Русская группа пользователей Snort

Как известно, большая часть вредоносного ПО распространяется в виде исполняемых файлов, обработанных PE-пакером, что бы уменьшить размер и скрыть контент. Обычно когда аналитики определяют что файл является вредоносным и использует PE-пакер, который ClamAV пока еще не может распаковать, приходится вручную выявлять сигнатуру секции данных запакованного PE-файла.

Собственно этой достаточно рутинной работой занимался Браен Кастл из VRT Sourcefire, пока не решил несколько облегчить себе жизнь. Вместо запоминания всех известных PE-пакеров, и секций данных, в которых обитает вредоносный код, он разработал программку, которая этот процесс автоматизирует.