K
komrad.vasvas
Гость
Trojan.Gen.2
Такой популярный детект дает Symantec на совершенно разные файлы. Trojan.Gen.2 - очень общий детект (точнее отображаемое имя) под которым может быть все что угодно - нельзя заранее сказать, что именно там, увидев это имя.
Попробуем провести мини-анализ этого детекта, чтобы развеять накопившиеся мифы вокруг него и ответить на популярные вопросы о нем.
Для начала вкратце изложим уже имеющуюся по нему в интернете информацию, затем дополним своими данными и сделаем вывод.
1. Первым делом нужно смотреть первоисточник - информацию на официальном сайте.
Там нам сообщают, что это генерик-детект (т.е общий, под разное вредоносное ПО) на много разных троянов, для которых не было создано отдельных сигнатур, защищает от многих троянов со сходными характеристиками. Также есть общие рассуждения о троянских конях и их способах проникновения. При этом о данной угрозе сказано, что это угроза низкого риска - "Risk Level 1: Very Low" и ее вообще легко удалить с компьютера (Removal: Easy).
Своими словами: это глобальное наименование детекта, куда суется на скорую руку детект на что угодно (пока не сделан целевой детект на семейство), детектирует по каким-то общим характеристикам (хитро-размытая сигнатура). Причем чаще всего ей детектируется что-то малоопасное, а что-то сильнопасное скорее всего и чаще всего будет обнаруживаться каким-то иным именем.
2. Вторым делом ознакомимся с мнением экспертов по информационной безопасности, причем с теми, которые целенаправленно изучают продукты Symantec:
Далее будем цитировать эксперта под ником Corvus Corax с форума club-symantec.ru:
"Когда ещё эпидемия началась в 2011 очень активно, то Вирлаб все винлоки загонял под Trojan.Gen.2, скорее всего из-за их поразительной схожести."
"помню, как первые винлоки детектились Trojan.Gen.2. По факту, Trojan.Gen обновляется и детект появляется после работы вирлаба, т.е. это матрица, которая находит целую кучу подобного (по опред. характеристикам) мусора, чаще пиратского"
"Trojan.Gen.2 активно выносил винлоки(или выносит до сих пор) - высока вероятность ложняка, но, скорее всего, Symantec компенсирует это обширными белыми списками"
"Ещё прикол в том, что после Susp.Cloud.9 файл у меня в карантине получил наименование именно Trojan.ADH, выходит это не просто эвристика, как и Trojan.Gen это какие то очень общие сигнатуры, которые обновляются, в данном случае они скорее не обновляются, а просто корректируются. Обе работают по целым семействам вредоносов, знаменитый Winlock тоже начинал с Trojan.Gen.2, до сих пор помню. Поскольку Gen и ADH не полностью проактивные, то соотв. и вердикт после них не меняется, то есть вирлаб их уже не рассматривает, это законченный детект. Я просто пытаюсь понять как работают эти две не сигнатурные или полусигнатурные технологии и что конкретно приходят за обновления для них. "
Своими словами кратко: эксперт не противоречит сказанному на официальном сайте - ведет речь о том, что детект общий, часто становится самым первым, является проактивным и то ли сигнатурным, то ли бессигнатурным, в общем детект сложный, хитрый, технологичный.
3. А что же пишут "в Интернетах"? Просто поищем записи по сайтам, форумам - что обычные люди про него пишут, чем интересуется, что он у них ловит и обобщим, сделав мини-выводы.
Прочитав топ-30 по выдаче яндекса и гугла обобщенно дела обстоят так:
- детект "серого" ПО - кряки, кейгены (программы, которые не наносят пользователю вреда - ничего не крадут, не шифруют, не показывают рекламу - просто они вот такие нехорошие и у некоторых антивирусов при случае принято их детектировать)
- разное мелкое кустарное ПО - читы, мелкие вспомогательные программки в разных специализированных сообществах и т.д
- все подряд - да, так и есть. Люди жалуются на такой детект на разные файлы (игры, программы - причем легальное ПО). Т.е данный детект относительно часто детектирует и нормальные программы, причем не те, которые подозрительны по действиям (например, пишут в MBR, грузят драйвер и ставят хуки) и не те, которые полулегальны по области применения (кряки, читы), а обычные soft.
