Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

1.судя по первому логу базами а не эвристиками ловил только дрПаутина. Т.е. судя по всему вирус всплыл совсем не давно. и первым попал в их вирлаб

2. ЛК после получения вируса оперативно добавила его в базы (инфа из твоих постов. Я не ошибся?)

 

И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора.

Хотя в последнее время и тоже не критично. Т.к. твоя не любимая КСН - как раз (в т.ч.) и позволяет сократить время доставки вируса в ЛК, и получить мгновенный сигнал (после вынесения вердикта аналитиком) - "Фас, враг".

Но у тебя КСН отключен. :) Тебе не важно что бы КСН отослала этот новый вирус в ЛК.

 

открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат

Ага.. спасибо за инфу...

Просто мне не везло и то что тестировал на ВТ было тогда 1м полученным результатом (т.к. я таких сообщений не получал)

Кстати насчет ВТ - так как там проверяют все и всё что попадется под руку... А у некоторых антивирусов паранойя - то вендорам рассылается большое количество мусора. Кто то из вирлаба ЛК такое говорил, но вот где и когда - уже не помню

То для ускорения процесса я всегда отсылаю зверька/подозрение на него напрямую...

Заметил что реально быстрее.

 

"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.

А вот я думаю что это не столь невероятный вариант. :D

 

ЗЫ. Кстати мой опыт говорит, что время попадания зверька в базы (исключение фолсов из них) находится в интервале 25 мин ... 2ч 30 мин.

Один раз было ответ пришел через 80 минут а сигнатурами начали ловить через 4 часа

Опубликовано

Kapral,

 

Обнаружил базами как-минимум DrWeb (я бы предложил вам не искажать имена продуктов, специалисту это не к лицу ;)), но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R") и Sophos ("Mal/Zbot-O") тоже является чисто сигнатурной, в пользу чего говорит тот факт, что повторное тестирование на текущий момент дает такой же результат (http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246395252).

 

И да, я подтверждаю, что ЛК отреагировал оперативно, и в пятницу образец уже успешно детектировался.

 

Кстати, только что обратил внимание, что VirusTotal показывает точное время первой посылки образца, так что мы можем измерить, сколько прошло времени от появления образца in-the-wild (считаем по времени закачки образца на VirusTotal) до доступности обновления от ЛК:

 

VirusTotal First received: 2009.06.26 08:50:30 UTC

Время детектирования ЛК: 26 июн 2009 13:45 MSK

 

Несложные калькуляции дают нам время реакции ЛК для данного образца менее чем 1 час (если полагать, что MSK на текущий момент отличается от UTC на 4, а не на 3 часа). Даже с учетом задержки на выпуск обновления получаем просто отличную реакцию - существенно менеек 2х часов. Конечно, было бы интересно узнать когда образец попал в ЛК, но кто же нам скажет ;)) В любом случае с практической точки зрения результат более чем достойный.

 

"Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора".

 

Kapral, данный параметр зависит от вендора, причем очень сильно, вот вам ряд примеров:

- чем больше user base, тем больше шансов получить вендору образец по своим каналам от пользователя;

- чем больше у вендора honeypot'ов, партнерских отношений с различными структурами вроде VirusTotal - доп. шансы получить образец раньше.

 

К счастью для пользователей, наличие таких сервисов как VirusTotal очень позитивно влияет на конкуренцию, потому как увеличивает шансы вендоров с меньшей пользовательской базой на быструю реакцию, сравнимую с лидерами (если конечно ресурсы вирлаба позволяют).

 

Что касательно KSN - как видите, я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе. Думаю, этого более чем достаточно. И я не думаю, что то, что приходит непосредственно в вирлаб по почте или через кабинет пользователя, чем-то принципиально по качеству отличается от потока данных, проходящих через VirusTotal, особенно если допустить, что рассылка образцов вендорам идет только при детектировании образца одним из имеющихся в наличии VirusTotal антивирусов.

 

"А вот я думаю что это не столь невероятный вариант :huh:"

 

Kapral, вы пишете вирусы :)))))? Фи ©

Опубликовано
я бы предложил вам не искажать имена продуктов, специалисту это не к лицу

Тогда будьте любезны ;) - не искажать все, включая и лабораторию Касперского ;)

 

но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R")

Я точно не знаю, как работают в Майкрософт - но это вероятностый вердикт. не по точному образцу, который побывал у них в вирлабе. А продукту показалаось, что он похож на что-то

 

я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе.

Думаю так делают многие. Но в тоже время отсылается образец напрямую в вирлаб избранных вендоров

 

вы пишете вирусы

Откуда такие выводы?

