Перейти к содержанию
Umnik

По какому принципу вендоры именуют малвары?

Recommended Posts

Umnik

После темы о "краже" названий мне стало интересно, по какому же принципу вендоры дают имена зловредам.

Ответ ЛК мне заранее известен.

А как у других?

З.Ы. Пост был изменен.

pravila.jpg

post-3736-1198830330.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

На просмотр картинки прав нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

хттп://www.ixbt.com/cm/kaspersky-summit2k7/pravila.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Аналогично. Анонимно, или под профилем картинки нет. RSS - с картинкой. Баг, видимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Изменил первый пост. Картинку прикрепил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Теперь ок. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Стоит также отметить что вариант не может быть "придуман".

Т.е. аналитик не можеть дать имя Trojan-Downloader.Win32.Tibs.tm , если не было имён Trojan-Downloader.Win32.Tibs.a ... Trojan-Downloader.Win32.Tibs.tl .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

А как имена придумывают? Или все на совести аналитика? Вот почему Tibs, а не Pips?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

На совести аналитика.

Как то, несколько лет назад, мне на стол попали интересные файлы.

Вроде бы заражённые системные компоненты, dll-ки от ВинРара. EPO механизмы передачи управления на декриптор. А тот в свою очередь раскриптовывает и запускает обычных ботов, большей частью IRC-шных.

Т.е. с одной стороны бот и бекдор, а с другой стороны EPO.

Так и появился дженерик детекшен Poebot.a :) .

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

аа, вот оно как... а я то думал, что Poebot производное от ругательного...думаю, это как же вирь достал аналитика, что его так обозвали :)))).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Да кстати, насчет того, как вирь достал аналитиков %)) яя тоже так подумал. Вот еще пример из Trend Labs :-)

TROJ_ZHOPA.A

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Насчет классификации - у трендовцев немного другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так что, кроме ЛК никто не признается, как именно малварам даются имена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

[оффтоп]

Где-то еще были примеры у них, которые очень созвучны с другими нашими словами :-) Как найду - отпишусь.

Не только у них... Навскидку

Trj/Ukurka.B (Panda) = Virus.Win32.Nakuru.a (Kaspersky) = Win32.HLLP.Kespo (Dr.Web)

ещё у Касперского помнится был некий Padonak, ну и Costrat :).

[/оффтоп]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Вот мне тоже хотелось бы узнать, почему один из malware из моего отчёта-картинки о работе AVP6 носит громкое название агент Stalin, см. моё сообщение в теме "Налётчики на Автозагрузку"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Все возможные вердикты ЛК на сегодняшний день, кроме эвристики.

Секция behaviour

TrojWare:

Trojan-ArcBomb

Backdoor

Trojan

Trojan-AOL

Trojan-Clicker

Trojan-Downloader

Trojan-Dropper

Trojan-Notifier

Trojan-Proxy

Trojan-PSW

Trojan-Spy

Trojan-DDoS

Trojan-IM

RootKit

Trojan-SMS

VirWare:

Email-Worm

IM-Worm

IRC-Worm

Net-Worm

P2P-Worm

Worm

Virus

MalWare:

Constructor

DoS

Exploit

FileCryptor

Flooder

HackTool

not-virus:Hoax

not-virus:BadJoke

Nuker

PolyCryptor

PolyEngine

Sniffer

SpamTool

Spoofer

VirTool

Email-Flooder

IM-Flooder

SMS-Flooder

AdWare:

not-a-virus:AdWare

PornWare:

not-a-virus:Porn-Dialer

not-a-virus:Porn-Downloader

not-a-virus:Porn-Tool

RiskWare:

not-a-virus:Tool

not-a-virus:Client-IRC

not-a-virus:Dialer

not-a-virus:Downloader

not-a-virus:Monitor

not-a-virus:PSWTool

not-a-virus:RemoteAdmin

not-a-virus:Server-FTP

not-a-virus:Server-Proxy

not-a-virus:Server-Telnet

not-a-virus:Server-Web

not-a-virus:RiskTool

not-a-virus:NetTool

not-a-virus:Client-P2P

not-a-virus:Client-SMTP

not-a-virus:AdTool

not-a-virus:FraudTool

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
not-a-virus:Tool

Что прикажете делать юзеру, которому будет выдан такой вот вердикт? :) Ведь никто не будет знать, что делать. Ни хрена же не понятно.

not-a-virus:Porn-Tool

Название само за себя говорит. Многие обрадуются и нажмут "Разрешить", потому как кнопки "Запустить немедленно!" в КАВе нет :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
A. Дата 22.03.2008, 3:36

Нет у них в базах никаких Сталиных. Вы на свою картинку внимательно смотрели ?

:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
:) Естественно картинку смотрел внимательно:

на распаковке w32sys8.exe присутствует модуль без расширения Stalin

C:\WINDOWS\system32\w32sys8.exe//Stalin

который в логе был обозван как Trojan-Downloader.Win32.Agent.gyf (чем-то же сканер руководствовался!).

А его сосед по папке - w32sys3.exe - PSW-трояном.

Эта и общая картина того лечения напоминает времена не так уж далёкой российской истории - у каждого malware может найтись и реальный персонаж, и его место в системе, и его известные деяния.

Скорее всего w32sys8.exe является SFX-архивом с файлом Stalin внутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

dan

Да, по-видимому это было так. Ноут был чужой.

Но вот что странно - у пользователя ни программы, ни игры с таким названием не было.

А тут проникновение в системную директорию SFX-файла со Stalin внутри.

Я хотел обратить внимание именно на это название, определённое как троян-агент.

А некоторые тут сразу "ругаться"... :)

Нет чтобы сперва попросить файлик на анализ. ;)

Ну теперь уж поздно. Осталась ещё одна нераскрытая загадка с известным именем в истории...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Dr.Golova Дата 28.03.2008, 6:44

Хе-хе, испугались?

Stalin - это пакер такой редкий. И кстати Beria тоже есть такой пакер :-)

Вы имеете ввиду - упаковщик?

А почему антивирус их в троян-агенты записал, или это какая-то традиция?

Незря видимо история эта всплыла. Просветите нас...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Потому что "троян-агенты" тоже бывают упакованы. Антивирь снял редкий пакер и трой задетектился.

А еще детект бывает на крипторы/обсфукаторы.. В этом случае трой не нужен, достаточно самого факта упаковки(криптовки), чтобы был алерт на файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А еще детект бывает на крипторы/обсфукаторы..

Понятно, только вероятно - ОБФУСКАТОРЫ.

Значит, если в каком-то програмном модуле есть намёк на криптографию или Java-обфускацию, использованные его создателем для защиты, чтобы затруднить анализ, модификацию, а, значит, детект и лечение в случае вирусного заражения, то Антивирус подозревает в нём троян-агента и бьёт тревогу, или без зазрения совести удаляет его. :)

Правильно, ату его! а неча было мухлевать! :angry:

И знание исторических терминов для Антивируса не имеет смысла. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River
На совести аналитика. ...

Да так и есть.

Если задетекчена новая адварь и не удалось найти её связь с уже существующими то вносится в базу ,например по имени какого-то ей принадлежащего файла - Adware.svcchost. Как придумает аналитик :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×