Umnik 997 Жалоба Опубликовано Декабрь 28, 2007 После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам. Ответ ЛК мне заранее известен. А как у других? З.Ы. Пост был изменен. 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dan 10 Жалоба Опубликовано Декабрь 28, 2007 На просмотр картинки прав нет. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Жалоба Опубликовано Декабрь 28, 2007 хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Lemmit 31 Жалоба Опубликовано Декабрь 28, 2007 Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Жалоба Опубликовано Декабрь 28, 2007 Изменил первый пост. Картинку прикрепил. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Lemmit 31 Жалоба Опубликовано Декабрь 28, 2007 Теперь ок. :wink: Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dan 10 Жалоба Опубликовано Декабрь 28, 2007 Стоит также отметить что вариант не может быть "придуман". Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl . Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vaber 350 Жалоба Опубликовано Декабрь 28, 2007 А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dan 10 Жалоба Опубликовано Декабрь 28, 2007 На совести аналитика. Как то, несколько лет назад, мне на стол попали интересные файлы. Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных. Т.е. с одной стороны бот и бекдор, а с другой стороны EPO. Так и появился дженерик детекшен Poebot.a . 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vaber 350 Жалоба Опубликовано Декабрь 28, 2007 аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали ))). Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Денис Лебедев 20 Жалоба Опубликовано Декабрь 28, 2007 Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-) TROJ_ZHOPA.A Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь. Насчет классификации - у трендовцев немного другая. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Жалоба Опубликовано Декабрь 29, 2007 Так что, кроме ЛК никто не признается, как именно малварам даются имена? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dot_sent 140 Жалоба Опубликовано Декабрь 29, 2007 [оффтоп] Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь. Не только у них... Навскидку Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web) ещё у Касперского помнится был некий Padonak, ну и Costrat . [/оффтоп] Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Жалоба Опубликовано Март 21, 2008 Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
A. 875 Жалоба Опубликовано Март 21, 2008 Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Alex_Goodwin 81 Жалоба Опубликовано Март 22, 2008 Все возможные вердикты ЛК на сегодняшний день, кроме эвристики. Секция behaviour TrojWare:Trojan-ArcBomb Backdoor Trojan Trojan-AOL Trojan-Clicker Trojan-Downloader Trojan-Dropper Trojan-Notifier Trojan-Proxy Trojan-PSW Trojan-Spy Trojan-DDoS Trojan-IM RootKit Trojan-SMS VirWare: Email-Worm IM-Worm IRC-Worm Net-Worm P2P-Worm Worm Virus MalWare: Constructor DoS Exploit FileCryptor Flooder HackTool not-virus:Hoax not-virus:BadJoke Nuker PolyCryptor PolyEngine Sniffer SpamTool Spoofer VirTool Email-Flooder IM-Flooder SMS-Flooder AdWare: not-a-virus:AdWare PornWare: not-a-virus:Porn-Dialer not-a-virus:Porn-Downloader not-a-virus:Porn-Tool RiskWare: not-a-virus:Tool not-a-virus:Client-IRC not-a-virus:Dialer not-a-virus:Downloader not-a-virus:Monitor not-a-virus:PSWTool not-a-virus:RemoteAdmin not-a-virus:Server-FTP not-a-virus:Server-Proxy not-a-virus:Server-Telnet not-a-virus:Server-Web not-a-virus:RiskTool not-a-virus:NetTool not-a-virus:Client-P2P not-a-virus:Client-SMTP not-a-virus:AdTool not-a-virus:FraudTool Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Сергей Ильин 1537 Жалоба Опубликовано Март 22, 2008 not-a-virus:Tool Что прикажете делать юзеру, которому будет выдан такой вот вердикт? Ведь никто не будет знать, что делать. Ни хрена же не понятно. not-a-virus:Porn-Tool Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Жалоба Опубликовано Март 23, 2008 A. Дата 22.03.2008, 3:36 Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ? Естественно картинку смотрел внимательно: на распаковке w32sys8.exe присутствует модуль без расширения Stalin C:\WINDOWS\system32\w32sys8.exe//Stalin который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!). А его сосед по папке - w32sys3.exe - PSW-трояном. Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dan 10 Жалоба Опубликовано Март 24, 2008 Естественно картинку смотрел внимательно:на распаковке w32sys8.exe присутствует модуль без расширения Stalin C:\WINDOWS\system32\w32sys8.exe//Stalin который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!). А его сосед по папке - w32sys3.exe - PSW-трояном. Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния. Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Жалоба Опубликовано Март 27, 2008 dan Да, по-видимому это было так. Ноут был чужой. Но вот что странно - у пользователя ни программы, ни игры с таким названием не было. А тут проникновение в системную директорию SFX-файла со Stalin внутри. Я хотел обратить внимание именно на это название, определённое как троян-агент. А некоторые тут сразу "ругаться"... Нет чтобы сперва попросить файлик на анализ. Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Dr.Golova 55 Жалоба Опубликовано Март 28, 2008 Хе-хе, испугались? Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Жалоба Опубликовано Март 30, 2008 Dr.Golova Дата 28.03.2008, 6:44 Хе-хе, испугались? Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-) Вы имеете ввиду - упаковщик? А почему антивирус их в троян-агенты записал, или это какая-то традиция? Незря видимо история эта всплыла. Просветите нас... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Alex_Goodwin 81 Жалоба Опубликовано Март 30, 2008 Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился. А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Андрей-001 1099 Жалоба Опубликовано Апрель 2, 2008 А еще детект бывает на крипторы/обсфукаторы.. Понятно, только вероятно - ОБФУСКАТОРЫ. Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его. Правильно, ату его! а неча было мухлевать! И знание исторических терминов для Антивируса не имеет смысла. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Raven_River 0 Жалоба Опубликовано Апрель 4, 2008 На совести аналитика. ... Да так и есть. Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты