Umnik

По какому принципу вендоры именуют малвары?

В этой теме 73 сообщений

После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам.

Ответ ЛК мне заранее известен.

А как у других?

З.Ы. Пост был изменен.

pravila.jpg

post-3736-1198830330.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Изменил первый пост. Картинку прикрепил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Стоит также отметить что вариант не может быть "придуман".

Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На совести аналитика.

Как то, несколько лет назад, мне на стол попали интересные файлы.

Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных.

Т.е. с одной стороны бот и бекдор, а с другой стороны EPO.

Так и появился дженерик детекшен Poebot.a :) .

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали :)))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-)

TROJ_ZHOPA.A

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Насчет классификации - у трендовцев немного другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так что, кроме ЛК никто не признается, как именно малварам даются имена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

[оффтоп]

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Не только у них... Навскидку

Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web)

ещё у Касперского помнится был некий Padonak, ну и Costrat :).

[/оффтоп]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все возможные вердикты ЛК на сегодняшний день, кроме эвристики.

Секция behaviour

TrojWare:

Trojan-ArcBomb

Backdoor

Trojan

Trojan-AOL

Trojan-Clicker

Trojan-Downloader

Trojan-Dropper

Trojan-Notifier

Trojan-Proxy

Trojan-PSW

Trojan-Spy

Trojan-DDoS

Trojan-IM

RootKit

Trojan-SMS

VirWare:

Email-Worm

IM-Worm

IRC-Worm

Net-Worm

P2P-Worm

Worm

Virus

MalWare:

Constructor

DoS

Exploit

FileCryptor

Flooder

HackTool

not-virus:Hoax

not-virus:BadJoke

Nuker

PolyCryptor

PolyEngine

Sniffer

SpamTool

Spoofer

VirTool

Email-Flooder

IM-Flooder

SMS-Flooder

AdWare:

not-a-virus:AdWare

PornWare:

not-a-virus:Porn-Dialer

not-a-virus:Porn-Downloader

not-a-virus:Porn-Tool

RiskWare:

not-a-virus:Tool

not-a-virus:Client-IRC

not-a-virus:Dialer

not-a-virus:Downloader

not-a-virus:Monitor

not-a-virus:PSWTool

not-a-virus:RemoteAdmin

not-a-virus:Server-FTP

not-a-virus:Server-Proxy

not-a-virus:Server-Telnet

not-a-virus:Server-Web

not-a-virus:RiskTool

not-a-virus:NetTool

not-a-virus:Client-P2P

not-a-virus:Client-SMTP

not-a-virus:AdTool

not-a-virus:FraudTool

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
not-a-virus:Tool

Что прикажете делать юзеру, которому будет выдан такой вот вердикт? :) Ведь никто не будет знать, что делать. Ни хрена же не понятно.

not-a-virus:Porn-Tool

Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A. Дата 22.03.2008, 3:36

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dan

Да, по-видимому это было так. Ноут был чужой.

Но вот что странно - у пользователя ни программы, ни игры с таким названием не было.

А тут проникновение в системную директорию SFX-файла со Stalin внутри.

Я хотел обратить внимание именно на это название, определённое как троян-агент.

А некоторые тут сразу "ругаться"... :)

Нет чтобы сперва попросить файлик на анализ. ;)

Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova Дата 28.03.2008, 6:44

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Вы имеете ввиду - упаковщик?

А почему антивирус их в троян-агенты записал, или это какая-то традиция?

Незря видимо история эта всплыла. Просветите нас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился.

А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А еще детект бывает на крипторы/обсфукаторы..

Понятно, только вероятно - ОБФУСКАТОРЫ.

Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его. :)

Правильно, ату его! а неча было мухлевать! :angry:

И знание исторических терминов для Антивируса не имеет смысла. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На совести аналитика. ...

Да так и есть.

Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS