Нужны сигнатуры известных троянов

[rumos]

Всем доброго времени суток.

Общая вводная:
Являюсь глав. программистом одной веб-студии, сайтов в портфолио сделано под 500 штук. Проблема в том, что время от времени клиент компрометирует свои ftp-логин-пароль, либо что ещё хуже - один из хтмл-верстальщиков(а только они сидят на винде) наших цепляет какую-нибудь гадость. Бороться с этим в точках исходного заражения довольно бесполезно.. Было принято решение разработать собственный "антивирус", естественно бесплатный для клиентов.

Стратегия того ПО что делаем:
Общий способ заражения - инфицирование .js файлов, как правило туда дописывается document.write на <script src="где-то в лесу, где живут злыдни">. Полагаю такой способ долго ещё будет основным, ибо на мой взгляд он самый простой для гарантии стабильности как инфицирования (без ошибок ява-скрипта, чтобы срабатывало) так и заражения посетителей сайта.
В силу специфики и внутренних ограничений нашей системы - в общем-то это единственный способ заражения.

Месяца 3 назад сделали и пока обкатываем такую весчь:
1)есть md5-сигнатуры наших ява-скриптов установленных у клиента и даты последней модификации. "FTP-паук" бегает по сайтам, смотрит даты модификации у 5 случайно отобранных из базы скриптов - если они не менялись - то остальные не проверяет - security-by-obscurity, зато не нужно проверять 100 файлов и гонять лишний трафик или напрягать фтп-сервер. Есть тоже самое, но модульное, работает ежеминутно по крону, проверяет все .js файлы на соответствие локальной базе подписей, если чу не так - п.2. - это для нагруженных проектов, где за минуту пробегает сотня посетителей.

2)если сигнатура всего скрипта не соответствует оригиналу - берём оригинал из нашего репозитория, и выгружаем на хостинг клиента, также моментально уведомляем о заражении сайта наш саппорт и клиента, дабы сменили пароль фтп и полечились. +переобновляем из репозитория все файлы .js, сохраняя на всякий случай "заражённую версию".

3)к сожалению - уже не первый раз сталкиваюсь с тем, что происходит ложное срабатывание, когда клиент заказывает что-то у стороннего разработчика, а не у нас (появляется новый ява-скрипт(как файл его не воткнёшь - нужно регистрировать в системе, собственно из-за этого и срабатывает всё), либо же появляется какой-нибудь новый кусочек кода в старом скрипте).

4)потихонечку у нас накапливается база сигнатур реальных заражений (ручной разбор инфицированных версий), но сейчас там примерно 20 вариантов.. понимаю что в реальности их на несколько порядков больше. Вот хотелось бы отказаться от модели "2" и перейти к модели - потенциально опасно (обфусцированный ява-скрипт, или не известный документ.врайт - проверить), и однозначно опасно - лечить(при соответствии скрипта регулярке из базы)

Итак мой ключевой вопрос такой -
где бы мне найти список вида (желательно в виде SQL-таблицы либо .csv файла) -
Название трояна.Версия: код заражения
Название трояня.Версия2: код заражения
....

Буду безмерно благодарен, по завершению тестового периода выложим кроновскую версию в открытый доступ.

С уважением,
Александр.