- такое имя детекта на что-то реально опасное достаточно редко (даже эксперту из п.2 на память постоянно приходит только случай в каком-то там году с детектом винлоков). Так, что это скорее исключение, чем правило. Тот же самый детект винлоков в лохматом году и есть то самое исключение - риск у него не низкий, удаление не шибко удобное, а вот детект на кряк как раз подходит под официальное описание - риск очень низкий, удалить просто - взял и удалил через контекстное меню.
Подведем под один знаменатель все три пункта: по неизвестной нам технологии под такой детект подпадают обычно угрозы низкого риска, причем детект достаточно часто фолсит (срабатывает ложно). Детектирует совершенно разные типы угроз, в дальнейшем может корректироваться и превращаться в более точный детект.
Далее более самостоятельно и подробно:
1. Если вспоминать о фолсах, то вот несколько свежих детектов на известное легальное ПО:
WebHarvy
mrsdecompiler
dll tools
Salute Radio
2. Ссылки на массовый детект кряков и читов можно и не давать. На наш взгляд это не нуждается в доказательствах, настолько это массовое явление.
3. Данный детект распространяется не только на исполняемые файлы (обычные ехе, проще говоря), но и на другие форматы и типы угроз.
Вот детект на pdf-эксплоит:
Вот детект на популярную adware (рекламное нежелательное ПО):
И напоследок приведем пример детекта вредоносного JS-скрипта на 3 кб:
4. Упомянутый детект винлоков. Да, такое тоже есть.
Вот:
(тот, который cache.dat к шеллу дописывает)
Логичен вопрос: так все-таки по какой хитрой технологии создаются такие детекты? почему имнно на эти файлы? как робот-создатель детекта (люди делают как раз-таки детекты на семейства или другие детекты) определяет, что нужно сделать вот такой детект на этот файл?
Нас такие вопросы в тупик не поставят. Мы на них честно ответим.
1. Технология обнаружения проста как мыльный пузырь: детект по контрольной сумме целого файла (примером такой контрольной суммы может служить MD5, возможно, что Symantec использует другую технологию подсчета контрольной суммы, но суть именно такова). Т.е если изменить в файле ЛЮБОЙ байт или дописать в конец файла ЛЮБОЙ байт, то этот детект пропадает. Вручную нами это было проверено на всех упомянутых в статье файлах - так и есть. Т.е детект этот никакой не хитрообщий бессигнатурно-проактивный, а совершенно "деревянный" - робот все подозрительное по хешу заносит в этот детект (тащит сюда все, что под руку попадает).
2. Если детект происходит по контрольной сумме и при малейших изменениях файла детект пропадает, то как получаются ложные срабатывания? Почему продукт детектирует чистые файлы? Как он понимает, что они подозрительны и их нужно задетектировать? Как он понимает, что кейген это кейген? Ведь у него только окошко и одна кнопка (ничего подозрительного он не делает - уцепиться боту-анализатору просто не за что)?
Ответ на эти вопросы тоже очень прост. Робот компании Symantec, производящий детекты "оглядывается" на детекты других антивирусов (их сканеры есть среди его функций) и при определенных условиях (у них много детектов, но сам файл вроде ничего плохого не делает и еще какое-нибудь условие), то делается такой точный детект по контрольной сумме. Т.е происходит как бы "кража" чужого детекта.
А "какие ваши доказательства?" можете вы спросить на вполне законных основаниях. Что ж:
- мы не смогли обнаружить ни одного файла, который бы обнаруживался только одним Symantec этим детектом и не обнаруживался никем более (этот детект есть только тогда, когда детекты есть еще хоть у кого-то)
- скомпилированные файлы с вызовом только MessageBox и упакованные upx (для того, чтоб вызвать детект хоть каких-то убогих антивирусов) заливались дважды на virustotal - первый раз, чтоб файл попал в symantec и получил возможность выхватить данный детект, а второй раз чтоб нам увидеть этот его детект. Разумеется, такой детект выскакивает не всегда - у Symantec есть и другие детекты, основанные на этой же мега-технологии детекта по контрольной сумме (например, WS.Reputation.1)
- простая логика: как можно задетектить чистый файл не выполняющий ничего плохого вообще, если детект по контрольной сумме? Это же не тот случай, когда "плавающая" сигнатура под одну гребенку детектит плохое ПО и еще похожее на него хорошее, тут-то детект точно именно этого файла - он попал в вирлаб (именно он, а не какой-то там похожий на него) и на него был роботом сделан хеш-детект именно на него.
Другого объяснения возникновения данного детекта (которое бы поясняло все три последних аргумента) просто не существует. Стоит уточнить, что в данное отображаемое имя Trojan.Gen.2 может антивирус (в смысле работник компании в ручном режиме) засунуть вообще любой детект ну совершенно, но таких детектов нами найдено не было - все найденные нами детекты соответствуют вышеописанному. Но не стоит расстраиваться - ничего страшного в такой логике работы нет, ведь Евгений Касперский говорил, что достаточно многие второсортные антивирусы это практикуют.
Вышло так: данное мини-исследование наглядно показывает уровень "секретных высоких технологий", проактивных и бессигнатурных детектов широкого профиля у Symantec, а вроде как и эксперты (а в какой области, если не секрет?), которые на эту тему рассуждают, не разобравшись не только в технологии, но даже в применяемых терминах очень удивляют - они манипулируют непонятными им самим терминами без понимания хоть как примерно работает технология.
Поэтому никогда не верьте в красивые маркетинговые слова - все это вполне можно объяснить "на пальцах" без громких технических терминов и окажется, что никакой хитрости и загадки нет и вовсе. Практически все технологии Symantec можно исследовать и понять как именно они работают. Тот же самый WS.Reputation.1 работает по точно такой же технологии, только логика наложения этого детекта другая (исходя из других данных накладывается роботом такой детект).
(а тому ыксперду, который будет вам в уши лить маркетинговую туфту можете просто плюнуть в лицо).
Такой популярный детект дает Symantec на совершенно разные файлы. Trojan.Gen.2 - очень общий детект (точнее отображаемое имя) под которым может быть все что угодно - нельзя заранее сказать, что именно там, увидев это имя.
Попробуем провести мини-анализ этого детекта, чтобы развеять накопившиеся мифы вокруг него и ответить на популярные вопросы о нем.
Для начала вкратце изложим уже имеющуюся по нему в интернете информацию, затем дополним своими данными и сделаем вывод.
1. Первым делом нужно смотреть первоисточник - информацию на официальном сайте.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Там нам сообщают, что это генерик-детект (т.е общий, под разное вредоносное ПО) на много разных троянов, для которых не было создано отдельных сигнатур, защищает от многих троянов со сходными характеристиками. Также есть общие рассуждения о троянских конях и их способах проникновения. При этом о данной угрозе сказано, что это угроза низкого риска - "Risk Level 1: Very Low" и ее вообще легко удалить с компьютера (Removal: Easy).
Своими словами: это глобальное наименование детекта, куда суется на скорую руку детект на что угодно (пока не сделан целевой детект на семейство), детектирует по каким-то общим характеристикам (хитро-размытая сигнатура). Причем чаще всего ей детектируется что-то малоопасное, а что-то сильнопасное скорее всего и чаще всего будет обнаруживаться каким-то иным именем.
2. Вторым делом ознакомимся с мнением экспертов по информационной безопасности, причем с теми, которые целенаправленно изучают продукты Symantec:
Далее будем цитировать эксперта под ником Corvus Corax с форума club-symantec.ru:
"Когда ещё эпидемия началась в 2011 очень активно, то Вирлаб все винлоки загонял под Trojan.Gen.2, скорее всего из-за их поразительной схожести."
