По какому принципу вендоры именуют малвары?

[Андрей-001 1099]

Из названия темы

По какому принципу вендоры именуют малвары?

Давно хотелось узнать, к примеру: RussoTuristo (KAV-KIS) = Godzilla (DrWeb)

Почему?

[Андрей-001 1099]

RussoTuristo (KAV-KIS) = Godzilla (DrWeb)

Почему?

Судя по тому, что аналитики вендоров до сих пор не смогли или не захотели ответить на поставленный выше вопрос.

Придётся написать: То "дела давно минувших дней, преданья старины глубокой..."

[Сергей Ильин 1538]

Давно хотелось узнать, к примеру: RussoTuristo (KAV-KIS) = Godzilla (DrWeb)

Почему? wink.gif

Логику тут едва ли какую-то можно найти, большинство названий дается от балды.

[Андрей-001 1099]

Логику тут едва ли какую-то можно найти...

Согласен, но вот насчёт вируса "Win32.Neshta" наши российские "Касперский" и "ДокторВеб" каким-то образом почти точто сошлись и в названиях и в описаниях:

Virus.Win32.Neshta

Win32.HLLP.Neshta

[Михаил Кондрашин 55]

Именование вредоносных файлов является не таким уж малозначительным делом. Причем собственно название не так уж важно. Тут нужно, чтобы слово не было неприличным ни в одном языке. Важны остальные части названия. У вех вендоров система именования совершенно не актуальна. На эту тему Дейвид Пери и Энтони Эрот в прошлом году написали статью

http://itw.trendmicro.com/pdfs/wp01_virusb...in_080111us.pdf

[Андрей-001 1099]

Представленный выше Бюллетень от TrendMicro в веб-страничном удобночитаемом и удобнопереводимом виде.

wp01_virusbulletin_080111us.zip

wp01_virusbulletin_080111us.zip

[dot_sent 140]

Прикрепленный файл wp01_virusbulletin_080111us.zip ( 246.12 килобайт ) Кол-во скачиваний: 626

O_O

Боты отаке?

[Андрей-001 1099]

Кол-во скачиваний: 672

Боты отаке?

Да, удивительное количество скачиваний - за час - 626, и за сутки - 672! Вирусный трафик прям.

dot_sent

/me Не понял, какие это боты?

[dot_sent 140]

dot_sent

/me Не понял, какие это боты?

Честно - понятия не имею. Но в тот момент, когда я свой пост писал, количество скачиваний прирастало со скоростью примерно 10/сек. Поскольку хомо сапиенсы навряд ли стали бы так скачивать файлы, то предположил наличие автоматики. А вот кому это выгодно - предполагать не берусь. Положить форум или накрутить ему трафик?...

[Андрей-001 1099]

предположил наличие автоматики.

- скорее всего. Сейчас Кол-во скачиваний: 688

Сутки спустя: Успокоились: 704

Видимо кто-то откуда-то ещё указал прямую ссылку для скачивания и её стали цеплять.

[Stuart 5]

Согласен, но вот насчёт вируса "Win32.Neshta" наши российские "Касперский" и "ДокторВеб" каким-то образом почти точто сошлись и в названиях и в описаниях:

Virus.Win32.Neshta

Win32.HLLP.Neshta

Такое обычно бывает, когда вирус детектит, к примеру, Касперский, который уже добавил сигнатуру к базам, а DrWeb - ещё нет. Потом пишут недовольные товарищи в DrWeb, типа как так - Каспер ловит, а веб нет. Ну, не долго думаю, DrWeb добавляет детект с точно таким же названием зловреда.

Да, и вообще есть у антвиирусных вендоров практика обмена сигнатурами. Что-то ловят и добавляют самостоятельно, а что-то добавляют уже после обмена сигнатурами, в таком случае и названия совпадают.

Ради интереса - написал свой троян. Отправил Касперскому. Детектит. Потом отослал Avira. Через некоторое время тоже детект с атким же именем, ну разве что только в название вместо точки слеш.

А так... Ну, если не от балды берут, то проводят какие-то ассоциации и дают имя вирусу.

[Андрей-001 1099]

Через некоторое время тоже детект с таким же именем

И сколько прошло у них времени на обмен опытом?

[Stuart 5]

KIS -> Avira, порядка недели.

[Андрей-001 1099]

Stuart

Интересная информация! А у других?

[dot_sent 140]

Такое обычно бывает, когда вирус детектит, к примеру, Касперский, который уже добавил сигнатуру к базам, а DrWeb - ещё нет. Потом пишут недовольные товарищи в DrWeb, типа как так - Каспер ловит, а веб нет. Ну, не долго думаю, DrWeb добавляет детект с точно таким же названием зловреда.

Да, и вообще есть у антвиирусных вендоров практика обмена сигнатурами. Что-то ловят и добавляют самостоятельно, а что-то добавляют уже после обмена сигнатурами, в таком случае и названия совпадают.

Ради интереса - написал свой троян. Отправил Касперскому. Детектит. Потом отослал Avira. Через некоторое время тоже детект с атким же именем, ну разве что только в название вместо точки слеш.

