Пойманное в сети ITW - статистика от MOCT'а

Printable View

Показывать 40 сообщений этой темы на одной странице

30.10.2006, 23:37
MOCT

Альтернативные тесты от MOCT'а.

Попавшие в сети вредоносные программы за несколько часов фишинга в сети.

Рейтинг встречаемости:
13 - Trojan-Downloader.Win32.Zlob.asw
13 - Trojan-Downloader.Win32.INService.gen
5 - Trojan-Downloader.Win32.Zlob.asu
4 - Trojan-Downloader.Win32.Small.ddp
3 - Trojan.Win32.Agent.vg
3 - Trojan-Downloader.Win32.Tibs.ir
2 - not-a-virus.Downloader.Win32.WinFixer.o
2 - Trojan.Win32.Pakes
2 - Trojan-PSW.Win32.Hangame.cl

остальные по 1 разновидности:
Backdoor.Win32.Small.ls
Email-Worm.Win32.Warezov.dq
not-a-virus.Downloader.Win32.PopCap.a
not-a-virus.AdWare.Win32.HotBar.bj
not-a-virus.AdWare.Win32.Virtumonde.ej
not-a-virus.AdWare.Win32.Softomate.u
not-a-virus.AdWare.Win32.AdURL.c
not-a-virus.AdWare.Win32.Zestyfind
not-a-virus.AdTool.Win32.WinAD.bv
Packed.Win32.Klone.g
Trojan.Win32.Dialer.qu
Trojan.Win32.Pakes
Trojan.Win32.Pakes
Trojan.Win32.LipGame.ba
Trojan.Win32.BHO.g
Trojan.Win32.Diamin.ez
Trojan-Clicker.Win32.Agent.ac
Trojan-Downloader.Win32.Mediket.cw
Trojan-Downloader.Win32.Obfuscated.n
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Small.cxx
Trojan-Downloader.Win32.Small.on
Trojan-Downloader.Win32.Small.gh
Trojan-Downloader.Win32.PurityScan.co
Trojan-Downloader.Win32.Delf.awg
Trojan-Dropper.Win32.Agent.axq
Trojan-Proxy.Win32.Xorpix.ar
Trojan-Proxy.Win32.Agent.kn
Trojan-PSW.Win32.Nilage.api
Trojan-PSW.Win32.QQRob.il
Trojan-PSW.Win32.OnLineGames.au

Из этого можно сделать вывод, что наступила эпоха даунлоадеров.
04.11.2006, 02:13
MOCT

Попавшие в сети вредоносные программы за несколько часов фишинга в Интернете.
Приведены только вредоносные программы, которые детектируются Антивирусом Касперского. Каждая разновидность отличается контрольной суммамой - дубли удалены и на рейтинг не влияют.

Рейтинг кол-ва разновидностей:
9 - Trojan-Downloader.Win32.Zlob.atu
6 - not-a-virus.Downloader.Win32.WinFixer.o
5 - Trojan-Downloader.Win32.INService.gen
4 - Trojan-Downloader.Win32.Small.ddp
3 - Trojan.Win32.Agent.rx
3 - Trojan-Proxy.Win32.Agent.hd
2 - Trojan-Downloader.Win32.Tibs.iw
2 - Trojan-Downloader.Win32.Tibs.ir
2 - Trojan-Downloader.Win32.Zlob.alj
2 - Trojan-Downloader.Win32.Delf.awg
2 - Trojan-Proxy.Win32.Xorpix.ar
2 - Trojan-Proxy.Win32.Agent.jl
2 - Trojan-Dropper.Win32.Small.asx
2 - IM-Worm.Win32.Qucan.h

