По какому принципу вендоры именуют малвары?

[Umnik 997]

После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам.

Ответ ЛК мне заранее известен.

А как у других?

З.Ы. Пост был изменен.

[dan 10]

На просмотр картинки прав нет.

[Umnik 997]

хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg

[Lemmit 31]

Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо.

[Umnik 997]

Изменил первый пост. Картинку прикрепил.

[Lemmit 31]

Теперь ок. :wink:

[dan 10]

Стоит также отметить что вариант не может быть "придуман".

Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl .

[vaber 350]

А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips?

[dan 10]

На совести аналитика.

Как то, несколько лет назад, мне на стол попали интересные файлы.

Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных.

Т.е. с одной стороны бот и бекдор, а с другой стороны EPO.

Так и появился дженерик детекшен Poebot.a .

[vaber 350]

аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали ))).

[Денис Лебедев 20]

Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-)

TROJ_ZHOPA.A

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Насчет классификации - у трендовцев немного другая.

[Umnik 997]

Так что, кроме ЛК никто не признается, как именно малварам даются имена?

[dot_sent 140]

[оффтоп]

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Не только у них... Навскидку

Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web)

ещё у Касперского помнится был некий Padonak, ну и Costrat .

[/оффтоп]

[Андрей-001 1099]

Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"?

[A. 875]

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

[Alex_Goodwin 81]

Все возможные вердикты ЛК на сегодняшний день, кроме эвристики.

Секция behaviour

TrojWare:

Trojan-ArcBomb

Backdoor

Trojan

Trojan-AOL

Trojan-Clicker

Trojan-Downloader

Trojan-Dropper

Trojan-Notifier

Trojan-Proxy

Trojan-PSW

Trojan-Spy

Trojan-DDoS

Trojan-IM

RootKit

Trojan-SMS

VirWare:

Email-Worm

IM-Worm

IRC-Worm

Net-Worm

P2P-Worm

Worm

Virus

MalWare:

Constructor

DoS

Exploit

FileCryptor

Flooder

HackTool

not-virus:Hoax

not-virus:BadJoke

Nuker

PolyCryptor

PolyEngine

Sniffer

SpamTool

Spoofer

VirTool

Email-Flooder

IM-Flooder

SMS-Flooder

AdWare:

not-a-virus:AdWare

PornWare:

not-a-virus:Porn-Dialer

not-a-virus:Porn-Downloader

not-a-virus:Porn-Tool

RiskWare:

not-a-virus:Tool

not-a-virus:Client-IRC

not-a-virus:Dialer

not-a-virus:Downloader

not-a-virus:Monitor

not-a-virus:PSWTool

not-a-virus:RemoteAdmin

not-a-virus:Server-FTP

not-a-virus:Server-Proxy

not-a-virus:Server-Telnet

not-a-virus:Server-Web

not-a-virus:RiskTool

not-a-virus:NetTool

not-a-virus:Client-P2P

not-a-virus:Client-SMTP

not-a-virus:AdTool

not-a-virus:FraudTool

[Сергей Ильин 1537]

not-a-virus:Tool

Что прикажете делать юзеру, которому будет выдан такой вот вердикт? Ведь никто не будет знать, что делать. Ни хрена же не понятно.

not-a-virus:Porn-Tool

Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет

[Андрей-001 1099]

A. Дата 22.03.2008, 3:36

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

[dan 10]

Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри.

[Андрей-001 1099]

dan

Да, по-видимому это было так. Ноут был чужой.

Но вот что странно - у пользователя ни программы, ни игры с таким названием не было.

А тут проникновение в системную директорию SFX-файла со Stalin внутри.

Я хотел обратить внимание именно на это название, определённое как троян-агент.

А некоторые тут сразу "ругаться"...

Нет чтобы сперва попросить файлик на анализ.

Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории...

[Dr.Golova 55]

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

[Андрей-001 1099]

Dr.Golova Дата 28.03.2008, 6:44

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Вы имеете ввиду - упаковщик?

А почему антивирус их в троян-агенты записал, или это какая-то традиция?

Незря видимо история эта всплыла. Просветите нас...

[Alex_Goodwin 81]

Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился.

А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл.

[Андрей-001 1099]

А еще детект бывает на крипторы/обсфукаторы..

Понятно, только вероятно - ОБФУСКАТОРЫ.

Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его.

Правильно, ату его! а неча было мухлевать!

И знание исторических терминов для Антивируса не имеет смысла.

[Raven_River 0]

На совести аналитика. ...

Да так и есть.

Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик