Gibt's eigentlich irgendwo eine Virendatenbank wo man genauer nachlesen kann, was ein Computervirus genau macht?

[Cordess]

Idealerweise eine, die sich an die Namensbenennung bzw. Kategorisierung von ClamAV orientiert oder zumindest den Virus nach dem Namen finden lässt, den ClamAV verwendet?

Was mich hier interessieren würde wären bspw so Informationen wie:

1. Zu welcher Kategorie gehört der Virus. Steht bei ClamAV zwar dabei, wäre aber dennoch interessant näheres zu erfahren.
2. Wann ist er das erste mal entdeckt worden?
3. Für welches OS wurde er geschrieben?
4. Wie funktioniert er?
5. Was macht er?
6. Wer hat ihn geschrieben, falls bekannt?
7. Aus welchem Land kam er?
8. Welche Nachfolger gibt es von ihm?
9. Welche Vorgänger bzw. worauf baut er auf?
10. Wie gefährlich ist er?
11. Wie stark hat er sich verbreitet, sofern man das irgendwie klassifizieren kann?
12. Wie spürt man ihn mit manuellen Methoden auf? Legt er z.B. bestimmte Dateien auf der SSD ab, modifiziert er bestimmte Dateien usw?
13. Wie groß in Bytes sind die eigentlichen Schadcoderoutinen?
14. Für welche CPU Architektur wurde er geschrieben?
15. Unter welchen Namen wird er sonst noch geführt? Das ist insbesondere interessant, wenn man wissen will, wie ihn andere Antivirensoftwarehersteller bezeichnen. Hier stellt sich zudem auch die Frage, warum es scheinbar keine Versuche gibt, diese Namen irgendwie zu standardisieren. Bei Sicherheitslücken geht das mit den CVE-###### Nummern ja auch, warum nicht bei Schadsoftware?

Ich habe hier bspw. mal ein paar Beispiele über die ich gerne mehr erfahren würde:

• Win.Ransomware.Cerber-9752921-0
• Win.Trojan.FormatC-90
• Win.Trojan.Violate-1
• Win.Joke.Waterdrive-1

Die grobe Klassifizierung ist ja noch halbwegs nachvollziehbar.

• Der erste Bezeichner "Win" dürfte dafür stehen, dass es eine Schadsoftware ist, die auf Windows Betriebssystemen oder möglicherweise auch DOS funktioniert.
• Der zweite Bezeichner "Ransomware", "Trojan" oder "Joke" dürfte die grobe Klasse der Schadsoftware sein.
• Der dritte Bezeichner "Cerber", "FormatC" usw. dürfte der Name der Schadsoftware sein. Hierbei wäre es gut möglich, dass er einen Textstring in seinem Code eingebettet hat, der dann als Name benutzt wird.
• Der vierte Bezeichner, die Zahl nach dem Bindestrich dürfte für die Version stehen. Also falls er mehrfach modifiziert wurde und immer weiterentwickelt wurde, ausgehend von einem Ursprungsvirus, also einer aller ersten Version. Demnach würde es bei obiger Liste von Violate und Waterdrive nur eine Variante geben und FormatC über 90 Varianten. Aber gibt es von Cerber wirklich 9,7 Mio Varianten? Das erscheint mir irgendwie ein bisschen viel, insofern bedeutet die Zahl vielleicht etwas anderes oder kann die Schadsoftware wirklich so gut verändert werden? Dann müsste der Code des eigentlichen Schadcode recht groß sein um so viele Möglichkeiten zu ermöglichen.

Aber das war es dann auch schon mit den Informationen. Da kriegt man also einen Happen zugeworfen und soll dann gucken wo man bleibt. Irgendwie ist das arg dürftig. Daher meine Frage ob es da mehr öffentliche Informationen gibt und wo man die einsehen kann. Und hoffentlich nicht hinter irgendeiner Pay Wall.

So wirklich finden konnte ich im Netz jedenfalls nichts. Zwar gibt es scheinbar Datenbanken von anderen Antivirenherstellern, aber wenn man da einen Bezeichner von ClamAV eingibt, dann führt die Suche in der Regel ins Nichts. Also 0 Ergebnisse.

