Перейти к содержанию
Umnik

По какому принципу вендоры именуют малвары?

Recommended Posts

Umnik

После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам.

Ответ ЛК мне заранее известен.

А как у других?

З.Ы. Пост был изменен.

pravila.jpg

post-3736-1198830330.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

На просмотр картинки прав нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Изменил первый пост. Картинку прикрепил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Теперь ок. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Стоит также отметить что вариант не может быть "придуман".

Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

На совести аналитика.

Как то, несколько лет назад, мне на стол попали интересные файлы.

Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных.

Т.е. с одной стороны бот и бекдор, а с другой стороны EPO.

Так и появился дженерик детекшен Poebot.a :) .

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали :)))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-)

TROJ_ZHOPA.A

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Насчет классификации - у трендовцев немного другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так что, кроме ЛК никто не признается, как именно малварам даются имена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

[оффтоп]

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Не только у них... Навскидку

Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web)

ещё у Касперского помнится был некий Padonak, ну и Costrat :).

[/оффтоп]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Все возможные вердикты ЛК на сегодняшний день, кроме эвристики.

Секция behaviour

TrojWare:

Trojan-ArcBomb

Backdoor

Trojan

Trojan-AOL

Trojan-Clicker

Trojan-Downloader

Trojan-Dropper

Trojan-Notifier

Trojan-Proxy

Trojan-PSW

Trojan-Spy

Trojan-DDoS

Trojan-IM

RootKit

Trojan-SMS

VirWare:

Email-Worm

IM-Worm

IRC-Worm

Net-Worm

P2P-Worm

Worm

Virus

MalWare:

Constructor

DoS

Exploit

FileCryptor

Flooder

HackTool

not-virus:Hoax

not-virus:BadJoke

Nuker

PolyCryptor

PolyEngine

Sniffer

SpamTool

Spoofer

VirTool

Email-Flooder

IM-Flooder

SMS-Flooder

AdWare:

not-a-virus:AdWare

PornWare:

not-a-virus:Porn-Dialer

not-a-virus:Porn-Downloader

not-a-virus:Porn-Tool

RiskWare:

not-a-virus:Tool

not-a-virus:Client-IRC

not-a-virus:Dialer

not-a-virus:Downloader

not-a-virus:Monitor

not-a-virus:PSWTool

not-a-virus:RemoteAdmin

not-a-virus:Server-FTP

not-a-virus:Server-Proxy

not-a-virus:Server-Telnet

not-a-virus:Server-Web

not-a-virus:RiskTool

not-a-virus:NetTool

not-a-virus:Client-P2P

not-a-virus:Client-SMTP

not-a-virus:AdTool

not-a-virus:FraudTool

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
not-a-virus:Tool

Что прикажете делать юзеру, которому будет выдан такой вот вердикт? :) Ведь никто не будет знать, что делать. Ни хрена же не понятно.

not-a-virus:Porn-Tool

Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
A. Дата 22.03.2008, 3:36

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

dan

Да, по-видимому это было так. Ноут был чужой.

Но вот что странно - у пользователя ни программы, ни игры с таким названием не было.

А тут проникновение в системную директорию SFX-файла со Stalin внутри.

Я хотел обратить внимание именно на это название, определённое как троян-агент.

А некоторые тут сразу "ругаться"... :)

Нет чтобы сперва попросить файлик на анализ. ;)

Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Dr.Golova Дата 28.03.2008, 6:44

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Вы имеете ввиду - упаковщик?

А почему антивирус их в троян-агенты записал, или это какая-то традиция?

Незря видимо история эта всплыла. Просветите нас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился.

А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще детект бывает на крипторы/обсфукаторы..

Понятно, только вероятно - ОБФУСКАТОРЫ.

Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его. :)

Правильно, ату его! а неча было мухлевать! :angry:

И знание исторических терминов для Антивируса не имеет смысла. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
На совести аналитика. ...

Да так и есть.

Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Услуги психиатра при психических расстройствах Частный психиатр Спиглазов Артур Евгеньевич помогает справиться с различными психическими расстройствами быстро, эффективно и качество, а главное, что уже после первого приема вы почувствуете существенное облегчение и гармонию с окружающим миром. Услуги частного психиатра обойдутся недорого, если обратиться за помощью к этому специалисту, который знает, какие методики эффективней использовать. У Спиглазова за плечами огромный опыт работы и стремление помочь каждому клиенту, который обратился к нему со своей проблемой. Дополнительно он оказывает услуги в сфере судебной психиатрии. Важным достоинством обращения является то, что о вашем посещении Артура Евгеньевича никто не узнает. Позаботьтесь о своем психическом здоровье, ведь оно так же важно, как и физическое. Правильное лечение у компетентного специалиста улучшит качество жизни, способствует налаживанию отношений с близкими. Помощь частного психиатра поможет вам вновь испытать радость жизни, найти новое, увлекательное хобби и даже улучшить сон, сменить поведение, повлиять на мыслительные процессы. Если и вы постоянно ощущаете усталость, чувство разбитости, апатию, нежелание двигаться дальше, то необходимо обязательно посетить частного психиатра, который поможет вам, какой бы сложной ни была ситуация. При этом вы можете записаться к специалисту в наиболее комфортный для себя день. Он проведет профессиональную консультацию, расспросит обо всех проблемах и сделает выводы о том, какое лечение вам больше всего подходит. И не забывайте о том, что вас никто не будет осуждать! Психиатрическое освидетельствование на сделке тоже может вам потребоваться. В этом случае сразу звоните по указанному номеру.
    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
×