Ищу вирусный базы для PEID. Помогите кто чем может!

P.S.
Вирусные - это всмысле такие:
[ACME (Clonewar Mutant)=FCAD3DFFFF7420E6428AC4E642E4610C03E661ADB9401FE2FE]
[Agiplan.1536=E9J1J150B0::BA::::EEBA::::EC3C::76::E9::::B8::::CD218CD8 8EC083::::75::E9::::BA::::B8::::CD21B8::::CD21]
[ARCV.4=E800005D81ED060181FC4F50740B8DB68601BF000157A4EB111E06]
[August 16th (Iron Maiden)=BA790203D7B41ACD21B82435CD215F57899D4E028C855002]
И т.д. и т.п.

| Сообщение посчитали полезным:

О таком не слышал)) - чтобы пеид использовали как идентификатор вируса
Зачем тебе?
Большинство известных вирусов опознают антивири, тем более сигнатурный поиск (который и применяется в ПЕиДе) не поможет даже при маломальском полиморфизме.

| Сообщение посчитали полезным:

[I-Worm.Bagle=6A00E895010000E89FE6FFFF833D0350400000751468C8AF0000E801 E1FFFF0588130000A303504000685C57400068F6304000FF3503504000E8B0EAFFFFE8 3AFCFFFF833D54574000007405E8F3FAFFFF68E8030000E8B1000000EBF4CCFF25A440 4000FF25B8404000FF25B4404000FF25B0404000FF25AC404000FF259C404000FF25A0 404000FF25A8404000FF2524404000FF2528404000FF252C404000FF2530404000FF25 34404000FF2538404000FF253C404000FF2540404000FF2544404000FF2548404000FF 254C404000FF2550404000FF2554404000FF2558404000FF255C404000FF2560404000 FF25BC404000FF2564404000FF25684040]
[I-Worm.KLEZ=558BEC6AFF6840D240::6804AC40::64A1::::::::50648925::::::: :83EC585356578965E8FF15BCD0]
[I-Worm.Hybris=EB16A854::::4741424C4B434743::::::::::::524953::FC684C7 040::FF15]

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

Guru_eXe
это у меня уже есть...

| Сообщение посчитали полезным:

HoBleen
я знаю... просто пишу свой атнивирь и срочно нужны сигнатуры...

| Сообщение посчитали полезным:

Если кому-нибудь интрересно - выкладываю, то что я нарыл по всему инету...


bf0c_12.11.2006_CRACKLAB.rU.tgz - Viruses.txt

| Сообщение посчитали полезным:

denmoroz пишет:
то что я нарыл по всему инету
красиво сказал... =)

ты пока пеидом будешь сканить пол компа зарозишь )))) вряд ли конечно, то лучше ПЕИД в качестве антивиря не юзадь.

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным:

протев! хочеш чтоб тебе заработать помогали нахаляву?? )))))
сам забивай!
зы: если же в ав делать основу на базу та гавноантивирь будед

| Сообщение посчитали полезным:

вообще считаю странной идею создание антивиря, используя для этого сигнатуры PEiD

| Сообщение посчитали полезным:

denmoroz пишет:
я знаю... просто пишу свой атнивирь и срочно нужны сигнатуры...

Пишешь свой антивирь?Затея глупая, современный антивирь, написать можно одному(прадва надо очень, очень хорошо разбираться во многих вещах),а вот с сигнатурами один человек НИКОГДА не управиться, вон у каспера у нода и у прочих, для этого десятки людей работают Вобщем любой собственный антивирь будет слабофункционален

| Сообщение посчитали полезным:

denmoroz
Добавлять червей по entrypoint бредовая идея это ж тебе не вирусы! Как правило, червей добавляют по сигнатурам с его тела. Теперь представь ситуацию, что червь запакован каким ни будь упаковщиком. Что тогда? Тоже по entrypoint добавлять будешь?
Интересно, а сколько упаковщиков поддерживает твой антивирус? Или ты для каждого червя пакованного разными упаковщиками свои сигнатуры создавать будешь?

