Перейти к содержанию

Вирусы и из сигнатуры


Kalipso

Рекомендуемые сообщения

Доброго времени суток.

Уже сколько файлы проверяю на наличия malware, и часто бывает так, что 10 видят , как вирус, 10 видят как чистый и еще некоторые видят как разного рода нежелательного ПО. Ну и всему этому виновен сигнатуры.

 

Кто нибудь может мне показать как они выглядят? Очень хотелось бы на каком нибудь примере это показать. Я конечно не программист, но понять более менее код могу.
Просто интересно, когда выходит новый вирус, после ручного анализа, вирусолог лаборатории что вносит в базу сигнатур, чтоб обновились антивирусы?
Я думаю это не конфиденциальная информация и у всех антивирусных(и не только) компаний алгоритм почти одинаковый, только базу сигнатур отличаются./

 

Ссылка на комментарий
Поделиться на другие сайты

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ссылка на комментарий
Поделиться на другие сайты

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

Ссылка на комментарий
Поделиться на другие сайты

 

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

 

На самом деле это не совсем так. Дело в том, что вычислив хеш файла, антивирус может по нему запросить репутацию файла и сведения по нему из "облака". Трафик на это практически не тратится, и можно получить актуальную на момент запроса информацию, не дожидаясь обновления баз. Что значительно повышает оперативность реагирования на угрозы.

Более того, опираясь на хеш файла (и подпись, если таковая есть) можно провести проверку по базе чистых, и по сути инвертировать логику принятия решений - сначала распознать все известное и популярное как безопасное, а уже потом разбираться с тем, что останется. Любое изменение в известном легитимном файле является сигналом к тому, что доверять ему уже не стоит.

Это что качается хешей. При этом сигнатуры никто не отменял, в простейшем случае классическая сигнатура - это тот-же хеш некоторого фрагмента файла (или несколько хешей), с указанием того, где и как именно этот фрагмент искать. Чуть более сложный сигнатурный метод - это поиск некоей последовательности байт по заданной маске, см. http://z-oleg.com/secur/avz_doc/script_searchsign.htm- классическая реализация сигнатурного поиска в скрипт-движке AVZ, дающее представление о принципах работы сигнатурного поиска. Если хочется дальше изучать сигнатурный метод, то обязательно советую погуглить про YARA (собственно, см. http://virustotal.github.io/yara/ и https://yara.readthedocs.io/en/v3.8.1/writingrules.html). YARA позволяет создавать достаточно гибкие и сложные правила для детектирования зловредов, при этом правила достаточно легко читаюся.

Плюс очень важно понимать, что сейчас под термином "сигнатура" и "сигнатурная база" может подразумеваться что угодно, я бы определил этот термин как "совокупность признаков, правил и методик классификации объекта". К примеру, в качестве признаков могут быть использованы не последовательности байт в исполняемом файле, а некие поведенческие особенности изучаемой программы, выявленные антивирусом при помощи эмулятора или наблюдения за работой запущенного приложения, или какие-то особенности ее трафика.

Изменено пользователем Zaitsev Oleg
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...