-
Junior Member
- Вес репутации
- 65
Сообщение от
Alexey P.
Возникли некоторые предполагаемые трудности. Как определить "подозрение" у разных антивирусов по выдаваемому ими результату?
Просмотрев предварительные результаты в явных случая всё понятно. А вот остальные...
PHP код:
#AVG Antivirus - unknown virus
#AntiVir - Heuristic
#ArcaVir- Heur
#Avast - ?
#BitDefender - BehavesLike
#ClamAV - ?
#Dr.Web - modification;?
#F-Prot Antivirus - unknown virus;Possibly a new variant;New or modified variant;
#Fortinet - PossibleThreat
#Kaspersky Anti-Virus - modification;probably;?
#NOD32 - a variant;probably a variant;probably unknown
#Norman Virus Control - Sandbox;Suspicious
#UNA - ?
#VBA32 - paranoid heuristics;Unknown
#VirusBuster - ?
Вопросиком обозначено наличие вопроса, как определить для данного антивируса по результатам подозрение.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Alexey P.
Думаю, можно у него попросить и скрипт, которым парсит результаты.
Нет, заносится всё в ручную.
По поводу сообшений эвристики...
Для DrWeb, наверное уже неполный:
Новое в версии 4.33:
Поисковый модуль:
* новый эвристический анализатор, который позволяет обнаруживать
новые модификации вирусов, следующих типов:
DLOADER (Trojan.DownLoader.xxx), MULDROP (Trojan.MulDrop.xxx),
STPAGE (Trojan.StartPage), BACKDOOR (BackDoor.xxx),
PWS (Trojan.PWS.xxx), WORM and MAIL.WORM (e-mail worms).
Возможные комбинации:
(DLOADER|MULDROP|STPAGE)(.IRC)(.PWS).Trojan
BACKDOOR(.IRC)(.PWS).Trojan
WIN.(.IRC)(.PWS)(.MAIL).WORM.Virus
add
UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch
Последний раз редактировалось Shu_b; 21.08.2006 в 11:21.
-
-
Что касается UNA:
Сообщение от
Shu_b
UNA - вероятная работа эвристика - Win32.CRYPT.virus, VirTool.Win32.LdPinch
VirTool.Win32.LdPinch - это запись, не эвристика.
По логам эвристика отличается очень легко: вместо infected перед именем вируса пишется suspicious. Если же ориентироваться только по имени, то обычно эвристические срабатывания имеют вид:
1) Для Win32 (PE) файлов:
Win32.TSR.virus, Win32.HLLx.virus, Win32.CRYPT.virus, Win32.virus, I-Worm.Win32.virus, I-Worm.Win32.TSR.virus, Trojan.Win32, Trojan.Win32.PSW (сравнивать только полные совпадения строк, если например будет Trojan.Win32.VB - то это уже запись).
2) Для COM/EXE файлов (DOS):
[префикс].virus, где префикс может состоять из следующих сочетаний, разделённых через точку: COM, EXE, HLLx, TSR, BOOT, CRYPT.
Например: COM.TSR.CRYPT.virus.
3) Для макросов различных документов: MACRO.virus.
4) Для скриптов:
[префикс].virus, где префикс может состоять из следующих сочетаний, разделённых через точку: I-Worm, BAT, VBS, JS.
Например: I-Worm.VBS.virus, или BAT.virus.
Вот так всё непросто, лучше уж по логам смотреть на сообщение suspicious.
Последний раз редактировалось Terry; 21.08.2006 в 18:51.
Hикогда не бойся делать то, что ты не умеешь. Помни: ковчег был построен любителем, профессионалы построили "ТИТАHИК".
Руководитель антивирусной лаборатории
-
-
По логам, конечно, лучше. Но в наличии есть только выжимка, сделанная скриптом Jotti.
-
-
Visiting Helper
- Вес репутации
- 76
у каспа это если в строке есть Type_
а типов там уже дофига
у нода есть еще new Heur PE?!
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
AntiVir HEUR/
Norman W32/Malware
VBA suspected
-
-
У Dr.Web вообще-то главное ключевое слово "probably". Но выдаёт ли его Jotti на-гора, я не в курсе.
-
-
Сообщение от
Sanja
у нода есть еще new Heur PE?!
probably unknown NewHeur_PE virus
-
-
Visiting Helper
- Вес репутации
- 76
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Junior Member
- Вес репутации
- 65
Спасибо за помощь. Правда до конца всё определить не удалось.
PHP код:
#AVG Antivirus - unknown virus;
#AntiVir - Heuristic/*;
#ArcaVir- Heur.*;
#Avast - *:Malware;*-gen.*;
#BitDefender - BehavesLike*;
#ClamAV - ?
#Dr.Web - BACKDOOR.*;DLOADER.*;MULDROP.*;STPAGE.*;*.Virus;*.based;modification*;
#F-Prot Antivirus - unknown virus;Possibly a new variant*;New or modified variant*;destructive program;security risk or a "backdoor" program;virus dropper;virus construction tool;
#Fortinet - PossibleThreat*;*NewThreat*;?
#Kaspersky Anti-Virus - Type_*;?
#NOD32 - a variant*;probably a variant*;probably unknown*;
#Norman Virus Control - Sandbox:*;*Suspicious*;
#UNA - ?
#VBA32 - *(paranoid heuristics);Unknown.*;
#VirusBuster - ?
-
Сообщение от
Enotus
Спасибо за помощь. Правда до конца всё определить не удалось.
#Dr.Web - *.based;
Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
Alexey P.
Нет, *.based - это уже точный диагноз, я как-то уточнял - аналитики подтвердили.
Ок.
А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?
-
Сообщение от
Enotus
Ок.
А для VBA32 - *(paranoid heuristics) тоже похоже на точный диагноз?
Нет это не точный диагноз.
-
-
Junior Member
- Вес репутации
- 65
Сообщение от
Синауридзе Александр
Нет это не точный диагноз.
А "NOD32 - a variant*" ?
-
Тоже эвристика (как и у VBA paranoid в предыдущем вопросе).
-