LazzY пишет:
если же в ав делать основу на базу та гавноантивирь будед
????? Вон Касперский делает и ничего, в тестированиях первые места по скану выдает.

| Сообщение посчитали полезным:

seeq пишет:
Вон Касперский делает и ничего, в тестированиях первые места по скану выдает.
1) Он уже давно эвристики использует, точнее его базы гораздо сложнее PeID.
2) И антивирь пишет не один - это уж точно.
3) Кроме баз используются хуки на реестр и прочие "вредные" функции. С сигнатурами от PeID получится

| Сообщение посчитали полезным:

Как я знаю, PEiD - это тулза для распознавания упаковщиков, на чем прога написана, а чтобы он еще и вирусы распознавал!? что то новенькое! антивирусы есть кто не знает! =)

| Сообщение посчитали полезным:

kaiZer пишет:
Как я знаю, PEiD - это тулза для распознавания упаковщиков,
Ошибка. Сотри базы - она и распаковщики перестанет узнавать. Ставим другую базу и будем распознавать, что хочем. Вот только алгоритм распознавания заточен именно под упаковщики и уж точно упакованный полиморфный вирус не сможет распознать.

| Сообщение посчитали полезным:

kaiZer пишет:
Как я знаю, PEiD - это тулза для распознавания упаковщиков, на чем прога написана, а чтобы он еще и вирусы распознавал!? что то новенькое!
боян, если бы ты посмотрел на PEiD под идой, то увидел бы что там уже зашиты некоторые сигнатуры, например:
VIRUS -> W32@NimDA_mm
VIRUS -> I-Worm HYBRIS
VIRUS -> W32@Sircam_mm
VIRUS -> W32@Sobig.F_mm
VIRUS -> W32@Sobig.E_mm
VIRUS -> W32@Sobig.A_mm
VIRUS -> I-Worm KLEZ

| Сообщение посчитали полезным:

UsAr пишет:
боян, если бы ты посмотрел на PEiD под идой, то увидел бы что там уже зашиты некоторые сигнатуры

Действительно!

После распаковки MaxFormat написанной на делфях, PEiD пишет что это какой-то вирус.

P.S. Плохая затей писать антивирь, и при том ОДНОМУ!

| Сообщение посчитали полезным:

sniperZ пишет:
Плохая затей писать антивирь, и при том ОДНОМУ!
ну если у чувака очень много свободного времени, и хорошо шарящих в кодинге друзей, то почему бы и не написать

| Сообщение посчитали полезным:

Эта штука удобна когда есть исходники какого либо вира, береш и подстраеваеш чтоб вир не мог пропастись через PeID

| Сообщение посчитали полезным:

UsAr пишет:
боян, если бы ты посмотрел на PEiD под идой, то увидел бы что там уже зашиты некоторые сигнатуры, например:
VIRUS -> W32@NimDA_mm
VIRUS -> I-Worm HYBRIS
VIRUS -> W32@Sircam_mm
VIRUS -> W32@Sobig.F_mm
VIRUS -> W32@Sobig.E_mm
VIRUS -> W32@Sobig.A_mm
VIRUS -> I-Worm KLEZ

Ну может быть, я настолько не углублялся, чтобы просматривать сигнатуры PEiD'а!

| Сообщение посчитали полезным:

сори что апнул старый топенг но идея интересная ) если структурировать сигны то можна идентить происхождения троя а в ряди случаев и кедалу...

