Перейти к содержанию
Umnik

По какому принципу вендоры именуют малвары?

Recommended Posts

Umnik

После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам.

Ответ ЛК мне заранее известен.

А как у других?

З.Ы. Пост был изменен.

pravila.jpg

post-3736-1198830330.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Изменил первый пост. Картинку прикрепил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Стоит также отметить что вариант не может быть "придуман".

Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

На совести аналитика.

Как то, несколько лет назад, мне на стол попали интересные файлы.

Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных.

Т.е. с одной стороны бот и бекдор, а с другой стороны EPO.

Так и появился дженерик детекшен Poebot.a :) .

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали :)))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-)

TROJ_ZHOPA.A

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Насчет классификации - у трендовцев немного другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так что, кроме ЛК никто не признается, как именно малварам даются имена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

[оффтоп]

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Не только у них... Навскидку

Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web)

ещё у Касперского помнится был некий Padonak, ну и Costrat :).

[/оффтоп]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Все возможные вердикты ЛК на сегодняшний день, кроме эвристики.

Секция behaviour

TrojWare:

Trojan-ArcBomb

Backdoor

Trojan

Trojan-AOL

Trojan-Clicker

Trojan-Downloader

Trojan-Dropper

Trojan-Notifier

Trojan-Proxy

Trojan-PSW

Trojan-Spy

Trojan-DDoS

Trojan-IM

RootKit

Trojan-SMS

VirWare:

Email-Worm

IM-Worm

IRC-Worm

Net-Worm

P2P-Worm

Worm

Virus

MalWare:

Constructor

DoS

Exploit

FileCryptor

Flooder

HackTool

not-virus:Hoax

not-virus:BadJoke

Nuker

PolyCryptor

PolyEngine

Sniffer

SpamTool

Spoofer

VirTool

Email-Flooder

IM-Flooder

SMS-Flooder

AdWare:

not-a-virus:AdWare

PornWare:

not-a-virus:Porn-Dialer

not-a-virus:Porn-Downloader

not-a-virus:Porn-Tool

RiskWare:

not-a-virus:Tool

not-a-virus:Client-IRC

not-a-virus:Dialer

not-a-virus:Downloader

not-a-virus:Monitor

not-a-virus:PSWTool

not-a-virus:RemoteAdmin

not-a-virus:Server-FTP

not-a-virus:Server-Proxy

not-a-virus:Server-Telnet

not-a-virus:Server-Web

not-a-virus:RiskTool

not-a-virus:NetTool

not-a-virus:Client-P2P

not-a-virus:Client-SMTP

not-a-virus:AdTool

not-a-virus:FraudTool

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
not-a-virus:Tool

Что прикажете делать юзеру, которому будет выдан такой вот вердикт? :) Ведь никто не будет знать, что делать. Ни хрена же не понятно.

not-a-virus:Porn-Tool

Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
A. Дата 22.03.2008, 3:36

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

dan

Да, по-видимому это было так. Ноут был чужой.

Но вот что странно - у пользователя ни программы, ни игры с таким названием не было.

А тут проникновение в системную директорию SFX-файла со Stalin внутри.

Я хотел обратить внимание именно на это название, определённое как троян-агент.

А некоторые тут сразу "ругаться"... :)

Нет чтобы сперва попросить файлик на анализ. ;)

Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Dr.Golova Дата 28.03.2008, 6:44

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Вы имеете ввиду - упаковщик?

А почему антивирус их в троян-агенты записал, или это какая-то традиция?

Незря видимо история эта всплыла. Просветите нас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился.

А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще детект бывает на крипторы/обсфукаторы..

Понятно, только вероятно - ОБФУСКАТОРЫ.

Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его. :)

Правильно, ату его! а неча было мухлевать! :angry:

И знание исторических терминов для Антивируса не имеет смысла. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
На совести аналитика. ...

Да так и есть.

Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
    • Quinzy
      Я вам вот что скажу. Когда производитель решает за сколько продавать ту или иную технику, включая компьютер, то он рассчитывает и доходы населения. И если в той же Германии или Финляндии зарплаты 3-4 тысячи евро, то у нас не более 500. И там такой же компьютер будет стоит условные 500 евро, а у нас 100. Ориентация на доходы населения идёт. Понимаете?! Так что, берите лучше у нас. За границей найдете только б\у недорогую технику. И не знаю, как вы ищите, что не можете себе нормальный компьютер найти. Я себе без проблем нашёл хороший мощный компьютер Qbox https://qbox.ua/ua/product/kompyuter-qbox-a0165/ на базе процессора AMD с оперативой DDR4 на 4 GB и жестким на террабайт. Так мне его с лихвой хватает. И на игры, и для работы. 
    • Momo
      Можно, только я не могу найти для себя хороший компьютер для себя.
    • Ondrey
      А у нас, что нельзя нормальное что-то подобрать?
    • BooiCasino777
      Казино Буи - http://bit.ly/booikazin0 100% на первый депозит
      Казино Чемпион - http://bit.ly/Chaampion бонус на 5 депозитов
      Казино Джой - http://bit.ly/JoycasinoCom 200% на первый депозит
      Казино Х - http://bit.ly/CasinoXcom 200% на первый депозит
      ПлейФортуна - http://bit.ly/PlayFor1una 100% на первый депозит
      Mr. Bit http://bit.ly/Mr_Bit 125% на первый депозит
      SlotV http://bit.ly/Slot_V 100% на первый депозит
      FrankCasino http://bit.ly/Frank_Cas 150 % на первый депозит
      APlayCasino http://bit.ly/APlay_Casino 300% на 5 депозитов
      Columbus http://bit.ly/Columbus6 105 % на первый депозит
      DriftCasino http://bit.ly/Drift_Casi 150% на депозит
      Сол казино http://bit.ly/SOLcasino 200% на первый депозит
      Слотум казино http://bit.ly/slotumCazino 100% на первый депозит
      Редбокс http://bit.ly/RedBoxcasino 125% на первый депозит
      Покердом http://bit.ly/Poker1Dom 150 % на первый депозит
×