А так... Ну, если не от балды берут, то проводят какие-то ассоциации и дают имя вирусу.

1. Практики обмена сигнатур, AFAIK, не существует - разве что по партнерско-движковым соглашениям а-ля F-Secure + Kaspersky. Обмен зловредами - да, присутствует, но насколько он полезен - я не в курсе.

2. Имя вирусу, как правило, дается исходя из классификации вендора + личной фантазии аналитика. Последняя же отталкивается от наиболее очевидных отличительных признаков зверя - например, если представить себе файловый вирус-паразит, который при запуске файла-носителя помимо заражения будет выводит мессагбокс "Preved!", то с вероятностью 95% он будет содержать слово "Preved" в названии по классификации любых вендоров.

3. Троянописательство, даже с исследовательскими целями, попадает под статью, учтите

[vovan7777 95]

3. Троянописательство, даже с исследовательскими целями, попадает под статью, учтите

это еще вопрос-попробуйте доказать,что это писался именно троян,а не обычная программа для восстановления забытых паролей...уровень квалификации в прокуратуре не настолько высок,чтобы за такие дела браться и доводить до суда-это не вора,укравшего мобильник в подворотне,посадить.

доказательная база и прецеденты очень редки -единичны ,особенно в РФ.

поэтому статьей из кодекса трудно кого то напугать,да и мертвая эта статья.

поэтому и вы ставите смайлик -сами не верите,что за это кого то посадят и массово тем более...

[alexgr 556]

это еще вопрос-попробуйте доказать,что это писался именно троян,а не обычная программа для восстановления забытых паролей...уровень квалификации в прокуратуре не настолько высок,чтобы за такие дела браться и доводить до суда-это не вора,укравшего мобильник в подворотне,посадить.

возможно, я огорчу вас. Но писавший сии слова работал в компании, которую приглашали не раз быть экспертом при расследовании тех или иных коллизий в киберпространстве. То есть на самом деле применение статьи - это только вопрос желания правоохранительных органов. При этом напомню, что на просторах СНГ до сих пор бытует правило - вы мне дайте человека, а статья найдется. То есть - ежели к ним в разработку попадешь - не факт, что применят статью про вмешательство в работу компьютерных систем или распространение вредоносов... К сожалению

[Андрей-001 1099]

Троянописательство, даже с исследовательскими целями, попадает под статью

Укажите конкретный пункт такой статьи и мы разберёмся насколько эта статья - Статья.

[p2u 824]

Укажите конкретный пункт такой статьи и мы разберёмся насколько эта статья - Статья.

Статья 273 УК РФ, например: 'Создание, использование и распространение вредоносных программ для ЭВМ'.

Не в словах этой статьи дело, а в их толковании; это большая разница в судебной практике! Думаю, что любой желающий этого дознаватель посадит вас, так как преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.

P.S.: Проблема ещё в том, что критерии, по которым программные продукты (модули) могут быть отнесены к категории вредоносных программ до настоящего времени нигде чётко не оговорены. Соответственно, для того, чтобы утверждение о вредоносности программы имело юридическую силу, необходимо проведение программно-технической экспертизы с соблюдением всех установленных действующим законодательством формальностей. Судебный эксперт на то эксперт, что он будет говорить то, что от его ожидают...

Paul

[Андрей-001 1099]

ЭВМ

- электронно-вычислительная машина. ПК в законе что калькулятор какой-то.

Курам читать насмех такие статьи.

[alexgr 556]

ПК - не электронно-вычислительная машина? А что тогда, по - вашему? Туда же отнесем и мэйнфреймы...даже если очень не нравится, но это все ЭВМ. КУрам на смех - когда вы их (эти статьи) читаете. Когда вам их зачитывают - обычно не смешно

[Андрей-001 1099]

ПК - уже давно не электронно-вычислительная машина.

И перестал ею быть с закрытием последнего электронно-вычислительного центра.

Статьи давно пора менять. Неактуальны.

[alexgr 556]

т ак определите, что такое ПК По мне -это не более, чем персональная электронно-вычислительная машина. В чем я не прав?

A computer is a machine that manipulates data according to a list of instructions.

Носителем информации явется пока элетрическое поле.

Появятся фотонные - тогда стоит менять статьи

[Андрей-001 1099]

т ак определите, что такое ПК По мне -это не более, чем персональная электронно-вычислительная машина

1,2,3,4,5... alexgr идёт считать.

6,7,8,9,10 - разбегайся, кто может!

А вы дословно переведите слово компьютер на русский язык, и сразу станет всё понятно.

У нас с вами уже полный OFFTOP... счас кто-то прибежит...

A computer is a machine that manipulates data according to a list of instructions

Слово comput переведите, а не выдержку из англоязычной...

Потом добавьте ER и Персональный.

И получится то определение ПК, что вы просили.

[alexgr 556]

вы определите - я это просил. Не перевод. Разницы не ощущаете?

Напоследок - основы чего излагаются в курсе основ вычислительной техники? Оффтопа не боюсь, но точночти определений стараюсь следовать