[RPolyCrypt v 1.0 (personal polycryptor) sign from pinch]
signature = 50 58 97 97 60 61 8B 04 24 80 78 F3 6A E8 00 00 00 00 58 E8 00 00 00 00 58 91 91 EB 00 0F 85 6B F4 76 6F E8 00 00 00 00 83 C4 04 E8 00 00 00 00 58 90 E8 00 00 00 00 83 C4 04 8B 04 24 80 78 F1
ep_only = true

[Rpoly crypt by Vaska (20.03.07 18:41)]
signature = 58 ?? ?? ?? ?? ?? ?? ?? E8 00 00 00 58 E8 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 ?? ?? 04
ep_only = false

[RPoly crypt 1.0b from Vaska (18.03.2007 - 19:05)]
signature = 83 04 24 05 C3 60
ep_only = false

[RPoly crypt 1.0b from Vaska (18.03.2007 - 19:06)]
signature = E8 00 00 00 00 83
ep_only = false

[RCryptor 1.6 by Vaska (Damrai sign 20.03.2007 20:41)]
signature = 33 D0 68 40 A1 14 13 FF D2 B8 00 10 14 13 3D 24 C0 14 13 74 06 80 30 BB 40 EB F3 33 C0 C3
ep_only = true

[RCryptor 1.5 by Vaska (UsAr sign (individual version) 21.03.2007 22:15)]
signature = 83 2C 24 4F 68 40 A1 14 13 FF 54 24 04 83 44 24 04 4F B8 00 10 14 13 3D 24 C0 14 13 74 06 80 30 2B 40 EB F3 B8 8C 20 18 13 3D B9 27 18 13 74 06 80 30 19 40 EB F3 E8 00 00 00 00 C3
ep_only = true

[RCryptor 1.6d by Vaska (UsAr sign 21.03.2007 22:22)]
signature = 60 90 61 61 80 7F F0 45 90 60 0F 85 1B 8B 1F FF 68 40 A1 14 13 B8 00 10 14 13 90 3D 24 C0 14 13 74 06 80 30 F6 40 EB F3 B8 8C 20 18 13 90 3D B9 27 18 13 74 06 80 30 89 40 EB F3 C3
ep_only = true

[RCryptor 1.6c by Vaska (UsAr sign 21.03.2007 22:25)]
signature = 8B C7 03 04 24 2B C7 80 38 50 0F 85 1B 8B 1F FF 68 40 A1 14 13 B8 00 10 14 13 3D 24 C0 14 13 74 06 80 30 F2 40 EB F3 B8 8C 20 18 13 3D B9 27 18 13 74 06 80 30 E8 40 EB F3 C3
ep_only = true

[RCryptor by Vaska unknown ver (sign from pinch 21.03.2006 23:05)]
signature = 90 58 90 50 90 8B 00 90 3C 50 90 58 0F 85 67 D6 EF 11 50 68 00 10 14 13 B8 00 10 14 13 3D 00 64 14 13 74 06 80 30 BC 40 EB F3 E8 00 00 00 00 C3
ep_only = true

[Warning! may be RCryptor by Vaska unknown ver (21.03.2006 23:17)]
signature = EB F3 E8 00 00 00 00 C3
ep_only = false

[Warning! may be RCryptor by Vaska unknown ver (21.03.2006 23:18)]
signature = C0 14 13 74 06 80 30
ep_only = false

[RJoiner 1.2 by Vaska (25.03.2007 16:58)]
signature = 55 8B EC 81 EC 0C 02 00 00 8D 85 F4 FD FF FF 56 50 68 04 01 00 00 FF 15 14 10 40 00 90 8D 85 F4 FD FF FF 50 FF 15 10 10 40 00 90 BE 00 20 40 00 90 83 3E FF 0F 84 84 00 00 00 53 57 33 FF 8D 46
ep_only = true

[RJoiner by Vaska (Sign from pinch 25.03.2007 17:00)]
signature = E8 03 FD FF FF 6A 00 E8 0C 00 00 00 FF 25 6C 10 40 00 FF 25 70 10 40 00 FF 25 74 10 40 00 FF 25 78 10 40 00 FF 25 7C 10 40 00 FF 25 80 10 40 00 FF 25 84 10 40 00 FF 25 88 10 40 00 FF 25 8C 10
ep_only = true