остальные по 1 разновидности:
not-a-virus.Downloader.Win32.PopCap.a
not-a-virus.Downloader.Win32.SpyGame
not-a-virus.Downloader.Win32.WinFixer.m
not-a-virus.Downloader.Win32.WinFixer.q
not-a-virus.AdWare.Win32.AccessMedia.a
not-a-virus.AdWare.Win32.SurfAccuracy.n
not-a-virus.AdWare.Win32.SurfAccuracy.g
not-a-virus.AdWare.Win32.BHO.ah
not-a-virus.AdWare.Win32.BetterInternet.au
not-a-virus.AdWare.Win32.SurfSide.ax
not-a-virus.RemoteAdmin.Win32.NetCat
Trojan-Downloader.Win32.Dyfuca.x
Trojan-Downloader.Win32.Dyfuca.bm
Trojan-Downloader.Win32.IstBar.pe
Trojan-Downloader.Win32.IstBar.pb
Trojan-Downloader.Win32.Zlob.atw
Trojan-Downloader.Win32.Zlob.ahr
Trojan-Downloader.Win32.Zlob.aqk
Trojan-Downloader.Win32.Zlob.aud
Trojan-Downloader.Win32.Femad.gen
Trojan-Downloader.Win32.PurityScan.co
Trojan-Downloader.Win32.Delf.arb
Trojan-Downloader.Win32.Small.ddy
Trojan-Downloader.Win32.Small.cyn
Trojan-Downloader.Win32.Small.dht
Trojan-Downloader.Win32.Small.cpt
Trojan-Downloader.Win32.Small.cxx
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Small.buy
Trojan-Downloader.Win32.Tiny.bm
Trojan-Downloader.Win32.Agent.aym
Trojan-Downloader.Win32.Adload.hq
Trojan-Downloader.Win32.Adload.fu
Trojan-Downloader.Win32.Adload.ht
Trojan.Win32.Diamin.ez
Trojan-Proxy.Win32.Ranky.gen
Trojan-Proxy.Win32.Xorpix.au
Trojan-Proxy.Win32.Xorpix.am
Trojan-Proxy.Win32.Agent.ji
Trojan-Proxy.Win32.Agent.jl
Packed.Win32.Klone.g
Packed.Win32.PePatch.dw
Trojan-PSW.Win32.Lmir.awg
Trojan-PSW.Win32.Nilage.api
Trojan-PSW.Win32.QQRob.iv
Trojan-PSW.Win32.Delf.lx
Trojan-PSW.Win32.Hangame.cl
Trojan-PSW.Win32.LdPinch.sh
Email-Worm.Win32.Warezov.gen
Email-Worm.Win32.Warezov.et
Email-Worm.Win32.Glowa.b
Backdoor.Win32.IRCBot.xq
Trojan-Dropper.Win32.Agent.axo
Trojan-Clicker.Win32.Costrat.l
Trojan-Clicker.Win32.Small.jf
Trojan-Spy.Win32.Agent.ir
06.11.2006, 23:44
MOCT

Результаты праздничной рыбалки. Приведены только вредоносные программы, которые детектируются Антивирусом Касперского. Также найдено большое количество недетектируемых образцов.

Лидеры по разновидностям:
7 - Trojan-Downloader.Win32.Zlob.aug
4 - Trojan-Downloader.Win32.INService.gen
3 - Trojan-Downloader.Win32.Small.ddp
3 - not-a-virus.Downloader.Win32.WinFixer.o
2 - Trojan-Proxy.Win32.Xorpix.ar

остальные - по 1 разновидности:
Trojan-Downloader.Win32.Zlob.aps
Trojan-Downloader.Win32.Delf.awg
Trojan-Downloader.Win32.Centim.ao
Trojan-Downloader.Win32.Mediket.dj
Trojan-Downloader.Win32.Agent.ue
not-a-virus.Downloader.Win32.PopCap.a
Trojan-Proxy.Win32.Horst.le
Trojan-Proxy.Win32.Horst.lf
Trojan-Proxy.Win32.Ranky.gen
Trojan-Proxy.Win32.Xorpix.au
Trojan-Proxy.Win32.Agent.kn
Trojan-Spy.Win32.Goldun.np
Trojan-Dropper.Win32.Small.asx
Trojan-PSW.Win32.Lmir.azo
Trojan-PSW.Win32.Lmir.bdd
Packed.Win32.Klone.g
Trojan.Win32.LipGame.ab
Trojan-Clicker.Win32.Agent.ac

Первые 4 позиции сегодняшнего рейтинга лидировали по поличеству разновидностей на протяжении всей недели (Zlob - в различных вариантах).
12.11.2006, 16:56
MOCT

"Отстоялись" и стали детектироваться "Антивирусом Касперского" пойманные неделю назад фишингом в диком виде вредоносные программы (кол-во строк равно числу разновидностей):

Trojan-Downloader.Win32.Small.dwc
Trojan-Downloader.Win32.Pakes
Trojan-Downloader.Win32.Zlob.avp
Trojan-Spy.Win32.Goldun.ms
Trojan-Spy.Win32.Small.gm
Trojan.Win32.Spabot.ah
Email-Worm.Win32.Glowa.h
Email-Worm.Win32.Glowa.h
Email-Worm.Win32.Glowa.h
Email-Worm.Win32.Glowa.h
Email-Worm.Win32.Glowa.g
Trojan-Proxy.Win32.Lager.ea
Trojan-Proxy.Win32.Horst.lh
Trojan-Proxy.Win32.Xorpix.ar

Должен отметить такое наблюдение: заражение с помощью Email-Worm.Win32.Glowa.*
идет параллельно с Trojan-Proxy.Win32.Lager.* (с одних адресов и видимо одним и тем же загрузчиком).

