Перейти к содержанию

Скорость добавления нового malware в AV-базы


Рекомендуемые сообщения

  SergeyUser сказал:
Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

1.судя по первому логу базами а не эвристиками ловил только дрПаутина. Т.е. судя по всему вирус всплыл совсем не давно. и первым попал в их вирлаб

2. ЛК после получения вируса оперативно добавила его в базы (инфа из твоих постов. Я не ошибся?)

 

  SergeyUser сказал:
И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора.

Хотя в последнее время и тоже не критично. Т.к. твоя не любимая КСН - как раз (в т.ч.) и позволяет сократить время доставки вируса в ЛК, и получить мгновенный сигнал (после вынесения вердикта аналитиком) - "Фас, враг".

Но у тебя КСН отключен. :) Тебе не важно что бы КСН отослала этот новый вирус в ЛК.

 

  SergeyUser сказал:
открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат

Ага.. спасибо за инфу...

Просто мне не везло и то что тестировал на ВТ было тогда 1м полученным результатом (т.к. я таких сообщений не получал)

Кстати насчет ВТ - так как там проверяют все и всё что попадется под руку... А у некоторых антивирусов паранойя - то вендорам рассылается большое количество мусора. Кто то из вирлаба ЛК такое говорил, но вот где и когда - уже не помню

То для ускорения процесса я всегда отсылаю зверька/подозрение на него напрямую...

Заметил что реально быстрее.

 

  SergeyUser сказал:
"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.

А вот я думаю что это не столь невероятный вариант. :D

 

ЗЫ. Кстати мой опыт говорит, что время попадания зверька в базы (исключение фолсов из них) находится в интервале 25 мин ... 2ч 30 мин.

Один раз было ответ пришел через 80 минут а сигнатурами начали ловить через 4 часа

Ссылка на комментарий
Поделиться на другие сайты

Kapral,

 

Обнаружил базами как-минимум DrWeb (я бы предложил вам не искажать имена продуктов, специалисту это не к лицу ;)), но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R") и Sophos ("Mal/Zbot-O") тоже является чисто сигнатурной, в пользу чего говорит тот факт, что повторное тестирование на текущий момент дает такой же результат (http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246395252).

 

И да, я подтверждаю, что ЛК отреагировал оперативно, и в пятницу образец уже успешно детектировался.

 

Кстати, только что обратил внимание, что VirusTotal показывает точное время первой посылки образца, так что мы можем измерить, сколько прошло времени от появления образца in-the-wild (считаем по времени закачки образца на VirusTotal) до доступности обновления от ЛК:

 

VirusTotal First received: 2009.06.26 08:50:30 UTC

Время детектирования ЛК: 26 июн 2009 13:45 MSK

 

Несложные калькуляции дают нам время реакции ЛК для данного образца менее чем 1 час (если полагать, что MSK на текущий момент отличается от UTC на 4, а не на 3 часа). Даже с учетом задержки на выпуск обновления получаем просто отличную реакцию - существенно менеек 2х часов. Конечно, было бы интересно узнать когда образец попал в ЛК, но кто же нам скажет ;)) В любом случае с практической точки зрения результат более чем достойный.

 

"Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора".

 

Kapral, данный параметр зависит от вендора, причем очень сильно, вот вам ряд примеров:

- чем больше user base, тем больше шансов получить вендору образец по своим каналам от пользователя;

- чем больше у вендора honeypot'ов, партнерских отношений с различными структурами вроде VirusTotal - доп. шансы получить образец раньше.

 

К счастью для пользователей, наличие таких сервисов как VirusTotal очень позитивно влияет на конкуренцию, потому как увеличивает шансы вендоров с меньшей пользовательской базой на быструю реакцию, сравнимую с лидерами (если конечно ресурсы вирлаба позволяют).

 

Что касательно KSN - как видите, я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе. Думаю, этого более чем достаточно. И я не думаю, что то, что приходит непосредственно в вирлаб по почте или через кабинет пользователя, чем-то принципиально по качеству отличается от потока данных, проходящих через VirusTotal, особенно если допустить, что рассылка образцов вендорам идет только при детектировании образца одним из имеющихся в наличии VirusTotal антивирусов.