[Cordess]

Das Thema ist für mich auch deswegen interessant, da man so auch viel leichter false positives aufspüren kann.
Bei einer Datei hat clamav bspw. folgenden Schadsoftwarebezeichner ausgespruckt:

Win.Trojan.FarFrom-1

Gibt man das in der Vireneenzyklopädie von Trendmicro ein:
https://www.trendmicro.com/vinfo/us/thr ... .farfrom-1

Dann gibt es mehrere Ergebnisse, wobei das erste das interessanteste ist. Immerhin lautet der Bezeichner da auch FarFrom und es scheint gemäß der Namensbezeichner der anderen AV Hersteller die da in der Liste stehen ein Trojaner für das System Windows zu sein.
Guckt man sich dann aber an, was als Informationen darüber drinstehen, dann steht da, dass sie das erste Virensample am 02 Jul 2013
bekommen haben.
https://www.trendmicro.com/vinfo/us/thr ... FARFROM.A/

Die Datei, die ich mit clamAV aber gescannt habe, ist aus dem Jahr 1991 und die Software wurde für DOS geschrieben. Daher könnte man darauf schließen, dass es sich hier um einen False positive handelt.
Dennoch steht in der technischen Beschreibung noch mehr, nämlich dass diese Schadsoftware die Dateien AUTOEXEC.BAT und CONFIG.SYS löscht. Die gibt es auf einem modernen Windows aber nicht. Also ist es vielleicht doch eine Schadsoftware die damals für DOS oder Windows 3.x geschrieben wurde?

Daher sind solche weiterführende Informationen durchaus hilfreich, nur wäre es noch viel hilfreicher, wenn die Bezeichner von ClamAV in solchen Datenbanken auch eindeutig gefunden werden würden.

Völlig aussichtslos ist bspw. die Suche bei dem obigen Beispiel nach der Schadsoftware
Win.Ransomware.Cerber-9752921-0

Gibt man diesen Bezeichner in der Suchleiste dieser Trendmicro Enzyklopädie ein, dann bekommt man über 95000 Ergebnisse. Das ist ziemlich unbrauchbar, wenn man genaueres darüber erfahren möchte.
Sucht man stattdessen nur nach Cerber, dann sind es immerhin 212 Ergebnisse, aber immer noch zu viel, denn welche technische Beschreibung passt denn nun zu dem Fund?
https://www.trendmicro.com/vinfo/us/thr ... rch/cerber

[TRex]

Warum du da nicht viel findest: zu den eigentlichen Maßnahmen gehört (außer man ist AV-Hersteller) nicht das Erkennen und Löschen des Virus, sondern zu verhindern, dass der Virus/Trojaner aufs System kommt und/oder dort Schaden anrichtet (indem man Sicherheitslücken schließt und Anwender schult, keinen Mist auszuführen). Daher investiert man meistens nicht so viel Mühe, die Daten zu sammeln, die du gerne hättest.

[Cordess]

Ja, das ist irgendwie total traurig, dass es keinerlei Bemühungen seitens der Antivirensoftwarehersteller gibt die Schadsoftware einheitlich, standardisiert und herstellerübergreifend zu kategorisieren, so dass die Bezeichner immer eindeutig sind, egal welche Antivirensoftware man einsetzt.
Da besteht IMO eigentlich dringend Nachholbedarf, zumindest aus Forschungssicht.

Bezüglich der Endanwender hast du natürlich recht.

[reox]

dass es keinerlei Bemühungen seitens der Antivirensoftwarehersteller gibt die Schadsoftware einheitlich, standardisiert und herstellerübergreifend zu kategorisieren

Es gab in den 90ern (oder so) Bestrebungen für Namenschemata (zB von der CARO) und die meisten halten sich ja auch irgendwie dran. Das Namenschema hast du ja schon herausgefunden. Bei dem Typusnamen ist es halt sehr schwer. Bei den "großen" Ausbrüchen wie aktueller Ransomware gitbs vllt einen "erstentdecker" der einen Namen vorschlägt, aber oft ist es einfach ein markanter String aus dem binary - und da gibts dann oft viele. Es kann mal sein, dass ein AV dann die Namen des anderen übernimmt - aber bei vielen Files ist nicht mal ganz genau klar was es jetzt genau ist. Dem Endkunden ist aber eigentlich auch egal ob das der "foobot" oder "bazbot" ist - hauptsache er wird nicht infiziert.

Ich glaube du unterschätzt generell etwas die Dimensionen mit denen ein AV Vendor arbeiten muss...
In DOS Zeiten, wo man Malware Signaturen per Post auf einem Zettel bekommen hat und händisch in den Rechner eingetippt hat, konnte man natürlich auch sinnvolle Infos mitliefern.
Heute verarbeiten AVs ein paar TB täglich und es kommen täglich einige tausend oder mehr neue Typen von malware raus. Die Signaturdatenbanken sind "in der cloud" und ändern sich somit die ganze Zeit.