Несколько десятков вредоносных файлов по прежнему лежат в "отстойнике".
12.11.2006, 21:20
Ego1st

MOCT Раскажите пожалуйста какими способами, производиться отлов зверей (не в общем, а именно вами) очень интересно услышать способы и приминимы ли они в домашних условиях?
Спасибо!
12.11.2006, 23:28
MOCT

[QUOTE=Ego1st]MOCT Раскажите пожалуйста какими способами, производиться отлов зверей (не в общем, а именно вами) очень интересно услышать способы и приминимы ли они в домашних условиях?
[/QUOTE]
Хм, ну способа используется два. Оба автоматизированные, т.е. работают программы-роботы. Одна из них уже запатентована ;) но в целом ноу-хау, поэтому без подробностей :embarasse . В домашних условиях применимы.

А в принципе можно подписаться на платную рассылку информации о новом зверье ;)
12.11.2006, 23:37
Ego1st

неее, интересует, не информация о новых зверях, а сами звери..
боты я так понимаю самописные? или есть возможность какие-нибудь из них достать где-нибудь (необязательно ваши, их же много)?
12.11.2006, 23:51
MOCT

можно на рассылку зверей подписаться :-)))))
смотря какие нужны и для каких целей.

роботы (я все же предпочитаю "роботы", поскольку "боты" это что-то троянское ;)) самописные, поскольку толковых аналогов ни разу встретить не довелось. потому и патент дали ;)
13.11.2006, 01:53
Ego1st

Честно, думал что поэтому поводу сказать, решил ответить честно, то чем я в будущем надеюсь заниматься у вас в подписи весит, и всё что с этим связано мне интересно, вот хотел поэкспериментировать, да и посмотреть что это такое и как работает...
13.11.2006, 11:11
MOCT

[quote=Ego1st]Честно, думал что поэтому поводу сказать, решил ответить честно, то чем я в будущем надеюсь заниматься у вас в подписи весит, и всё что с этим связано мне интересно, вот хотел поэкспериментировать, да и посмотреть что это такое и как работает...[/quote]
Тут тогда вариантов несколько: разглядывать те образцы, которые рассылаются со спамом или которых выкладывают на форумах (тот же форум Касперского), либо самому разрабатывать алгоритмы и программы поиска. Если есть желание и возможность разрабатывать второй вариант - Центр всегда готов к сотрудничеству.
13.11.2006, 18:24
Ego1st

[QUOTE=MOCT]Тут тогда вариантов несколько: разглядывать те образцы, которые рассылаются со спамом или которых выкладывают на форумах (тот же форум Касперского), либо самому разрабатывать алгоритмы и программы поиска. Если есть желание и возможность разрабатывать второй вариант - Центр всегда готов к сотрудничеству.[/QUOTE]

Варианты со спамом отпадают, не приходит хотя ящиков для этой цели прилично, нехочтят туда присылать, те что выкладывают и так ко мне попадают, но это очень маленькое количество!

меня интересует, каким образом производиться поиск, я так понимаю это типа роботов гугла и т.д.?

Ладно вообщем спасибо за ответ!
13.11.2006, 22:47
MOCT

[QUOTE=Ego1st]Варианты со спамом отпадают, не приходит хотя ящиков для этой цели прилично, нехочтят туда присылать, те что выкладывают и так ко мне попадают, но это очень маленькое количество!
[/QUOTE]
активнее надо быть ;-)
я вот сегодня занимался анализом спама за последние 2 месяца. получилось, что мне пришло ~8400 спам-писем. ;) при этом все они отфильтровались. мимо фильтра прошло только несколько десятков. в настоящий момент мимо фильтра проходит в среднем 1-2 спам-письма из ~140 в день. КПД 99% не может не радовать ;))

[QUOTE=Ego1st]
меня интересует, каким образом производиться поиск, я так понимаю это типа роботов гугла и т.д.?
[/QUOTE]
проект номер 1 - нечто подобное, только более интеллектуальное и ориентированное на заразу.
проект номер 2 - интеллектуальный сниффер. именно его результаты я помещаю в этом разделе. сегодня помещу результаты за минувшие выходные.
13.11.2006, 23:50
Ego1st

