять приоритеты параметров, фильтры и сортировки для поиска или выбора лучших. Сам практикую использование параметрических таблиц для своих более чем 6400 идей, а так же многократно использовал аналогичный подход для рейтингования/конкурсов на предприятиях. Так что рекомендую  Официальный блог проекта см. https://4choser.ru
×