  • 4 недели спустя...
Опубликовано (изменено)

В продолжение темы неформального сравнения скорости добавления образцов, сегодня натолкнулся на такой вот "свежачок": http://www.virustotal.com/ru/analisis/e5e0...5b36-1248832912.

 

Как можно заметить, большинство вердиктов выдано эвристическими модулями. Однако на этот раз ни Dr. Web, ни ЛК, ни Symantec вообще ничего не говорят. Посмотрим, сколько времени займет на добавление образца в базы.

 

P.S.: Образец кстати уже был кем-то протестирован до меня, как и в прошлый раз.

 

P.P.S.: В дополнение совсем уж "чистый" случай: http://www.virustotal.com/ru/analisis/01fd...8016-1248834800. Обнаружение на уровне сигнатур единственным (на текущий момент) вендором. Тут, правда, интересно, будут ли вообще этот образец в базу добавлять, по той причине, что образец из себя представляет просто vbs-скрипт, скачивающий и запускающий "основную" гадость по FTP..

Изменено пользователем SergeyUser

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • fmlnuser
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
    • Вячеслав Л.
      Автор Вячеслав Л.
      Разве может антивирус так быстро проводить полную проверку всего устройства за 11 секунд! Ну как-то не правдоподобно.
      Устройство Redmi Note 9 Pro.

    • cringemachine
      Автор cringemachine
      Добрый день.
      В результате добавления лицензии на сервер возникает ошибка.
       
      При активации лицензии посредством кода активации ошибка:

       
      При активации лицензии посредством файла ключа ошибка:

       
      На тестовом сервере добавление этой же лицензии завершается без ошибок.
    • KL FC Bot
      Автор KL FC Bot
      Брокеры данных — это фирмы, собирающие на вас обширные досье для перепродажи. Объектами интереса являемся все мы, сотни миллионов людей во всем мире. При этом у нас не спрашивают разрешения и нам не платят никакой компенсации. Названия большинства компаний малоизвестны, и вы никогда не взаимодействовали с ними напрямую. Но таких фирм только в США около тысячи, а во всем мире — в пять раз больше. Объем этого рынка оценивался в прошлом году почти в $300 млрд. Клиентами брокеров бывают банки с проверками кредитной истории; торговые фирмы, ищущие новых покупателей; спецслужбы и многие другие организации, которым нужны подробные данные о людях.
      Что и где собирают брокеры данных?
      Все, до чего могут дотянуться. Чаще всего это:
      личная информация: полное имя, физический адрес, дата рождения, контактные телефоны и e-mail, номера документов (паспорт, водительское удостоверение и так далее); возраст, пол, происхождение, семейное и финансовое положение, уровень и вид образования; количество и вид домашних животных; марка и пробег автомобиля; данные о геолокации: вероятные места работы и проживания, любимые магазины и места досуга; информация о покупках онлайн и офлайн, участие в программах лояльности магазинов, любимые марки; подробная банковская информация: кредитоспособность, число и виды счетов, депозитов, инвестиции, ипотека, привычки при пользовании кредитными картами, данные о банкротстве; информация о поведении онлайн: любимые веб-сайты, виды часто просматриваемого контента в соцсетях, хобби, недавно просмотренные рекламные ролики и так далее; информация о состоянии здоровья, включая данные о покупках лекарств, поиске симптомов в Интернете и данные фитнес-приложений; привычки, увлечения, политические и религиозные убеждения, любимые СМИ; информация о социальных связях: члены семьи, коллеги, друзья. Чтобы собрать такое пугающе детальное досье, брокеры скачивают любые публично доступные данные (профили в соцсетях, реестры предпринимателей, реестры владельцев недвижимости, объявления на онлайн-барахолках), запрашивают информацию в бюро кредитных историй, покупают данные друг у друга, данные программ лояльности и аналитику — у производителей гаджетов, сотрудничают с фирмами, которые занимаются интернет-рекламой и трекингом — в первую очередь с теми, что размещают рекламу в мобильных приложениях.
      Все это сопоставляется по любым повторяющимся идентификаторам (адреса e-mail, телефоны, имя+адрес, номер паспорта), чтобы обогатить досье.
       
      View the full article
    • PitBuLL
      Автор PitBuLL
      Замечаю третий день подряд - Kaspersky Plus ни разу не обновил (не обновляет) базы в течении суток. 
      Сообщение в Kaspersky Plus появляется, что необходимо обновить базы.
      Сам то Kaspersky Plus почему не обновляет свои базы? 
      Настройки Kaspersky Plus по умолчанию, обновление баз соответственно должно быть автоматическим.
      Вот опять сутки прошли, пришлось обновить базы вручную.
       
       
       
       
       
×
×
  • Создать...