 

"А вот я думаю что это не столь невероятный вариант :huh:"

 

Kapral, вы пишете вирусы :)))))? Фи ©

Ссылка на комментарий
Поделиться на другие сайты

  SergeyUser сказал:
я бы предложил вам не искажать имена продуктов, специалисту это не к лицу

Тогда будьте любезны ;) - не искажать все, включая и лабораторию Касперского ;)

 

  SergeyUser сказал:
но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R")

Я точно не знаю, как работают в Майкрософт - но это вероятностый вердикт. не по точному образцу, который побывал у них в вирлабе. А продукту показалаось, что он похож на что-то

 

  SergeyUser сказал:
я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе.

Думаю так делают многие. Но в тоже время отсылается образец напрямую в вирлаб избранных вендоров

 

  SergeyUser сказал:
вы пишете вирусы

Откуда такие выводы?

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

В продолжение темы неформального сравнения скорости добавления образцов, сегодня натолкнулся на такой вот "свежачок": http://www.virustotal.com/ru/analisis/e5e0...5b36-1248832912.

 

Как можно заметить, большинство вердиктов выдано эвристическими модулями. Однако на этот раз ни Dr. Web, ни ЛК, ни Symantec вообще ничего не говорят. Посмотрим, сколько времени займет на добавление образца в базы.

 

P.S.: Образец кстати уже был кем-то протестирован до меня, как и в прошлый раз.

 

P.P.S.: В дополнение совсем уж "чистый" случай: http://www.virustotal.com/ru/analisis/01fd...8016-1248834800. Обнаружение на уровне сигнатур единственным (на текущий момент) вендором. Тут, правда, интересно, будут ли вообще этот образец в базу добавлять, по той причине, что образец из себя представляет просто vbs-скрипт, скачивающий и запускающий "основную" гадость по FTP..

Изменено пользователем SergeyUser
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pavlik02
      От Pavlik02
      Есть две политики, 1 активная с действующими настройками, вторую сделал, чтоб накидать туда доверенных флешек, и потом активировать. При добавлении флешек я выбираю "съёмные носители", нажимаю "обновить" и он показывает 100+ флешек, которые когда-либо были в памяти. А свою флешку, которую только что воткнул проблематично найти. Может кто подскажет последовательность , как создать актуальный список с доверенными флешками, чтоб другие не было возможности подключения.


       
    • Mike510
      От Mike510
      Kaspersky Free 21.20.8.505
      Добавил в исключение файл.
      Добавил несколько строчек - по названию файла, по названию угрозы, по хешу.
      Все равно Kaspersky Free удаляет файл при перезагрузке и при ручной проверке через меню по правой кнопки мыши в проводнике.
      Подскажите пожалуйста как исправить эту проблему?
       
    • TSN_prm
      От TSN_prm
      Добрый день.
      KSC Linux 15.0
      KES Linux 12.0
      Кесы на связи с KSC, приложение останавливается-запускается, лицензия подгружена, задачи на поиск вр-го ПО и локальные выполняются, а задача по обновлению завершается статусом "Сбой", в результатах:
      Application databases update error (Initiator: Product; Runtime task ID: 72; Task type: Update;) и Task failed (Initiator: Product; Runtime task ID: 72; Task state: Stopped; Task type: Update; Reason: InternalError;).
      Подскажите, пожалуйста, как понять конкретную причину Reason: InternalError, в каких логах смотреть.
      Пробовал очищать хранилище баз в KSC и загружать новые. Переустановка клиента тоже не помогает. 
       
      Так же, на некоторых тачках есть проблема с лицензией (лицензионный ключ один единственный в KSC) но на некоторых статус "защита выключена", в компонентах "не поддерживается лицензией", задача по добавлению ключа падает в эту же InternalError. Всё перепробовал, в т.ч. удалить из KSC, потом еще локально на тачке, ребут, установка из KSC новой 12.1 версии - ничего не помогает, хелп, плиз!
    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • Roma1
      От Roma1
      У меня есть зеркало видеорегистратор. Раз в два месяца я обновляю базы камер. Поменял ПК. На старом ноутбуке скачивание проходило нормально, а на новом пишет "Заблокировано скачивание опасного файла". При отключение Касперского происходит тоже самое. Видимо защита в ОС винда 10. Где и как мне временно отключить защиту для скачивания базы?
×
×
  • Создать...