[QUOTE]активнее надо быть ;-)
я вот сегодня занимался анализом спама за последние 2 месяца. получилось, что мне пришло ~8400 спам-писем. при этом все они отфильтровались. мимо фильтра прошло только несколько десятков. в настоящий момент мимо фильтра проходит в среднем 1-2 спам-письма из ~140 в день. КПД 99% не может не радовать )
[/QUOTE]

да у меня около 20 ящиков, и 90 процентов из них для поиска всякой гаддости постоянно везде светяться, а посылать туда чё-то никто не хочет=))

Ладно ещё раз спасибо!
Удачи в работе!=))
14.11.2006, 03:13
MOCT

Результаты фишинга в минувшие выходные.
Всего Ксперский детектирует 217 разновидностей троянских программ. В том числе разновидностей бинарных тел:

Email-Worm.Win32.Glowa.g 7
Email-Worm.Win32.Bagle.gi 1
Email-Worm.Win32.Warezov.fg 1
Email-Worm.Win32.Warezov.fb 1
Email-Worm.Win32.Scano.bd 1
Email-Worm.Win32.Scano.bh 1
Packed.Win32.Klone.g 1
Packed.Win32.PolyCrypt.a 1
Packed.Win32.Tibs.i 1
not-a-virus.AdWare.Win32.FunWeb.e 1
not-a-virus.AdWare.Win32.HotBar.bj 1
not-a-virus.AdWare.Win32.SurfSide.ax 1
not-a-virus.AdWare.Win32.SideFind 1
not-a-virus.AdWare.Win32.BetterInternet.au 2
not-a-virus.AdWare.Win32.Sortomate.u 1
not-a-virus.Downloader.Win32.WinFixer.o 5
not-a-virus.Downloader.Win32.WinFixer.m 1
not-a-virus.Downloader.Win32.PopCap.a 1
not-virus.Hoax.Win32.Renos.eo 1
not-virus.Hoax.Win32.Renos.gc 1
not-virus.Hoax.Win32.Renos.fk 1
Trojan.Win32.Agent.rx 4
Trojan.Win32.Agent.ws 1
Trojan.Win32.Dialer.ay 1
Trojan.Win32.Dialer.cj 1
Trojan.Win32.Dialer.fu 1
Trojan.Win32.Dialer.qi 1
Trojan.Win32.Dialer.qn 1
Trojan.Win32.Dialer.qy 1
Trojan.Win32.Diamin.ez 3
Trojan.Win32.Diamin.cc 1
Trojan.Win32.Pakes 1
Trojan.Win32.Obfuscated.ae 1
Trojan-Clicker.Win32.Qabar.a 1
Trojan-Clicker.Win32.Small.jf 1
Trojan-Clicker.Win32.Small.kj 1
Trojan-Clicker.Win32.Costrat.l 1
Trojan-Clicker.Win32.Agent.hz 1
Trojan-Downloader.Win32.Small.ddp 5
Trojan-Downloader.Win32.Small.on 2
Trojan-Downloader.Win32.Small.ctp 1
Trojan-Downloader.Win32.Small.buy 1
Trojan-Downloader.Win32.Small.dht 1
Trojan-Downloader.Win32.Small.cpt 1
Trojan-Downloader.Win32.Small.dzd 2
Trojan-Downloader.Win32.Small.cib 1
Trojan-Downloader.Win32.Small.dgk 1
Trojan-Downloader.Win32.Small.cxz 1
Trojan-Downloader.Win32.Zlob.aki 1
Trojan-Downloader.Win32.Zlob.avi 6
Trojan-Downloader.Win32.Zlob.avj 3
Trojan-Downloader.Win32.Zlob.aui 2
Trojan-Downloader.Win32.Zlob.avh 1
Trojan-Downloader.Win32.Zlob.avo 6
Trojan-Downloader.Win32.Zlob.avn 1
Trojan-Downloader.Win32.Zlob.avs 1
Trojan-Downloader.Win32.Zlob.alj 7
Trojan-Downloader.Win32.Zlob.avw 2
Trojan-Downloader.Win32.Zlob.awf 3
Trojan-Downloader.Win32.Zlob.avz 2
Trojan-Downloader.Win32.Adload.fu 1
Trojan-Downloader.Win32.Adload.ia 1
Trojan-Downloader.Win32.Adload.ib 1
Trojan-Downloader.Win32.INService.gen 21
Trojan-Downloader.Win32.Delf.awg 17
Trojan-Downloader.Win32.Delf.aeu 1
Trojan-Downloader.Win32.Bagle.y 1
Trojan-Downloader.Win32.Agent.aii 1
Trojan-Downloader.Win32.Agent.bbf 3
Trojan-Downloader.Win32.Agent.aol 1
Trojan-Downloader.Win32.Obfuscated.n 1
Trojan-Downloader.Win32.Tiny.eo 2
Trojan-Downloader.Win32.Tibs.ir 2
Trojan-Downloader.Win32.Centim.ao 2
Trojan-Downloader.JS.Psyme.c 1
Trojan-Proxy.Win32.Small.bo
Trojan-Proxy.Win32.Agent.ji 2
Trojan-Proxy.Win32.Agent.hd
Trojan-Proxy.Win32.Agent.jl
Trojan-Proxy.Win32.Agent.lg
Trojan-Proxy.Win32.Lager.ea 5
Trojan-Proxy.Win32.Lager.eg
Trojan-Proxy.Win32.Lager.dw
Trojan-Proxy.Win32.Xorpix.ar 4
Trojan-Proxy.Win32.Xorpix.au
Trojan-Proxy.Win32.Dlena.ad
Trojan-Proxy.Win32.Dlena.ae
Trojan-Proxy.Win32.Horst.ls
Trojan-Proxy.Win32.Horst.lu
Trojan-Proxy.Win32.Horst.kq
Trojan-Proxy.Win32.Horst.me
Trojan-Spy.Win32.Goldun.kb
Trojan-Spy.Win32.Goldun.np 2
Trojan-Spy.Win32.Goldun.ms
Trojan-Spy.Win32.Goldun.nc
Trojan-Spy.Win32.Delf.pg 2
Trojan-Spy.Win32.BZub.fh
Trojan-Spy.Win32.Small.ak
Trojan-PSW.Win32.OnLineGames.aro
Trojan-PSW.Win32.OnLineGames.arp
Trojan-PSW.Win32.QQRob.jo
Trojan-PSW.Win32.Delf.si
Trojan-PSW.Win32.Delf.pj
Trojan-PSW.Win32.LdPinch.bbh
Trojan-PSW.Win32.LdPinch.aws
Trojan-PSW.Win32.LdPinch.azf 2
Trojan-PSW.Win32.Sinowal.bi
Trojan-PSW.Win32.Sinowal.bh
Trojan-Dropper.Win32.Small.asx 4
Trojan-Dropper.Win32.Small.atv
Trojan-Dropper.Win32.Agent.ata
Trojan-Dropper.Win32.Agent.axo
Trojan-Dropper.Win32.Delf.aal
Backdoor.Win32.Agent.fo
Backdoor.Win32.Small.ng

