Скорость добавления нового malware в AV-базы

[SergeyUser]

Сегодня получил по почте трояна, и был неприятно удивлен тем, что он не детектируется KIS'ом. Залил его на VirusTotal и удивился еще больше, когда обнаружил, что целый ряд других продуктов троян вполне себе успешно детектирует. Из положительного хочу отметить, что в этот же день базы были обновлены и уже включали данную форму malware (http://www.securelist.com/ru/search?VN=Trojan-Dropper.Win32.Zbot.h&sha1=23ef6a04f66346f6043ca272268ac921e8ccbf9e).

 

Я прекрасно понимаю, что в этом (в самой ситуации) нет чего-то особенного, однако я задался вопросом, а как на самом деле сравнимы AV-компании по скорости добавления новых угроз в антивирусные базы? Ведь провести такой тест было бы не очень сложно - нужен постоянный приток нового malware и доступ к VirusTotal.

 

IMHO такое тестирование было бы очень ценным, и дало бы объективный ответ на вопрос, кто действительно на первом месте. А иначе всегда можно привести пример, как тот, что случился со мной. Конкурирующие продукты специально не указываю, но хочу сказать, что их было 9 штук, т.е. как-минимум 9 компаний успели добавить в свои базы данный зловред быстрее, чем ЛК.

 

Надеюсь, что со мной случилось исключение, и не более того

[all-15]

и дало бы объективный ответ на вопрос, кто действительно на первом месте

Я думаю что у каждого свои критерии оценки. У кого-то скорость добавления, у кого-то сорость работы приложения, у кого-то красивый интерфейс, у кого-то мнение коллег, и т.д. Тем боее информационная безопастность не останавливаеться на антивирусе, здесь многое зависит от нас самих. Если Вы хотите нормально защищать ПК, то Вы выставите максимальные настройки, закроете уязвимости, накачаете дополнений к браузерам, почтовым клиентам и т.д. (вообщем делать все чтоб риск потери/зараения данных свести к минимуму)

P.S. Я высказал свою точку мнения, не судите строго

[SergeyUser]

all-15,

 

Вы правы, просто в данном топике я поднял конкретный аспект - сравнение скорости добавления malware в антивирусные базы, его и обсуждаю. Ведь нельзя все сразу обсуждать, поэтому каждому аспекту по топику

[HiFi]

Надеюсь, что со мной случилось исключение, и не более того

Вы просто первый подняли здесь свой вопрос!

Но с другой стороны сдесь ведь просто Фанаты, и со свой стороны делают всё возможное, чтоб помочь даже сэтой проблемкой

[all-15]

У меня есть старые данные:

Это конечно не про Ваш троян, но все же...

Изменено 27 июня, 2009 пользователем all-15

[Kapral]

А иначе всегда можно привести пример, как тот, что случился со мной. Конкурирующие продукты специально не указываю, но хочу сказать, что их было 9 штук, т.е. как-минимум 9 компаний успели добавить в свои базы данный зловред быстрее, чем ЛК.

Вот бы посмотреть на вердикт тех антивирусов на момент проблемы.

[Ummitium]

А бывают и такие случаи: http://www.virustotal.com/ru/analisis/e227...c6c111689faa38a

Сервис вирустотал отправляет всем вендорам образец присылаемого файла, если хоть один антивирус задетектит его.

Поэтому возможно, что тот зловред попал к аналитикам из вирустотала.

[SergeyUser]

all-15,

 

Спасибо за ссылку! Я поискал более новую версию аналогичного отчета, и он нашелся (за 2008-й год):

 

http://sunbeltblog.blogspot.com/2008/03/ma...-antivirus.html

(прямая ссылка из статьи на таблицу с результатами: http://www.sunbelt-software.com/ihs/alex/R...2008m3b_US.htm).

