Страница 2 из 2 Первая 12
Показано с 21 по 35 из 35.

Исследование антивирусов с помощью virusscan.jotti.org

  1. #21
    Junior Member Репутация
    Регистрация
    30.07.2006
    Сообщений
    14
    Вес репутации
    65
    Цитата Сообщение от Alexey P.
    Ок. Можно примерно так, как сделано у Shu_b - у каждого антивируса в диаграмме детекты и подозрения выделены разным цветом, например:
    http://www.virusinfo.info/showpost.p...2&postcount=51
    Думаю, можно у него попросить и скрипт, которым парсит результаты.
    Возникли некоторые предполагаемые трудности. Как определить "подозрение" у разных антивирусов по выдаваемому ими результату?
    Просмотрев предварительные результаты в явных случая всё понятно. А вот остальные...

    PHP код:
    #AVG Antivirus - unknown virus
    #AntiVir - Heuristic
    #ArcaVir- Heur
    #Avast - ?
    #BitDefender - BehavesLike
    #ClamAV - ?
    #Dr.Web - modification;?
    #F-Prot Antivirus - unknown virus;Possibly a new variant;New or modified variant;
    #Fortinet - PossibleThreat
    #Kaspersky Anti-Virus - modification;probably;?
    #NOD32 - a variant;probably a variant;probably unknown
    #Norman Virus Control - Sandbox;Suspicious
    #UNA - ?
    #VBA32 - paranoid heuristics;Unknown
    #VirusBuster - ? 
    Вопросиком обозначено наличие вопроса, как определить для данного антивируса по результатам подозрение.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от Alexey P.
    Думаю, можно у него попросить и скрипт, которым парсит результаты.
    Нет, заносится всё в ручную.

    По поводу сообшений эвристики...
    Для DrWeb, наверное уже неполный:
    Новое в версии 4.33:

    Поисковый модуль:

    * новый эвристический анализатор, который позволяет обнаруживать
    новые модификации вирусов, следующих типов:
    DLOADER (Trojan.DownLoader.xxx), MULDROP (Trojan.MulDrop.xxx),
    STPAGE (Trojan.StartPage), BACKDOOR (BackDoor.xxx),
    PWS (Trojan.PWS.xxx), WORM and MAIL.WORM (e-mail worms).
    Возможные комбинации:
    (DLOADER|MULDROP|STPAGE)(.IRC)(.PWS).Trojan
    BACKDOOR(.IRC)(.PWS).Trojan
    WIN.(.IRC)(.PWS)(.MAIL).WORM.Virus
    add
    UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch
    Последний раз редактировалось Shu_b; 21.08.2006 в 11:21.

  4. #23
    External Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Terry
    Регистрация
    23.06.2005
    Адрес
    Kiev
    Сообщений
    93
    Вес репутации
    233
    Что касается UNA:

    Цитата Сообщение от Shu_b
    UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch
    VirTool.Win32.LdPinch - это запись, не эвристика.
    По логам эвристика отличается очень легко: вместо infected перед именем вируса пишется suspicious. Если же ориентироваться только по имени, то обычно эвристические срабатывания имеют вид:
    1) Для Win32 (PE) файлов:
    Win32.TSR.virus, Win32.HLLx.virus, Win32.CRYPT.virus, Win32.virus, I-Worm.Win32.virus, I-Worm.Win32.TSR.virus, Trojan.Win32, Trojan.Win32.PSW (сравнивать только полные совпадения строк, если например будет Trojan.Win32.VB - то это уже запись).
    2) Для COM/EXE файлов (DOS):
    [префикс].virus, где префикс может состоять из следующих сочетаний, разделённых через точку: COM, EXE, HLLx, TSR, BOOT, CRYPT.
    Например: COM.TSR.CRYPT.virus.
    3) Для макросов различных документов: MACRO.virus.
    4) Для скриптов:
    [префикс].virus, где префикс может состоять из следующих сочетаний, разделённых через точку: I-Worm, BAT, VBS, JS.
    Например: I-Worm.VBS.virus, или BAT.virus.