Чемпионы:
Trojan-Downloader.Win32.INService.gen 21 - просто фантастика!
Trojan-Downloader.Win32.Delf.awg 17
Trojan-Downloader.Win32.Zlob.alj 7
Email-Worm.Win32.Glowa.g 7
Trojan-Downloader.Win32.Zlob.avi 6
Trojan-Downloader.Win32.Zlob.avo 6
not-a-virus.Downloader.Win32.WinFixer.o 5
Trojan-Downloader.Win32.Small.ddp 5
Trojan-Proxy.Win32.Lager.ea 5
и т.д.

Найдено недетектируемыми:
- версии одного дроппера - 2 шт
- дроппер TrustIn - 1 шт
- дроппер - 1 шт
- downloader - 1 шт
- downloader IstBar - 1 шт
- Spam Bot разные - 2 шт
- Spam Bot medbod - 3 шт
- Spy Goldun - 1 шт
- Trojan-PSW LdPinch - 1 шт
- Hoax Renos - 1 шт
- dialer - 1 шт
- прочие трояны - 2 шт
- почтовый червь - 1 шт
- неопознанное шифрованное - 15 шт
- неопознанное нешифрованное - 5 шт
- не распаковывал - 18 шт

Итого 51 недетектируемая вредоносная программа, не считая вложенных библиотек, руткитов и дропаемых файлов...
14.11.2006, 03:17
Ego1st

[QUOTE]Итого 51 недетектируемая вредоносная программа, не считая вложенных библиотек, руткитов и дропаемых файлов...[/QUOTE]

недетектируемые кем?
14.11.2006, 08:46
aintrust

[QUOTE=MOCT]
...
я вот сегодня занимался анализом спама за последние 2 месяца. получилось, что мне пришло ~8400 спам-писем. ;) при этом все они отфильтровались. мимо фильтра прошло только несколько десятков. в настоящий момент мимо фильтра проходит в среднем 1-2 спам-письма из ~140 в день. КПД 99% не может не радовать ;))
...
[/QUOTE]
[B]MOCT[/B], а что у вас используется для спам-фильтрации? Тоже что-то самописное или же известное решение?
14.11.2006, 09:57
MOCT

[QUOTE=Ego1st]недетектируемые кем?[/QUOTE]
Поскольку вся классификация проведена по Касперскому, то соответственно недетектируемые "Антивирусом Касперского". Впрочем, большинством других AV они также не детектируются.