[Joiner (sign from pinch 25.03.2007 20:10)]
signature = 81 EC 04 01 00 00 8B F4 68 04 01 00 00 56 6A 00 E8 7C 01 00 00 33 C0 6A 00 68 80 00 00 00 6A 03 6A 00 6A 00 68 00 00 00 80 56 E8 50 01 00 00 8B D8 6A 00 6A 00 6A 00 6A 02 6A 00 53 E8 44 01
ep_only = true

[Warning! may be SimbyOZ polycryptor by 3xpl01t ver 2.xx (25.03.2007 22:00)]
signature = 57 57 8D 7C 24 04 50 B8 00 D0 17 13 AB 58 5F C3 00 00
ep_only = true

[Unknown Joiner (sign from pinch 26.03.2007 02:12)]
signature = 44 90 4C 90 B9 DE 00 00 00 BA 00 10 40 00 83 C2 03 44 90 4C B9 07 00 00 00 44 90 4C 33 C9 C7 05 08 30 40 00 00 00 00 00 90 68 00 01 00 00 68 21 30 40 00 6A 00 E8 C5 02 00 00 90 6A 00 68 80
ep_only = true

| Сообщение посчитали полезным:

Fresh update:

h**p://forum.exetools.com/showthread.php?p=57318#post57318

PEiDSO 1.3 a4
PEiD Signature Organizer 1.3 alpha 4

+ More robast signature import from HTML file(s)
- Minor bugs fix

h**p://rapidshare.com/files/50472396/peidso13a4.rar.html

Внутри - файл с сигнатурами.

| Сообщение посчитали полезным:

Кода вже Хеллспавн подобное для DiE привинтид.?

-----
Researcher

| Сообщение посчитали полезным:

overwriter пишет:
Кода вже Хеллспавн подобное для DiE привинтид.?

дык поддержка баз от пе-ид давно есть что ещё нада?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

overwriter пишет:
Кода вже Хеллспавн подобное для DiE привинтид.?
О плагине Peid signatures слышал? Там и юзердб есть.

| Сообщение посчитали полезным:

Hellspawn, точна)))
Еще вопрос: по поводу метода детекта языка программирования на котором прога написана...(Die это детектит даж если прога пакована) Детект виря если он запакован ))) тем же методом не получится? На чем вообще тот метод основан?

-----
Researcher

| Сообщение посчитали полезным:

[FSG v1.10 (Eng) -> dulek/xt -> (Borland C++)]
signature = 23 CA EB 02 5A 0D E8 02 00 00 00 6A 35 58 C1 C9 10 BE 80 ?? ?? 00 0F B6 C9 EB 02 CD 20 BB F4 00 00 00 EB 02 04 FA EB 01 FA EB 01 5F EB 02 CD 20 8A 16 EB 02 11 31 80 E9 31 EB 02 30 11 C1 E9 11 80 EA 04 EB 02 F0 EA 33 CB 81 EA AB AB 19 08 04 D5 03 C2 80 EA 33 0F B6 C9 0F BE 0E 88 16 EB 01 5F EB 01 6B 46 EB 01 6D 0F BE C0 4B EB 02 CD 20 0F BE C9 2B C9 3B D9 75 B0 EB 01 99 C1 C1 05 91 9D B2 E3 22 E2 A1 E2 F2 22 E2 A0 ?? ?? ?? E2 35 CA EC E2 E2 E2 E4 B4 57 E7 6C F8 28 F4 B4 A5 94 62 15 BD 86 95 E4 E1 F6 06 55 DA 15 AB E1 F6 06 55 FA 15 A2 E1 F6 06 55 03 95 E4 23 92 F2 E1 F6 06 F4 A2 55 DB 57 21 8C CD BE CA 25 E2 E2 E2 0D AD 57 F2 CA 1A E2 E2 E2 CD 0A 8E B3 CA 56 23 F5 AB CD FE 73 2A A3 C2 EA 8E CA 04 E2 E2 E2 1F E2 5F E2 E2 55 EC 62 DE E7 55 E8 65 DA 61 59 E4
ep_only = true

-----
Shalom ebanats!

| Сообщение посчитали полезным: