Cordess hat geschrieben: 07.05.2022 00:57:45
dass es keinerlei Bemühungen seitens der Antivirensoftwarehersteller gibt die Schadsoftware einheitlich, standardisiert und herstellerübergreifend zu kategorisieren
Es gab in den 90ern (oder so) Bestrebungen für Namenschemata (zB von der CARO) und die meisten halten sich ja auch irgendwie dran. Das Namenschema hast du ja schon herausgefunden. Bei dem Typusnamen ist es halt sehr schwer. Bei den "großen" Ausbrüchen wie aktueller Ransomware gitbs vllt einen "erstentdecker" der einen Namen vorschlägt, aber oft ist es einfach ein markanter String aus dem binary - und da gibts dann oft viele. Es kann mal sein, dass ein AV dann die Namen des anderen übernimmt - aber bei vielen Files ist nicht mal ganz genau klar was es jetzt genau ist. Dem Endkunden ist aber eigentlich auch egal ob das der "foobot" oder "bazbot" ist - hauptsache er wird nicht infiziert.
Ich glaube du unterschätzt generell etwas die Dimensionen mit denen ein AV Vendor arbeiten muss...
In DOS Zeiten, wo man Malware Signaturen per Post auf einem Zettel bekommen hat und händisch in den Rechner eingetippt hat, konnte man natürlich auch sinnvolle Infos mitliefern.
Heute verarbeiten AVs ein paar TB täglich und es kommen täglich einige tausend oder mehr neue Typen von malware raus. Die Signaturdatenbanken sind "in der cloud" und ändern sich somit die ganze Zeit.
Zu deinen Fragen:
1) Kann man heute kaum noch wissen. Meistens ist es kein "worm" mehr und eher eine mischung aus TrojanerRansomRATSpyAdAPT...
2) Auch schwierig - was heißt "zuerst entdeckt" überhaupt? Wo _diese eine_ version zuerst gefunden wurde? Wo diese art von malware zuerst gefunden wurde? Die Teile evolvieren so schnell - das ist kaum zum tracken
3) Man hat meistens eh nur ein binary und damit ist es einfach. Gibt auch script malware (vermutlich hauptsächlich JS) aber auch da sieht man schnell ob das auf windows abzielt oder was anderes
4+5) tja gute frage. Wie bei 1: die Dinger können mittlerweile einfach alles - wieso auch nicht eine RAT installieren wenn man schon dabei ist?
6+7) tja, wenn man das wüsste... Attributierungen halte ich für schwachsinn und funktionieren mMn nicht
8+9) man kann da gewisse graphen zeichnen aber die malware ist ja auch gepackt und somit fehlt oft einfach die information wo was in dem binary her kommt
10) gefährlich für was? Das ist ja immer eine rein subjektive Sache. Das Ding kann dich ruinieren wenn all deine Daten verschlüsselt sind und du kein backup hast - oder du spielst ein backup ein
11) gemessen wird das meistens über die Endpunkte. dH die AVs sehen wie oft eine signatur irgendwo anschlägt. Das ist geografisch aber ganz spezifisch für jeden AV Vendor. Aktuelle Informationen gibts zT von Europol auf dem OSINT dashboard
12) Naja das ist teilweise "Betriebsgeheimnis" der AVs
13) das ist eine gute frage, nachdem nicht mal klar ist was eigentlich schadcoderoutinen in dem binary sind... Und moderne malware läd sowas auch einfach aus dem Netz nach
14) Das siehst ja eh am binary?
15) unmögliches problem... Kannst ein Sample bei virustotal et al. hochladen und schauen als was es gefunden wird. Aber achtung: Das kann sich täglich ändern. Außerdem wird manche Malware von verschiedenen signaturen gefunden. Das siehst du aber mit einer normalen engine gar nicht - weil die nur das erste resultat liefert. Intern können AVs bessere system haben, werden die aber nicht mit dir teilen: Betriebsgeheimnis.
Generell würde ich auf Namen bei malware nichts geben - außer es ist ein gut erforschtes sample. Aber um Malware richtig gut anzuschauen braucht es Wochen für eine Person. Die Anzahl an "in-depth" analysen von malware ist nur ein ganz ganz kleiner Bruchteil von dem was an Malware existiert.
Cordess hat geschrieben: 06.05.2022 01:24:59
Der vierte Bezeichner, die Zahl nach dem Bindestrich dürfte für die Version stehen
Die Nummer im Namen kann auch einfach ein Random String sein, die nummer der Signatur (eine malwarefamilie hat eigentlich immer verschiedene signaturen), darauf hinweisen, dass das Sample per Hash gefunden wurde und nicht per generischer signatur, oder es sind Metadaten von einer Heuristik die in den Fundnamen geschrieben werden.
Nur sehr wenige AVs geben dir echte Subtypen oder Versionen. Ich würd sowas immer ignorieren.
Ich glaube in deinem Fall ist die Zahl eine Laufende Signatur nummer:
https://lists.archive.carbon60.com/clamav/virusdb/79950
Cordess hat geschrieben: 06.05.2022 01:47:33
Die Datei, die ich mit clamAV aber gescannt habe, ist aus dem Jahr 1991 und die Software wurde für DOS geschrieben. Daher könnte man darauf schließen, dass es sich hier um einen False positive handelt.
Moderne AVs kümmern sich um so alte Dateien oft gar nicht mehr - also im Sinne von das sie checken ob das ein FP sein könnte. Weil kaum Leute die die Software verwenden diese binaries auf den Rechnern haben, sieht der Hersteller sowas nicht und die paar Funde gehen im Grundrauschen unter. Wie gesagt, (wenn du zulassen kannst das andere Leute die Datei bekommen) lad sie bei Virustotal (oder einer anderen Plattform) hoch und schau dir an was die diversen Engines sagen.
Andererseits gibts auch einfach viel Junkware die da klassifiziert wird... Diese ganze Joke Malware zB. Technisch keine Malware aber irgendwann sollte es halt mal gefunden werden und heute liegt es dann als Karteileiche in der Datenbank.
Bei Malware ist auch der Kontext wichtig, ob diese erkannt wird. Es kann gut sein, dass eine Datei in ihrer "natürlichen Umgebung" nicht erkannt wird aber wenn du der Engine die Datei so gibst schlägt irgendwas an.
auch interessant, weil du sagst Forschung: bekannte malware wird üblicherweise nicht nach irgendeinem namen geclustert (Namen können falsch sein, gar nicht existieren, etc) sondern man nimmt zB verhaltens-graphen oder andere runtime daten und clustert dann danach alle samples. Evt gibt man dann der Malware einen neuen Namen - aber es geht heute kaum mehr darum einen besonderen Namen zu finden sondern um Methoden wie man Samples sinnvoll gruppieren kann und eine erkennungsroutine entwickelt.