    Вот так всё непросто, лучше уж по логам смотреть на сообщение suspicious.
    Последний раз редактировалось Terry; 21.08.2006 в 18:51.
    Hикогда не бойся делать то, что ты не умеешь. Помни: ковчег был построен любителем, профессионалы построили "ТИТАHИК".
    Руководитель антивирусной лаборатории

  5. #24
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    По логам, конечно, лучше. Но в наличии есть только выжимка, сделанная скриптом Jotti.

  6. #25
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    у каспа это если в строке есть Type_
    а типов там уже дофига

    у нода есть еще new Heur PE?!
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  7. #26
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    AntiVir HEUR/
    Norman W32/Malware
    VBA suspected

  8. #27
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    У Dr.Web вообще-то главное ключевое слово "probably". Но выдаёт ли его Jotti на-гора, я не в курсе.

  9. #28
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от Sanja
    у нода есть еще new Heur PE?!
    probably unknown NewHeur_PE virus

  10. #29
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Угу, спасибо.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  11. #30
    Junior Member Репутация
    Регистрация
    30.07.2006
    Сообщений
    14
    Вес репутации
    65
    Спасибо за помощь. Правда до конца всё определить не удалось.
    PHP код:
    #AVG Antivirus - unknown virus;
    #AntiVir - Heuristic/*;
    #ArcaVir- Heur.*;
    #Avast - *:Malware;*-gen.*;
    #BitDefender - BehavesLike*;
    #ClamAV - ?
    #Dr.Web    - BACKDOOR.*;DLOADER.*;MULDROP.*;STPAGE.*;*.Virus;*.based;modification*;
    #F-Prot Antivirus - unknown virus;Possibly a new variant*;New or modified variant*;destructive program;security risk or a "backdoor" program;virus dropper;virus construction tool;
    #Fortinet - PossibleThreat*;*NewThreat*;?
    #Kaspersky Anti-Virus - Type_*;?
    #NOD32 - a variant*;probably a variant*;probably unknown*;
    #Norman Virus Control - Sandbox:*;*Suspicious*;
    #UNA - ?
    #VBA32 - *(paranoid heuristics);Unknown.*;
    #VirusBuster - ? 

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от Enotus
    Спасибо за помощь. Правда до конца всё определить не удалось.
    #Dr.Web - *.based;
    Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.

  13. #32
    Junior Member Репутация
    Регистрация
    30.07.2006
    Сообщений
    14
    Вес репутации
    65
    Цитата Сообщение от Alexey P.
    Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.
    Ок.
    А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?

  14. #33
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от Enotus
    Ок.
    А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?
    Нет это не точный диагноз.

  15. #34
    Junior Member Репутация
    Регистрация
    30.07.2006
    Сообщений
    14
    Вес репутации
    65
    Цитата Сообщение от Синауридзе Александр
    Нет это не точный диагноз.
    А "NOD32 - a variant*" ?

  16. #35
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Тоже эвристика (как и у VBA paranoid в предыдущем вопросе).

Страница 2 из 2 Первая 12

Похожие темы

  1. исследование системы с помощью AVZ
    От Arakcheev в разделе Microsoft Windows
    Ответов: 1
    Последнее сообщение: 21.01.2010, 14:34
  2. исследование компа с помощью avz4
    От Den87 в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 07.10.2009, 14:05
  3. Исследование антивирусов 3
    От Geser в разделе Тестирование
    Ответов: 188
    Последнее сообщение: 03.07.2006, 10:00
  4. Исследование антивирусов 2
    От Geser в разделе Тестирование
    Ответов: 190
    Последнее сообщение: 30.12.2005, 11:23
  5. Внимание virusscan.jotti.org!
    От kvit в разделе Антивирусы
    Ответов: 13
    Последнее сообщение: 24.10.2005, 13:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01017 seconds with 17 queries