[QUOTE=aintrust]
MOCT, а что у вас используется для спам-фильтрации? Тоже что-то самописное или же известное решение?
[/QUOTE]
вот в этой теме [url]http://virusinfo.info/showthread.php?t=1244[/url] я уже рассказывал, что фильтр собственный.
14.11.2006, 12:52
DVi

[quote=MOCT]
Из этого можно сделать вывод, что наступила эпоха даунлоадеров.[/quote]
Я бы сказал просто: сейчас антивирусники стали больше уделять внимание даунлоадерам, не доводя дело до детекта уже скачанного гада.
Ведь сам по себе даунлоадер не страшен - бояться надо того, кого он принесет за собой.
14.11.2006, 19:50
MOCT

[QUOTE=DVi]сейчас антивирусники стали больше уделять внимание даунлоадерам, не доводя дело до детекта уже скачанного гада.
[/QUOTE]
Если бы я анализировал только то, что детектируют AV, я бы с этим согласился. Но я анализирую то, чем заражаются компьютеры. Поэтому получается, что даунлоадеров действительно больше, чем других троянов.
14.11.2006, 20:59
MOCT

Из этого многообразия сегодня стали детектироваться Касперским:

[QUOTE=MOCT]
Найдено недетектируемыми:
- дроппер - 1 шт
[/quote]
Trojan.Win32.Agent.oh - 1 шт

[QUOTE=MOCT]
- downloader - 1 шт
[/quote]
Trojan-Downloader.Win32.Small.cyn - 1 шт

[QUOTE=MOCT]
- неопознанное шифрованное - 15 шт
[/quote]
Trojan-Dropper.Win32.Delf.va - 1 шт
Trojan-Downloader.Win32.Pakes - 5 шт

[QUOTE=MOCT]
- неопознанное нешифрованное - 5 шт
Trojan-Downloader.Win32.Agent.axs - 1 шт
[/quote]

Итого 9 штук. Все остальное (42) по прежнему не детектируется.
15.11.2006, 11:02
5ergi0

Какие типы файлов в основном содержат вирусы?
15.11.2006, 17:41
SuperBrat

[QUOTE=5ergi0]Какие типы файлов в основном содержат вирусы?[/QUOTE]
.bin, .com, .dll, .doc, .exe, .ovl, .sys, и .xls.
Но современные "зловреды" не брезгуют и другими типами файлов. Освоили .tmp, .htm и др.
15.11.2006, 17:48
MOCT

[QUOTE=SuperBrat].bin, .com, .dll, .doc, .exe, .ovl, .sys, и .xls.
Но современные "зловреды" не брезгуют и другими типами файлов. Освоили .tmp, .htm и др.[/QUOTE]
все же не надо путать "типы" и "расширения" файлов.

exe и dll - это тип PE-EXE
doc и xls (а также много чего еще) - это OLE2

поэтому какое бы ни было расширение (bin, tmp), а начинка будет исполнимая (EXE).
15.11.2006, 19:41
5ergi0

Я вот решил сегодня ловить вирусы, так большинство из них - Trojan.Spambot, почему-то Касперский онлайн его не видит. Ловлю Drweb' ом, базы сегодняшние. Принимаю только exe, поэтому и спрашивал про типы файлов. Какие типы файлов еще добавить? Или лучше по размеру ловить?
15.11.2006, 20:30
MOCT

[QUOTE=5ergi0]Я вот решил сегодня ловить вирусы, так большинство из них - Trojan.Spambot, почему-то Касперский онлайн его не видит. Ловлю Drweb' ом, базы сегодняшние. Принимаю только exe, поэтому и спрашивал про типы файлов. Какие типы файлов еще добавить? Или лучше по размеру ловить?[/QUOTE]
размер конечно лучше фильтровать, но так потеряются большие полновесные бакдоры.
расширения - cab (будет много мусора, но могу поделиться собственной программой для фильтрации), chm, exe, ocx, dll, scr.
16.11.2006, 01:50
5ergi0

Был бы благодарен за программу... Какие все-таки размеры файлов выставить? Сегодня ловил exe до 500K, результат странный - из ~4500 файлов 4300 спамбота размером 28*160 байт, 8 шт по 29696.
16.11.2006, 02:01
MOCT

