173 ответов в этой теме

[Eugeny Vasiliev]

У кого-нибудь есть мнение, если говорить о терминах, что можно считать "универcальным детектом"?
Мне, например, интересно, в отношении эвристика FLY-CODE. На сегодня его 10000 записей детектят 2.000.000 файлов. Это тот случай?

[SergM]

1/200? Наверное, это тот случай.

[Eugeny Vasiliev]

Думаю примерно также - не все так плохо. И еще, что аналитики вручную не могут разобрать огромный входящий поток и большая его доля достается технике. Сигнатурные записи тоже имеют отличный от 1 коэффициент покрытия, сдается, что проблема в предварительной классификации файлов. Для любой выделенной группы однотипных файлов (по содержимому или поведению) совсем несложно сделать generic-запись, да еще и с больгим упреждением на будущее. Но эту группу сначала нужно выделить. И чем больше помощи в этом со стороны хантеров, тем эффективнее антивирус. Бесконечного разнообразия вирусов нет, все поддается классификации - уж извините за банальность

[SergM]

Ага. Так сколько людей это давно просят. В разных формах и с различным подходом. Тот же Беляш, к примеру. Да практически все завсегдатаи форума.
А хантерам надо для такого случая задачу сформулировать. Они народ отзывчивый.

Сообщение было изменено SergM: 29 Ноябрь 2011 - 05:36
Добавлено

[Eugeny Vasiliev]

во-во. вам пора, и нам пора c вентиляторным заводом заключать договора. надо действовать

[SergM]

надо действовать

Беляш днем идей накидает. Вернее свои в кучку соберет, наверное.

[mrbelyash]

надо действовать

Беляш днем идей накидает. Вернее свои в кучку соберет, наверное.

Пра что разговор?

[Prorok’]

SergM, 29 November 2011 - 05:42, написал:
Eugeny Vasiliev написал:
надо действовать
Беляш днем идей накидает. Вернее свои в кучку соберет, наверное.

Пра что разговор?

Про самый крутой антивирусник иначе про DrWeb

[mrbelyash]

Но эту группу сначала нужно выделить.

Дык эта...Winlock.3300 мы его новые версии стабильно не детектим.

[Prorok’]

mrbelyash, Извини не удержался

[Borka]

Как насчет универсального детекта по имени файла?

[Eugeny Gladkih]

по отсутствии подписи microsoft

[sergeyko]

по отсутствии подписи microsoft

Тогда уж по наличию!

[Eugeny Gladkih]

это слишком злобно

[Borka]

по отсутствии подписи microsoft

Тогда уж по наличию!

Во-во - записАть все такие файлы как Tool.Microsoft.generic

[Eugeny Gladkih]

а все остальные - suspicious.inside

[Banzai]

А у меня тишина кстати, за неделю НИ ОДНОГО АВТОРАНЕРА! То 2-3 в день, то вообще тишина. В прошлый раз три недели был перерыв. посмотрим еще ))
А вот с винлоками беда прямо. Наши винлоки конкретно деньги в нац валюте требуют на киви кошелек. Хотя вытаскивать и обезвреживать в ручную (иначе никак) и менять на оигиналы userinit, taskmgr, explorer. особого труда не составляет, даже по телефону с клиентами проделываем )).
Gbot-ы тоже стали реже попадатся (в смысле неизвестные вебу).

Кстати, может я и туплю, но что мешает движок робота вставить в эвристик сканера?

[mrbelyash]

А у меня тишина кстати, за неделю НИ ОДНОГО АВТОРАНЕРА! То 2-3 в день, то вообще тишина. В прошлый раз три недели был перерыв. посмотрим еще ))
А вот с винлоками беда прямо. Наши винлоки конкретно деньги в нац валюте требуют на киви кошелек. Хотя вытаскивать и обезвреживать в ручную (иначе никак) и менять на оигиналы userinit, taskmgr, explorer. особого труда не составляет, даже по телефону с клиентами проделываем )).
Gbot-ы тоже стали реже попадатся (в смысле неизвестные вебу).

Кстати, может я и туплю, но что мешает движок робота вставить в эвристик сканера?

Так кидайте мне винлоки,я хоть коды достану.

[Banzai]

Так кидайте мне винлоки,я хоть коды достану.

То есть, в вирлаб и копию вам в личку?

[mrbelyash]

Так кидайте мне винлоки,я хоть коды достану.

То есть, в вирлаб и копию вам в личку?

угу