О том, как читать (и писать) вирусные описания

Позавчера мы были одной из первых компаний, сообщившей об обнаружении нового троянца-вымогателя Gpcode.ai.

Сейчас он уже известен всем крупным антивирусным вендорам, и практически каждый из них упомянул о нем в своих новостях и сделал детальное описание работы вредоносной программы. Это очень хорошо.

Однако внимательное чтение информации от разных вендоров может оказаться гораздо более увлекательным, чем можно подумать. Моё внимание привлекло то, что антивирусные компании, стараясь не опубликовать опасной информации, в итоге оказывают друг другу ‘медвежью услугу’.Посмотрим на примеры:

Описание от Symantec содержит информацию о некоем сайте, с которым Gpcode производит обмен данными.

Точный URL специально не приводится, и для этого есть серьезные основания. Антивирусные компании никогда не дают точных ссылок туда, где могут быть размещены вредоносные программы или могут находиться конфиденциальные данные. Для этого используется удаление части URL, замена его на ‘[REMOVED]’.

Теперь найдем описание этого же зловреда у Trend Micro:

Какой приятный сюрприз. Аналитики Trend тоже решили не публиковать точный URL, однако в описании удалили совсем другую часть ссылки, чем Symantec!

В итоге получается, что, несмотря на попытки двух антивирусных компаний не допустить утечки важной информации, совместными усилиями им это все-таки удалось сделать…

Подобные случаи происходят регулярно и вызваны отсутствием единого стандарта в создании вирусных описаний.

Не будем далеко уходить от этих примеров; посмотрим, что еще пытаются скрыть одни антивирусные компании и скрывать не собираются другие.

Все то же описание Gpcode от Trend Micro. Текст из файла read_me.txt, который зловред оставляет в системе.

Адрес электронной почты злоумышленника и персональный код зараженного компьютера заменены на символы ‘%s’ и ‘%d’.

Точно так же поступили и мы, в нашем описании Gpcode.ai:

Очевидно, что Trend Micro и ‘Лаборатория Касперского’ руководствуются одними и теми же соображениями, не публикуя эти данные.

Посмотрим на информацию от Panda Software:

‘Сокровенные’ данные не только не удалены, наоборот — они специально выделены, чтобы были лучше заметны!

Хм. Интересно, а что же сообщает Symantec?

Данные в тексте заменены на ‘[MAIL ADDRESS]’ и ‘[PERSONAL CODE]’. Ниже сообщается о том, что именно было заменено: приведены 4 адреса электронной почты злоумышленников для связи…

Полный разброд и шатание.

Довершает же путаницу во взглядах антивирусных компаний все тот же пример с последнего скриншота. Обратите внимание, что именно решили скрыть от общественности аналитики Symantec — точную ссылку на сайт Wikipedia с описанием алгоритма RSA!

Без комментариев…