[QUOTE=5ergi0]Был бы благодарен за программу... Какие все-таки размеры файлов выставить? Сегодня ловил exe до 500K, результат странный - из ~4500 файлов 4300 спамбота размером 28*160 байт, 8 шт по 29696.[/QUOTE]
а остальные хоть толковые?
можно вообще 200кб поставить, эффект будет тот же, зато мусора меньше.
16.11.2006, 02:07
MOCT

последние результаты (по умолчанию - одна разновидность):

Trojan-Downloader.Win32.Small.dzl
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Small.ddp - 5
Trojan-Downloader.Win32.Small.ccm
Trojan-Downloader.Win32.Small.cib
Trojan-Downloader.Win32.Small.cwq
Trojan-Downloader.Win32.Small.dgk
Trojan-Downloader.Win32.Small.on
Trojan-Downloader.Win32.Delf.awg - 6
Trojan-Downloader.Win32.Delf.aeu
Trojan-Downloader.Win32.Adload.il
Trojan-Downloader.Win32.Adload.fu
Trojan-Downloader.Win32.Tiny.bm
Trojan-Downloader.Win32.Tiny.eo - 3
Trojan-Downloader.Win32.Bagle.y
Trojan-Downloader.Win32.INService.gen
Trojan-Downloader.Win32.Agent.ip
Trojan-Downloader.Win32.Zlob.awk - 2
Trojan-Downloader.Win32.Zlob.awu - 5
Trojan-Downloader.Win32.Zlob.awl
Trojan-Downloader.Win32.Zlob.awh - 2
Trojan-Downloader.Win32.Zlob.aui
Trojan-Downloader.Win32.Zlob.awp
Trojan-Downloader.Win32.Zlob.awm
Trojan-Downloader.Win32.IstBar.gen
Trojan-Downloader.JS.Psyme.c
Trojan.Win32.Dialer.ay
Trojan.Win32.Dialer.qy
Trojan.Win32.BHO.g
Trojan.Win32.Pakes - 2
Trojan.Win32.Diamin.ez
Trojan-Dropper.Win32.aua - 3
not-a-virus.AdWare.Win32.Virtumonde.dr
not-a-virus.AdWare.Win32.BetterInternet.au - 3
not-a-virus.AdWare.Win32.Softomate.u
not-a-virus.Downloader.Win32.WinFixer.o - 5
not-a-virus.Downloader.Win32.PopCap.b
not-a-virus.Porn-Dialer.Win32.Bienvenido
Email-Worm.Win32.Bagle.gi
Email-Worm.Win32.Scano.bd
Email-Worm.Win32.Warezov.et
Email-Worm.Win32.Glowa.g
Packed.Win32.Klone.g
Trojan-Proxy.Win32.Xorpix.ar - 2
Trojan-Proxy.Win32.Dlena.ai
Trojan-Proxy.Win32.Lager.eg
Trojan-Spy.Win32.Goldun.nr
Trojan-Spy.Win32.BZub.fh
Backdoor.Win32.Agent.fo
Trojan-PSW.Win32.LdPinch.azf
16.11.2006, 02:34
5ergi0

вот все, что поймалось:
Trojan.DownLoader.14747
Trojan.Spambot
Trojan.Killer
Adware.Poiskat
Trojan.Proxy.1218
Trojan.MulDrop.876
Trojan.DownLoader.14655
Trojan.DownLoader.14707
Trojan.DownLoader.14774
Trojan.DownLoader.14827
BackDoor.Kiddy
Trojan.Popuper
Win32.HLLW.Medbod
Trojan.Proxy.1216
Adware.Zango
Adware.Ykemi
BackDoor.Haxdoor.210
Trojan.DownLoader.11356
Trojan.DownLoader.14427
Trojan.EmailSpy
Win32.HLLM.Limar.based
Trojan.MulDrop.4532
Trojan.DownLoader.14686
Trojan.DownLoader.4491
Trojan.Mezzia
Win32.HLLM.Perf
16.11.2006, 07:18
MOCT

[QUOTE=5ergi0]вот все, что поймалось:
Trojan.DownLoader.14747
Trojan.Spambot
[/QUOTE]
сложно конечно сравнивать Касперского с ДрВебом :)
даже по именам.
это без учета разновидностей бинарных тел (т.е. всех найдено по 1 виду)?
16.11.2006, 18:06
5ergi0

Да, всех по 1, только спамбота 3 вида.
P.S. поставил и Касперского.
16.11.2006, 19:15
pig

Trojan.Spambot, Trojan.Popuper, Win32.HLLM.Limar.based, Win32.HLLM.Perf - это на самом деле "фамилии". Сколько там разновидностей по Касперскому - скажет только его детектор.
16.11.2006, 19:25
MOCT

[QUOTE=pig]Trojan.Spambot, Trojan.Popuper, Win32.HLLM.Limar.based, Win32.HLLM.Perf - это на самом деле "фамилии". Сколько там разновидностей по Касперскому - скажет только его детектор.[/QUOTE]
поэтому на имена обращается только половина внимания. вторая половина - на контрольные суммы.
17.11.2006, 02:31
Alexey P.