"помню, как первые винлоки детектились Trojan.Gen.2. По факту, Trojan.Gen обновляется и детект появляется после работы вирлаба, т.е. это матрица, которая находит целую кучу подобного (по опред. характеристикам) мусора, чаще пиратского"
"Trojan.Gen.2 активно выносил винлоки(или выносит до сих пор) - высока вероятность ложняка, но, скорее всего, Symantec компенсирует это обширными белыми списками"
"Ещё прикол в том, что после Susp.Cloud.9 файл у меня в карантине получил наименование именно Trojan.ADH, выходит это не просто эвристика, как и Trojan.Gen это какие то очень общие сигнатуры, которые обновляются, в данном случае они скорее не обновляются, а просто корректируются. Обе работают по целым семействам вредоносов, знаменитый Winlock тоже начинал с Trojan.Gen.2, до сих пор помню. Поскольку Gen и ADH не полностью проактивные, то соотв. и вердикт после них не меняется, то есть вирлаб их уже не рассматривает, это законченный детект. Я просто пытаюсь понять как работают эти две не сигнатурные или полусигнатурные технологии и что конкретно приходят за обновления для них. "
Своими словами кратко: эксперт не противоречит сказанному на официальном сайте - ведет речь о том, что детект общий, часто становится самым первым, является проактивным и то ли сигнатурным, то ли бессигнатурным, в общем детект сложный, хитрый, технологичный.
3. А что же пишут "в Интернетах"? Просто поищем записи по сайтам, форумам - что обычные люди про него пишут, чем интересуется, что он у них ловит и обобщим, сделав мини-выводы.
Прочитав топ-30 по выдаче яндекса и гугла обобщенно дела обстоят так:
- детект "серого" ПО - кряки, кейгены (программы, которые не наносят пользователю вреда - ничего не крадут, не шифруют, не показывают рекламу - просто они вот такие нехорошие и у некоторых антивирусов при случае принято их детектировать)
- разное мелкое кустарное ПО - читы, мелкие вспомогательные программки в разных специализированных сообществах и т.д
- все подряд - да, так и есть. Люди жалуются на такой детект на разные файлы (игры, программы - причем легальное ПО). Т.е данный детект относительно часто детектирует и нормальные программы, причем не те, которые подозрительны по действиям (например, пишут в MBR, грузят драйвер и ставят хуки) и не те, которые полулегальны по области применения (кряки, читы), а обычные soft.
- такое имя детекта на что-то реально опасное достаточно редко (даже эксперту из п.2 на память постоянно приходит только случай в каком-то там году с детектом винлоков). Так, что это скорее исключение, чем правило. Тот же самый детект винлоков в лохматом году и есть то самое исключение - риск у него не низкий, удаление не шибко удобное, а вот детект на кряк как раз подходит под официальное описание - риск очень низкий, удалить просто - взял и удалил через контекстное меню.
Подведем под один знаменатель все три пункта: по неизвестной нам технологии под такой детект подпадают обычно угрозы низкого риска, причем детект достаточно часто фолсит (срабатывает ложно). Детектирует совершенно разные типы угроз, в дальнейшем может корректироваться и превращаться в более точный детект.
Далее более самостоятельно и подробно:
1. Если вспоминать о фолсах, то вот несколько свежих детектов на известное легальное ПО:
WebHarvy
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
mrsdecompiler
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
dll tools
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Salute Radio
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
2. Ссылки на массовый детект кряков и читов можно и не давать. На наш взгляд это не нуждается в доказательствах, настолько это массовое явление.
3. Данный детект распространяется не только на исполняемые файлы (обычные ехе, проще говоря), но и на другие форматы и типы угроз.
Вот детект на pdf-эксплоит:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Вот детект на популярную adware (рекламное нежелательное ПО):
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
И напоследок приведем пример детекта вредоносного JS-скрипта на 3 кб:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
4. Упомянутый детект винлоков. Да, такое тоже есть.
Вот:
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
(тот, который cache.dat к шеллу дописывает)
Логичен вопрос: так все-таки по какой хитрой технологии создаются такие детекты? почему имнно на эти файлы? как робот-создатель детекта (люди делают как раз-таки детекты на семейства или другие детекты) определяет, что нужно сделать вот такой детект на этот файл?
Нас такие вопросы в тупик не поставят. Мы на них честно ответим.