Zu deinen Fragen:
1) Kann man heute kaum noch wissen. Meistens ist es kein "worm" mehr und eher eine mischung aus TrojanerRansomRATSpyAdAPT...
2) Auch schwierig - was heißt "zuerst entdeckt" überhaupt? Wo _diese eine_ version zuerst gefunden wurde? Wo diese art von malware zuerst gefunden wurde? Die Teile evolvieren so schnell - das ist kaum zum tracken
3) Man hat meistens eh nur ein binary und damit ist es einfach. Gibt auch script malware (vermutlich hauptsächlich JS) aber auch da sieht man schnell ob das auf windows abzielt oder was anderes
4+5) tja gute frage. Wie bei 1: die Dinger können mittlerweile einfach alles - wieso auch nicht eine RAT installieren wenn man schon dabei ist?
6+7) tja, wenn man das wüsste... Attributierungen halte ich für schwachsinn und funktionieren mMn nicht
8+9) man kann da gewisse graphen zeichnen aber die malware ist ja auch gepackt und somit fehlt oft einfach die information wo was in dem binary her kommt
10) gefährlich für was? Das ist ja immer eine rein subjektive Sache. Das Ding kann dich ruinieren wenn all deine Daten verschlüsselt sind und du kein backup hast - oder du spielst ein backup ein
11) gemessen wird das meistens über die Endpunkte. dH die AVs sehen wie oft eine signatur irgendwo anschlägt. Das ist geografisch aber ganz spezifisch für jeden AV Vendor. Aktuelle Informationen gibts zT von Europol auf dem OSINT dashboard
12) Naja das ist teilweise "Betriebsgeheimnis" der AVs
13) das ist eine gute frage, nachdem nicht mal klar ist was eigentlich schadcoderoutinen in dem binary sind... Und moderne malware läd sowas auch einfach aus dem Netz nach
14) Das siehst ja eh am binary?
15) unmögliches problem... Kannst ein Sample bei virustotal et al. hochladen und schauen als was es gefunden wird. Aber achtung: Das kann sich täglich ändern. Außerdem wird manche Malware von verschiedenen signaturen gefunden. Das siehst du aber mit einer normalen engine gar nicht - weil die nur das erste resultat liefert. Intern können AVs bessere system haben, werden die aber nicht mit dir teilen: Betriebsgeheimnis.

Generell würde ich auf Namen bei malware nichts geben - außer es ist ein gut erforschtes sample. Aber um Malware richtig gut anzuschauen braucht es Wochen für eine Person. Die Anzahl an "in-depth" analysen von malware ist nur ein ganz ganz kleiner Bruchteil von dem was an Malware existiert.

Der vierte Bezeichner, die Zahl nach dem Bindestrich dürfte für die Version stehen

Die Nummer im Namen kann auch einfach ein Random String sein, die nummer der Signatur (eine malwarefamilie hat eigentlich immer verschiedene signaturen), darauf hinweisen, dass das Sample per Hash gefunden wurde und nicht per generischer signatur, oder es sind Metadaten von einer Heuristik die in den Fundnamen geschrieben werden.
Nur sehr wenige AVs geben dir echte Subtypen oder Versionen. Ich würd sowas immer ignorieren.
Ich glaube in deinem Fall ist die Zahl eine Laufende Signatur nummer: https://lists.archive.carbon60.com/clamav/virusdb/79950

Die Datei, die ich mit clamAV aber gescannt habe, ist aus dem Jahr 1991 und die Software wurde für DOS geschrieben. Daher könnte man darauf schließen, dass es sich hier um einen False positive handelt.

Moderne AVs kümmern sich um so alte Dateien oft gar nicht mehr - also im Sinne von das sie checken ob das ein FP sein könnte. Weil kaum Leute die die Software verwenden diese binaries auf den Rechnern haben, sieht der Hersteller sowas nicht und die paar Funde gehen im Grundrauschen unter. Wie gesagt, (wenn du zulassen kannst das andere Leute die Datei bekommen) lad sie bei Virustotal (oder einer anderen Plattform) hoch und schau dir an was die diversen Engines sagen.
Andererseits gibts auch einfach viel Junkware die da klassifiziert wird... Diese ganze Joke Malware zB. Technisch keine Malware aber irgendwann sollte es halt mal gefunden werden und heute liegt es dann als Karteileiche in der Datenbank.

Bei Malware ist auch der Kontext wichtig, ob diese erkannt wird. Es kann gut sein, dass eine Datei in ihrer "natürlichen Umgebung" nicht erkannt wird aber wenn du der Engine die Datei so gibst schlägt irgendwas an.

auch interessant, weil du sagst Forschung: bekannte malware wird üblicherweise nicht nach irgendeinem namen geclustert (Namen können falsch sein, gar nicht existieren, etc) sondern man nimmt zB verhaltens-graphen oder andere runtime daten und clustert dann danach alle samples. Evt gibt man dann der Malware einen neuen Namen - aber es geht heute kaum mehr darum einen besonderen Namen zu finden sondern um Methoden wie man Samples sinnvoll gruppieren kann und eine erkennungsroutine entwickelt.