С криптерами и контрольные суммы не помогают :).
Суммы разные, внутри одно и то же.

To 5ergi0
- если возможно, то эффективнее ссылка, чем образец.
Она часто дает не один образец.

- существуют также honeypot и их сообщества для отлова червей.
nephentes, к примеру.
См. [url]http://nepenthes.mwcollect.org/[/url], [url]http://mwcollect.org/[/url]

Условия участия - установка программы и отправка пойманных червей.
17.11.2006, 09:30
MOCT

[QUOTE=Alexey P.]С криптерами и контрольные суммы не помогают :).
Суммы разные, внутри одно и то же.
[/QUOTE]
о чем говорят файлы с разными CRC полученные в один день? либо в сети существует параллельно несколько источников распространения, либо на одном из серверов периодически идет обновление трояна.
и то, и другое говорит о том, что для распространения трояна прикладываются большие усилия и это не разовая акция.

с учетом того, КАК современные AV детектируют троянов (в некоторых случаях - именно по упаковщикам), то такие образцы тоже нужны.

[QUOTE=Alexey P.]
- существуют также honeypot и их сообщества для отлова червей.
nephentes, к примеру.
См. [url]http://nepenthes.mwcollect.org/[/url], [url]http://mwcollect.org/[/url]
Условия участия - установка программы и отправка пойманных червей.[/QUOTE]
посмотрел, ничего не понял (толкового описания так и не нашел), плюнул на это.
17.11.2006, 09:47
Alexey P.

[QUOTE=MOCT]
и то, и другое говорит о том, что для распространения трояна прикладываются большие усилия и это не разовая акция.
[/QUOTE]
Угу. Именно такое и опаснее, потому что оно не на пять минут и явно будет немало народу с их заразой.
Тот же Limar/Stration - сначала раздавали PSW троян, спамбот и их загрузчики, потом перешли к е-мейл червям. На очереди, возможно, сетевые черви. Правда, что-то они существенно поумерили активность - то ли некогда, новую заподлянку готовят, то ли лишней славы не хотят.
[QUOTE]
с учетом того, КАК современные AV детектируют троянов (в некоторых случаях - именно по упаковщикам), то такие образцы тоже нужны.
[/QUOTE]
Во-во, как раз в этом случае предпочтительна ссылка, а не один отдельный образец.
[quote]посмотрел, ничего не понял (толкового описания так и не нашел), плюнул на это.[/QUOTE]
Сначала есть смысл скомпилировать (под cygwin или *никсами) их nephentes, потом уже обращаться. Источник достойный, копать - не перекопать. Правда, битых образцов там много.
17.11.2006, 16:55
Alex_Goodwin

Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву? Собственный антивирус вы не представили, страдают конечные пользователи.
17.11.2006, 18:47
DoSTR

[QUOTE=Alex_Goodwin]Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву? Собственный антивирус вы не представили, страдают конечные пользователи.[/QUOTE]
ну и Dr.web'у, т.к. я им пользуюсь и остальным рекомендую.:)
Сообщить Dr.Web'у о вирусе:
[url]http://www.drweb.ru/newvirus/[/url]

P.S.
надо же поддержать отечественного производителя...:D
18.11.2006, 01:16
MOCT

[QUOTE=Alex_Goodwin]Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву?
[/QUOTE]
ну, Олегу я не против представить все что угодно. у него некоммерческий продукт, развивающийся и реально полезный.
а вот Касперскому почему я должен посылать??? тут уже начинают работать законы бизнеса - все услуги по предоплате :P

[QUOTE=Alex_Goodwin]
Собственный антивирус вы не представили, страдают конечные пользователи.[/QUOTE]
ну кто же знает, может еще и представлю ;)
18.11.2006, 03:13
Ego1st

[QUOTE=MOCT]а вот Касперскому почему я должен посылать??? тут уже начинают работать законы бизнеса - все услуги по предоплате :P
[/QUOTE]
Всегда ненавидил такую позицию..

Показывать 40 сообщений этой темы на одной странице