 

Из нее мы видим, что следующие антивирусы имеют ранг "very good" (среднее время добавления wide-spread malware < 2 часов):

 

AntiVir (Avira)

AVK (G Data)

ClamAV

eScan

Kaspersky

TrustPort

WebWasher-GW

ZoneAlarm

 

Kapral,

 

Ссылку не сохранял, но она, к счастью, сохранилась в кэше браузера, вот она:

http://www.virustotal.com/analisis/b6c9a21...8218-1246019353

 

Какие будут комментарии? Как можно заметить, в ряде случаев сработал эвристик, хотя некоторые компании уже успели обработать образец.

 

Ummitium,

 

Не сомневаюсь, что такая ситуация возможна практически для любого продукта, поэтому я и говорю, что нужна более полная статистика. Если следовать вашей логике, то указанный образец спустя 3 суток уже должен обнаруживаться всеми продуктами, что несложно проверить:

http://www.virustotal.com/analisis/b6c9a21...8218-1246228085

 

Как видим, образец обнаруживается уже 24 продуктами из 40, что существенно больше исходных 9, но далеко от 100%. Одно из двух - или VirusTotal не рассылает образцы, или оставшимися 16 продуктами лучше вообще никогда не пользоваться.

 

Кстати, только что обратил внимание... Ни один из антивирусов, которые были в указанном выше тесте ranked as very good, не входят в список тех 9, которые обнаружили зловред, который мне пришел по почте. Забавно получилось... Вот и верь после этого тестам, результат на 100% противоположный в отдельно взятом случае.

Изменено 28 июня, 2009 пользователем SergeyUser

[sergio342]

Так всегда будет, что кто-то детектит, а кто-то нет. Лично я рад выпуску Microsoft Security Essentials - это заставит немного оперативней работать и внедрять новые технологии, а иначе зачем покупать, если бесплатное лучше детектит .

 

Интересное чтиво: http://secureblog.info/articles/2.html

[SergeyUser]

sergio342,

 

"Так всегда будет, что кто-то детектит, а кто-то нет".

 

Вот и хотелось бы понять, кто детектит, а кто - нет ) Данный ваш тезис не оперирует фактами (точнее оперирует слишком общими утверждениями о белом и черном), чтобы помочь разобраться в поставленном вопросе. Поэтому просьба излагать факты, по принципу "No comments" от Euronews, и пусть каждый сам решает, тут куча специалистов.

 

По поводу статьи - лучше создайте отдельный топик. По такой "широкой" постановке вопроса, IMHO, обсуждение вести очень сложно, и лучше обсуждать отдельные аспекты, в статье упомянутые (назовем принцип так: "разделяй и властвуй, или умри в потоке флуда" )

 

P.S.: Согласен, что присутствие на рынке Microsoft, особенно *не* в качестве лидера - это лучшее, что можно придумать для потребителя. Потому как это означает серьезную конкуренцию, рано или поздно. Но это тоже тема отдельного топика, в этом я бы предложил обсуждать исключительно скорость обновления антивирусных баз.

[Kapral]

Какие будут комментарии? Как можно заметить, в ряде случаев сработал эвристик, хотя некоторые компании уже успели обработать образец.

А часть ругнуись на пакер

Нормальная ситуация. Только дрWeb имел эту пакость в базах. Остальные подтянулись быстро. ЛК в тот же день. (1й пост)

 

Не сомневаюсь, что такая ситуация возможна практически для любого продукта, поэтому я и говорю, что нужна более полная статистика

Да возможна такая ситуация. статистику ты привел сам

 

Одно из двух - или VirusTotal не рассылает образцы, или оставшимися 16 продуктами лучше вообще никогда не пользоваться.

Рассылает. Все вендоры представленные на рынке это подтвердили - редкое единодушие

 

Ни один из антивирусов, которые были в указанном выше тесте ranked as very good, не входят в список тех 9, которые обнаружили зловред, который мне пришел по почте.

Как думаешь - откуда вендор узнает о вирусу если у него нет тушки?

Не думал что ты 1й его получил из тех кто знает куда отсылать?

 

Вот и верь после этого тестам, результат на 100% противоположный в отдельно взятом случае.

