Security Professionals - ipfw add deny all from eindgebruikers to any

Namen van virussen

21-03-2012, 10:44 door Facepalm, 10 reacties
Mijn vraag is, hoe weet een virusscanner wat voor soort virus het is en hoe kan deze virusscanner deze een naam geven?
Reacties (10)
21-03-2012, 10:49 door regenpijp
Laat ik het simpel houden: virusscanners gebruiken een gigantische databank met bepaalde kenmerken van virussen en sommige kenmerken zijn kenmerkend voor een virus en dus kunnen die zo worden gekoppeld, maar een virusscanner kan ook bepaalde kenmerken in een goed programma zien als 'slechte' kenmerken wat resulteerd in false positives.
21-03-2012, 10:51 door SirDice
Door Facepalm: Mijn vraag is, hoe weet een virusscanner wat voor soort virus het is en hoe kan deze virusscanner deze een naam geven?
Men herkent een zogenaamd 'signature'. Dat is een of meerdere stukjes code wat herkent wordt. Aan de hand daarvan wordt er in een database gezocht welke malware die signature heeft. Een anti-virus bedrijf maakt deze signatures aan de hand van opgestuurde of gevonden exemplaren. Zij geven 't beestje ook een naam.
21-03-2012, 10:53 door Facepalm
Maar zo'n database staat lokaal op je pc, want je zult ook offline moeten kunnen scannen. Is het dan niet mogelijk om deze database aan te kunnen passen als virus?
21-03-2012, 10:56 door regenpijp
Door Facepalm: Maar zo'n database staat lokaal op je pc, want je zult ook offline moeten kunnen scannen. Is het dan niet mogelijk om deze database aan te kunnen passen als virus?

Denk je dat die databank onversleuteld op je pc staat? Deze is of zwaar versleuteld/gecodeerd door de antivirus suite of hij zit ingebakken.
21-03-2012, 11:02 door Facepalm
Zijn hier enige regels aan verbonden bij het verzinnen van een naam?
21-03-2012, 11:13 door SirDice
Door Facepalm: Zijn hier enige regels aan verbonden bij het verzinnen van een naam?
Niet echt. Je ziet ook regelmatig dat verschillende anti-virus bedrijven verschillende namen hebben voor dezelfde malware.
21-03-2012, 11:15 door SirDice
Door Facepalm: Maar zo'n database staat lokaal op je pc, want je zult ook offline moeten kunnen scannen. Is het dan niet mogelijk om deze database aan te kunnen passen als virus?
Om dat te kunnen zal de malware eerst actief moeten worden, en dat gaat niet want de on-access scanner van de virusscanner verhinderd dat. Bovendien zal de malware voldoende rechten moeten hebben en exact moeten weten hoe die database in elkaar steekt. Niet geheel onmogelijk maar wel onwaarschijnlijk.
21-03-2012, 11:16 door Facepalm
Thanks voor jullie snelle reacties!
21-03-2012, 11:21 door regenpijp
Door SirDice:
Door Facepalm: Zijn hier enige regels aan verbonden bij het verzinnen van een naam?
Niet echt. Je ziet ook regelmatig dat verschillende anti-virus bedrijven verschillende namen hebben voor dezelfde malware.

echte industrie standaards zijn er niet, maar er zit wel een structuur in de naamgeving, vaak wordt eerst het platform gegeven (vb win32) dan het soort malware (vb trojan) dan de naam van het virus, trojaanse paard, de worm en als laatste de versie (vb a,b,c,etc)
21-03-2012, 11:23 door SirDice
Door regenpijp:
Door SirDice:
Door Facepalm: Zijn hier enige regels aan verbonden bij het verzinnen van een naam?
Niet echt. Je ziet ook regelmatig dat verschillende anti-virus bedrijven verschillende namen hebben voor dezelfde malware.

echte industrie standaards zijn er niet, maar er zit wel een structuur in de naamgeving, vaak wordt eerst het platform gegeven (vb win32) dan het soort malware (vb trojan) dan de naam van het virus, trojaanse paard, de worm en als laatste de versie (vb a,b,c,etc)
En het ging nu net om die naam en versie. De rest is niet zo bijster interessant en is meer een classificatie dan deel van de naam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search