新病毒究竟是如何被发现的？

Question

当邪恶的McJones开发和传播X病毒时，AV公司(以及AV测试/验证公司)必须发生哪些事件才能识别X病毒？

这个问题的答案给出了一个可以找到病毒的高层次方法的简单列表：

• 样品由顾客寄送
• 进一步分析了启发式扫描器(即行为像病毒的东西)检测到的恶意软件。
• 封邮件作为垃圾邮件可以分析恶意软件附件。
• “蜜罐”，即公共服务器或电子邮件地址，旨在收集恶意软件。
• 在恶意软件作者社区卧底

但是，具体是什么呢？非客户发起的收集病毒的方法是否完全自动化？或者，实验室里有N个人想要签约吗？

什么启发式/行为导致更深入的分析？更深入的分析包括什么？病毒的“最终标记”是什么？

..。谁给这该死的东西起了名字？

Answer 1

大多数AV公司都有一个分析团队，负责监控从不同来源收集到的样本。

这些来源包括但不限于：

• 在蜜罐中工作的沙箱机样品的获取
• 通过客户自动或手动发送的样品
• 从第三方(包括竞争供应商)获得的样本

第一个和最后一个通常是主要的数据来源。

从这些主要来源收集的大多数恶意软件被重放，恶意软件执行的操作随后被记录下来。一旦这样做了，AV供应商的某个人可能最终会检查它，但在其他一些情况下，它是完全自动的--这完全取决于恶意软件本身的复杂性，但更多的时候，它确实需要有人查看文件本身。

命名他们是一个不同的故事。一些恶意软件最终在所有供应商中获得相同或至少相似的名称，但他们如何处理命名方案通常最终取决于供应商本身。

增编，因为编辑是

由于您添加了一项关于启发式的内容，所以应该记住，启发式实际上并不适用于最终用户，但它们确实允许AV供应商对文件本身产生怀疑。某些行为，如正在编辑的OS目录中的文件或正在更改的安全设置，在沙箱中运行时可能会忽略检测。

有时候，它不是关于它在文件系统上所做的事情，而是它所调用的操作系统API所做的事情，甚至是它向CPU抛出的指令。有许多恶意软件只是做无用的指令或执行API调用的例子，这些都是毫无意义的--比如一个文件伪装成一个计算器应用程序，调用打印机假脱机，即使计算器应用程序没有打印。

为了让事情变得更复杂，恶意软件的作者也会经常使用packer对文件进行编码，这意味着恶意文件的编码方式要求您“解压缩”它，以便了解正在发生的事情--比如这里的文件压缩。AV供应商可能难以做到这一点，因为某些包装器可能来自合法的来源，这意味着您不能将应用程序的打包部分视为恶意的，因为这样您就可以使用所述的封隔器来使用其他合法应用程序。这会让签名有点痛苦。