-
[quote=Alexey P.]Ок. Можно примерно так, как сделано у Shu_b - у каждого антивируса в диаграмме детекты и подозрения выделены разным цветом, например:
[URL="http://www.virusinfo.info/showpost.php?p=77612&postcount=51"]http://www.virusinfo.info/showpost.php?p=77612&postcount=51[/URL]
Думаю, можно у него попросить и скрипт, которым парсит результаты.[/quote]Возникли некоторые предполагаемые трудности. Как определить "подозрение" у разных антивирусов по выдаваемому ими результату?
Просмотрев предварительные результаты в явных случая всё понятно. А вот остальные...
[PHP]
#AVG Antivirus - unknown virus
#AntiVir - Heuristic
#ArcaVir- Heur
#Avast - ?
#BitDefender - BehavesLike
#ClamAV - ?
#Dr.Web - modification;?
#F-Prot Antivirus - unknown virus;Possibly a new variant;New or modified variant;
#Fortinet - PossibleThreat
#Kaspersky Anti-Virus - modification;probably;?
#NOD32 - a variant;probably a variant;probably unknown
#Norman Virus Control - Sandbox;Suspicious
#UNA - ?
#VBA32 - paranoid heuristics;Unknown
#VirusBuster - ?
[/PHP]
Вопросиком обозначено наличие вопроса, как определить для данного антивируса по результатам подозрение.
-
[QUOTE=Alexey P.] Думаю, можно у него попросить и скрипт, которым парсит результаты.[/QUOTE] :) Нет, заносится всё в ручную.
По поводу сообшений эвристики...
Для DrWeb, наверное уже неполный:
[quote]Новое в версии 4.33:
Поисковый модуль:
* новый эвристический анализатор, который позволяет обнаруживать
новые модификации вирусов, следующих типов:
DLOADER (Trojan.DownLoader.xxx), MULDROP (Trojan.MulDrop.xxx),
STPAGE (Trojan.StartPage), BACKDOOR (BackDoor.xxx),
PWS (Trojan.PWS.xxx), WORM and MAIL.WORM (e-mail worms).
Возможные комбинации:
(DLOADER|MULDROP|STPAGE)(.IRC)(.PWS).Trojan
BACKDOOR(.IRC)(.PWS).Trojan
WIN.(.IRC)(.PWS)(.MAIL).WORM.Virus[/quote]
add
UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch
-
Что касается UNA:
[quote=Shu_b]UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch[/quote]
VirTool.Win32.LdPinch - это запись, не эвристика.
По логам эвристика отличается очень легко: вместо [B]infected[/B] перед именем вируса пишется [B]suspicious[/B]. Если же ориентироваться только по имени, то обычно эвристические срабатывания имеют вид:
1) Для Win32 (PE) файлов:
[I][B]Win32.TSR.virus, Win32.HLLx.virus, Win32.CRYPT.virus, Win32.virus, I-Worm.Win32.virus, I-Worm.Win32.TSR.virus, Trojan.Win32, Trojan.Win32.PSW[/B][/I] (сравнивать только полные совпадения строк, если например будет [I][B]Trojan.Win32.VB[/B][/I] - то это уже запись).
2) Для COM/EXE файлов (DOS):
[I][B][префикс].virus[/B][/I], где [B][I]префикс[/I][/B] может состоять из следующих сочетаний, разделённых через точку: [B][I]COM, EXE, HLLx, TSR, BOOT, CRYPT[/I][/B].
Например: [B]COM.TSR.CRYPT.virus[/B].
3) Для макросов различных документов: [B]MACRO.virus[/B].
4) Для скриптов:
[B][I][префикс].virus[/I][/B], где [B][I]префикс[/I][/B] может состоять из следующих сочетаний, разделённых через точку: [B][I]I-Worm, BAT, VBS, JS[/I][/B].
Например: [B]I-Worm.VBS.virus[/B], или [B]BAT.virus[/B].
Вот так всё непросто, лучше уж по логам смотреть на сообщение [B]suspicious[/B].
-
По логам, конечно, лучше. Но в наличии есть только выжимка, сделанная скриптом Jotti.
-
у каспа это если в строке есть Type_
а типов там уже дофига
у нода есть еще new Heur PE?!
-
AntiVir HEUR/
Norman W32/Malware
VBA suspected
-
У Dr.Web вообще-то главное ключевое слово "probably". Но выдаёт ли его Jotti на-гора, я не в курсе.
-
[QUOTE=Sanja]
у нода есть еще new Heur PE?![/QUOTE]
probably unknown NewHeur_PE virus
-
-
Спасибо за помощь. Правда до конца всё определить не удалось.
[PHP]#AVG Antivirus - unknown virus;
#AntiVir - Heuristic/*;
#ArcaVir- Heur.*;
#Avast - *:Malware;*-gen.*;
#BitDefender - BehavesLike*;
#ClamAV - ?
#Dr.Web - BACKDOOR.*;DLOADER.*;MULDROP.*;STPAGE.*;*.Virus;*.based;modification*;
#F-Prot Antivirus - unknown virus;Possibly a new variant*;New or modified variant*;destructive program;security risk or a "backdoor" program;virus dropper;virus construction tool;
#Fortinet - PossibleThreat*;*NewThreat*;?
#Kaspersky Anti-Virus - Type_*;?
#NOD32 - a variant*;probably a variant*;probably unknown*;
#Norman Virus Control - Sandbox:*;*Suspicious*;
#UNA - ?
#VBA32 - *(paranoid heuristics);Unknown.*;
#VirusBuster - ?[/PHP]
-
[QUOTE=Enotus]Спасибо за помощь. Правда до конца всё определить не удалось.
#Dr.Web - *.based;
[/QUOTE]
Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.
-
[quote=Alexey P.]Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.[/quote]Ок.
А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?
-
[QUOTE=Enotus]Ок.
А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?[/QUOTE]
Нет это не точный диагноз.;)
-
[quote=Синауридзе Александр]Нет это не точный диагноз.;)[/quote]А [COLOR=#ff8000]"NOD32 - a variant*" ?[/COLOR]
-
Тоже эвристика (как и у VBA paranoid в предыдущем вопросе).
Page generated in 0.00289 seconds with 10 queries