Советую подумать прежде чем пишешь

Сначала заявляешь о статистике, потом начинаешь оперировать отдельными случаями

 

в этом я бы предложил обсуждать исключительно скорость обновления антивирусных баз.

~2 часа в стандартном режиме и чаще во время вирусных эпидемий.

Проверяй обновлениями

[SergeyUser]

Kapral,

 

Образец уже был на VirusTotal'е, его кто-то прислал раньше меня. Думаю, что у вендоров куча источников получения новых вирусов помимо VirusTotal, и наличие/отсутствие этих каналов, как и правильная расстановка приоритетов при обработке потока malware влияют на общий результат (среднее время добавления новых зловредов в базу).

 

Зачем нужна статистика? Чтобы, в том числе, хоть иногда подкрепляться практикой конкретного пользователя Меня смутило существенное различие отдельно взятой ситуации и статистики. Выводов, как вы заметили, я из этого не делаю, а факт отрицать я думаю никто не будет.

 

Обсуждаемый параметр - не скорость выпуска обновлений как таковых, а скорость добавления в базу отдельных образцов с момента их распространения, и порядок добавления отдельных образцов компаниями (т.е. кто первый, кто второй и пр.)

[Kapral]

SergeyUser

Скажу сразу - ты очень путаешь вещи

Например

не скорость выпуска обновлений как таковых, а скорость добавления в базу отдельных образцов с момента их распространения

Ты можешь дать точную информацию о моменте распространения конкретного зловреда и попадании в базы?

О.о.оооо.....

Так вы батенька балуетесь написанием вирусов?. Фи..... позор джунглям (С)

 

Давайте теперь оправдываться.? А?

 

Все равно не поверю.

 

Поясню причину

Я могу дать только информацию о том с какой скоростью зловред переданный в вирлаб конкретному вендору попадает в базы этого вендора.

А время прошедшее от появления этого вируса (у вирмейкера) до начала детектирования его - мне неизвестно

 

Даже если я знаю что вот этот вирус (встретился у моих друзей) не детектируется ЛК. но мы не почесались передать его в вирлаб....

В результате кто-то другой передал его через 3 недели - это не говорит о том что скорость внесения в базы у ЛК - 3 недели.

 

насчет ВирусТотала - как часто высылается зловреды в вирлабы разных вендоров - к сожалению лично мне не известна

 

А вот это вообще перл

его кто-то прислал раньше меня

А как вы узнали что он (ваш) экземпляр и то что на вирус-тотале - один и тот же?

 

так что вы, сэр копаете не в том направлении.

[Ummitium]

Образец уже был на VirusTotal'е, его кто-то прислал раньше меня.

Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения.

[SergeyUser]

Kapral,

 

Поясняю все по пунктам.

 

"Ты можешь дать точную информацию о моменте распространения конкретного зловреда и попадании в базы?"

 

Я вирусов не пишу и никогда не писал. Раньше хотелось поэкспериментировать, квалификация позволяла, однако понял, что не хочу это делать по принципиальным причинам.

 

По поводу того, с какого момента давать "старт" антивирусным компаниям по скорости добавления зловреда, достаточно взять min-время из всех, доступных конкретному исследователю (например, имеющиеся в его распоряжении honeypots, тот же VirusTotal, который запоминает время посылки образца, как самый тривиальный вариант начала отсчета). Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

 

И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

 

Так вот, мне в идеале интересно именно это общее время t_full_detection_time, точнее его распределение для актуального потока нового malware. Даже не так важно, что внутри, просто поясняю структуру времени, интересует конечный результат, который выражается именно в общем времени на обработку образца. Это и характеризует для меня performance конкретной компании. Если бы я занимался стандартизацией, внес что-то похожее в качестве одного из основных KPI.

 

"А как вы узнали что он (ваш) экземпляр и то что на вирус-тотале - один и тот же?"

 

Kapral, открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат. Так вот, когда я первый раз залил зловред, я получил данное уведомление, соответственно, кто-то уже данный образец залил до меня.

 

Ummitium,

 

"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.