-
Visiting Helper
- Вес репутации
- 67
Какие типы файлов в основном содержат вирусы?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
5ergi0
Какие типы файлов в основном содержат вирусы?
.bin, .com, .dll, .doc, .exe, .ovl, .sys, и .xls.
Но современные "зловреды" не брезгуют и другими типами файлов. Освоили .tmp, .htm и др.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
.bin, .com, .dll, .doc, .exe, .ovl, .sys, и .xls.
Но современные "зловреды" не брезгуют и другими типами файлов. Освоили .tmp, .htm и др.
все же не надо путать "типы" и "расширения" файлов.
exe и dll - это тип PE-EXE
doc и xls (а также много чего еще) - это OLE2
поэтому какое бы ни было расширение (bin, tmp), а начинка будет исполнимая (EXE).
-
-
Visiting Helper
- Вес репутации
- 67
Я вот решил сегодня ловить вирусы, так большинство из них - Trojan.Spambot, почему-то Касперский онлайн его не видит. Ловлю Drweb' ом, базы сегодняшние. Принимаю только exe, поэтому и спрашивал про типы файлов. Какие типы файлов еще добавить? Или лучше по размеру ловить?
-
-
Сообщение от
5ergi0
Я вот решил сегодня ловить вирусы, так большинство из них - Trojan.Spambot, почему-то Касперский онлайн его не видит. Ловлю Drweb' ом, базы сегодняшние. Принимаю только exe, поэтому и спрашивал про типы файлов. Какие типы файлов еще добавить? Или лучше по размеру ловить?
размер конечно лучше фильтровать, но так потеряются большие полновесные бакдоры.
расширения - cab (будет много мусора, но могу поделиться собственной программой для фильтрации), chm, exe, ocx, dll, scr.
-
-
Visiting Helper
- Вес репутации
- 67
Был бы благодарен за программу... Какие все-таки размеры файлов выставить? Сегодня ловил exe до 500K, результат странный - из ~4500 файлов 4300 спамбота размером 28*160 байт, 8 шт по 29696.
-
-
Сообщение от
5ergi0
Был бы благодарен за программу... Какие все-таки размеры файлов выставить? Сегодня ловил exe до 500K, результат странный - из ~4500 файлов 4300 спамбота размером 28*160 байт, 8 шт по 29696.
а остальные хоть толковые?
можно вообще 200кб поставить, эффект будет тот же, зато мусора меньше.
-
-
последние результаты (по умолчанию - одна разновидность):
Trojan-Downloader.Win32.Small.dzl
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Small.ddp - 5
Trojan-Downloader.Win32.Small.ccm
Trojan-Downloader.Win32.Small.cib
Trojan-Downloader.Win32.Small.cwq
Trojan-Downloader.Win32.Small.dgk
Trojan-Downloader.Win32.Small.on
Trojan-Downloader.Win32.Delf.awg - 6
Trojan-Downloader.Win32.Delf.aeu
Trojan-Downloader.Win32.Adload.il
Trojan-Downloader.Win32.Adload.fu
Trojan-Downloader.Win32.Tiny.bm
Trojan-Downloader.Win32.Tiny.eo - 3
Trojan-Downloader.Win32.Bagle.y
Trojan-Downloader.Win32.INService.gen
Trojan-Downloader.Win32.Agent.ip
Trojan-Downloader.Win32.Zlob.awk - 2
Trojan-Downloader.Win32.Zlob.awu - 5
Trojan-Downloader.Win32.Zlob.awl
Trojan-Downloader.Win32.Zlob.awh - 2
Trojan-Downloader.Win32.Zlob.aui
Trojan-Downloader.Win32.Zlob.awp
Trojan-Downloader.Win32.Zlob.awm
Trojan-Downloader.Win32.IstBar.gen
Trojan-Downloader.JS.Psyme.c
Trojan.Win32.Dialer.ay
Trojan.Win32.Dialer.qy
Trojan.Win32.BHO.g
Trojan.Win32.Pakes - 2
Trojan.Win32.Diamin.ez
Trojan-Dropper.Win32.aua - 3
not-a-virus.AdWare.Win32.Virtumonde.dr
not-a-virus.AdWare.Win32.BetterInternet.au - 3
not-a-virus.AdWare.Win32.Softomate.u
not-a-virus.Downloader.Win32.WinFixer.o - 5
not-a-virus.Downloader.Win32.PopCap.b
not-a-virus.Porn-Dialer.Win32.Bienvenido
Email-Worm.Win32.Bagle.gi
Email-Worm.Win32.Scano.bd
Email-Worm.Win32.Warezov.et
Email-Worm.Win32.Glowa.g
Packed.Win32.Klone.g
Trojan-Proxy.Win32.Xorpix.ar - 2
Trojan-Proxy.Win32.Dlena.ai
Trojan-Proxy.Win32.Lager.eg
Trojan-Spy.Win32.Goldun.nr
Trojan-Spy.Win32.BZub.fh
Backdoor.Win32.Agent.fo
Trojan-PSW.Win32.LdPinch.azf
-
-
Visiting Helper
- Вес репутации
- 67
вот все, что поймалось:
Trojan.DownLoader.14747
Trojan.Spambot
Trojan.Killer
Adware.Poiskat
Trojan.Proxy.1218
Trojan.MulDrop.876
Trojan.DownLoader.14655
Trojan.DownLoader.14707
Trojan.DownLoader.14774
Trojan.DownLoader.14827
BackDoor.Kiddy
Trojan.Popuper
Win32.HLLW.Medbod
Trojan.Proxy.1216
Adware.Zango
Adware.Ykemi
BackDoor.Haxdoor.210
Trojan.DownLoader.11356
Trojan.DownLoader.14427
Trojan.EmailSpy
Win32.HLLM.Limar.based
Trojan.MulDrop.4532
Trojan.DownLoader.14686
Trojan.DownLoader.4491
Trojan.Mezzia
Win32.HLLM.Perf
-
-
Сообщение от
5ergi0
вот все, что поймалось:
Trojan.DownLoader.14747
Trojan.Spambot
сложно конечно сравнивать Касперского с ДрВебом
даже по именам.
это без учета разновидностей бинарных тел (т.е. всех найдено по 1 виду)?
-
-
Visiting Helper
- Вес репутации
- 67
Да, всех по 1, только спамбота 3 вида.
P.S. поставил и Касперского.
-
-
Trojan.Spambot, Trojan.Popuper, Win32.HLLM.Limar.based, Win32.HLLM.Perf - это на самом деле "фамилии". Сколько там разновидностей по Касперскому - скажет только его детектор.
-
-
Сообщение от
pig
Trojan.Spambot, Trojan.Popuper, Win32.HLLM.Limar.based, Win32.HLLM.Perf - это на самом деле "фамилии". Сколько там разновидностей по Касперскому - скажет только его детектор.
поэтому на имена обращается только половина внимания. вторая половина - на контрольные суммы.
-
-
С криптерами и контрольные суммы не помогают .
Суммы разные, внутри одно и то же.
To 5ergi0
- если возможно, то эффективнее ссылка, чем образец.
Она часто дает не один образец.
- существуют также honeypot и их сообщества для отлова червей.
nephentes, к примеру.
См. http://nepenthes.mwcollect.org/, http://mwcollect.org/
Условия участия - установка программы и отправка пойманных червей.
-
-
Сообщение от
Alexey P.
С криптерами и контрольные суммы не помогают
.
Суммы разные, внутри одно и то же.
о чем говорят файлы с разными CRC полученные в один день? либо в сети существует параллельно несколько источников распространения, либо на одном из серверов периодически идет обновление трояна.
и то, и другое говорит о том, что для распространения трояна прикладываются большие усилия и это не разовая акция.
с учетом того, КАК современные AV детектируют троянов (в некоторых случаях - именно по упаковщикам), то такие образцы тоже нужны.
Сообщение от
Alexey P.
посмотрел, ничего не понял (толкового описания так и не нашел), плюнул на это.
-
-
Сообщение от
MOCT
и то, и другое говорит о том, что для распространения трояна прикладываются большие усилия и это не разовая акция.
Угу. Именно такое и опаснее, потому что оно не на пять минут и явно будет немало народу с их заразой.
Тот же Limar/Stration - сначала раздавали PSW троян, спамбот и их загрузчики, потом перешли к е-мейл червям. На очереди, возможно, сетевые черви. Правда, что-то они существенно поумерили активность - то ли некогда, новую заподлянку готовят, то ли лишней славы не хотят.
с учетом того, КАК современные AV детектируют троянов (в некоторых случаях - именно по упаковщикам), то такие образцы тоже нужны.
Во-во, как раз в этом случае предпочтительна ссылка, а не один отдельный образец.
посмотрел, ничего не понял (толкового описания так и не нашел), плюнул на это.
Сначала есть смысл скомпилировать (под cygwin или *никсами) их nephentes, потом уже обращаться. Источник достойный, копать - не перекопать. Правда, битых образцов там много.
Последний раз редактировалось anton_dr; 17.11.2006 в 10:04.
-
-
Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву? Собственный антивирус вы не представили, страдают конечные пользователи.
-
-
Сообщение от
Alex_Goodwin
Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву? Собственный антивирус вы не представили, страдают конечные пользователи.
ну и Dr.web'у, т.к. я им пользуюсь и остальным рекомендую.
Сообщить Dr.Web'у о вирусе:
http://www.drweb.ru/newvirus/
P.S.
надо же поддержать отечественного производителя...
-
Сообщение от
Alex_Goodwin
Игорь! А почему Вы не посылаете недетектируемые зловреды Касперскому и Олегу Зайцеву?
ну, Олегу я не против представить все что угодно. у него некоммерческий продукт, развивающийся и реально полезный.
а вот Касперскому почему я должен посылать??? тут уже начинают работать законы бизнеса - все услуги по предоплате
Сообщение от
Alex_Goodwin
Собственный антивирус вы не представили, страдают конечные пользователи.
ну кто же знает, может еще и представлю
-
-
Сообщение от
MOCT
а вот Касперскому почему я должен посылать??? тут уже начинают работать законы бизнеса - все услуги по предоплате
Всегда ненавидил такую позицию..
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-