1. Технология обнаружения проста как мыльный пузырь: детект по контрольной сумме целого файла (примером такой контрольной суммы может служить MD5, возможно, что Symantec использует другую технологию подсчета контрольной суммы, но суть именно такова). Т.е если изменить в файле ЛЮБОЙ байт или дописать в конец файла ЛЮБОЙ байт, то этот детект пропадает. Вручную нами это было проверено на всех упомянутых в статье файлах - так и есть. Т.е детект этот никакой не хитрообщий бессигнатурно-проактивный, а совершенно "деревянный" - робот все подозрительное по хешу заносит в этот детект (тащит сюда все, что под руку попадает).
2. Если детект происходит по контрольной сумме и при малейших изменениях файла детект пропадает, то как получаются ложные срабатывания? Почему продукт детектирует чистые файлы? Как он понимает, что они подозрительны и их нужно задетектировать? Как он понимает, что кейген это кейген? Ведь у него только окошко и одна кнопка (ничего подозрительного он не делает - уцепиться боту-анализатору просто не за что)?
Ответ на эти вопросы тоже очень прост. Робот компании Symantec, производящий детекты "оглядывается" на детекты других антивирусов (их сканеры есть среди его функций) и при определенных условиях (у них много детектов, но сам файл вроде ничего плохого не делает и еще какое-нибудь условие), то делается такой точный детект по контрольной сумме. Т.е происходит как бы "кража" чужого детекта.
А "какие ваши доказательства?" можете вы спросить на вполне законных основаниях. Что ж:
- мы не смогли обнаружить ни одного файла, который бы обнаруживался только одним Symantec этим детектом и не обнаруживался никем более (этот детект есть только тогда, когда детекты есть еще хоть у кого-то)
- скомпилированные файлы с вызовом только MessageBox и упакованные upx (для того, чтоб вызвать детект хоть каких-то убогих антивирусов) заливались дважды на virustotal - первый раз, чтоб файл попал в symantec и получил возможность выхватить данный детект, а второй раз чтоб нам увидеть этот его детект. Разумеется, такой детект выскакивает не всегда - у Symantec есть и другие детекты, основанные на этой же мега-технологии детекта по контрольной сумме (например, WS.Reputation.1)
- простая логика: как можно задетектить чистый файл не выполняющий ничего плохого вообще, если детект по контрольной сумме? Это же не тот случай, когда "плавающая" сигнатура под одну гребенку детектит плохое ПО и еще похожее на него хорошее, тут-то детект точно именно этого файла - он попал в вирлаб (именно он, а не какой-то там похожий на него) и на него был роботом сделан хеш-детект именно на него.
Другого объяснения возникновения данного детекта (которое бы поясняло все три последних аргумента) просто не существует. Стоит уточнить, что в данное отображаемое имя Trojan.Gen.2 может антивирус (в смысле работник компании в ручном режиме) засунуть вообще любой детект ну совершенно, но таких детектов нами найдено не было - все найденные нами детекты соответствуют вышеописанному. Но не стоит расстраиваться - ничего страшного в такой логике работы нет, ведь Евгений Касперский говорил, что достаточно многие второсортные антивирусы это практикуют.
Вышло так: данное мини-исследование наглядно показывает уровень "секретных высоких технологий", проактивных и бессигнатурных детектов широкого профиля у Symantec, а вроде как и эксперты (а в какой области, если не секрет?), которые на эту тему рассуждают, не разобравшись не только в технологии, но даже в применяемых терминах очень удивляют - они манипулируют непонятными им самим терминами без понимания хоть как примерно работает технология.
Поэтому никогда не верьте в красивые маркетинговые слова - все это вполне можно объяснить "на пальцах" без громких технических терминов и окажется, что никакой хитрости и загадки нет и вовсе. Практически все технологии Symantec можно исследовать и понять как именно они работают. Тот же самый WS.Reputation.1 работает по точно такой же технологии, только логика наложения этого детекта другая (исходя из других данных накладывается роботом такой детект).
(а тому ыксперду, который будет вам в уши лить маркетинговую туфту можете просто плюнуть в лицо).
Последнее редактирование модератором: