Скорость добавления нового malware в AV-базы

[Kapral]

Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

1.судя по первому логу базами а не эвристиками ловил только дрПаутина. Т.е. судя по всему вирус всплыл совсем не давно. и первым попал в их вирлаб

2. ЛК после получения вируса оперативно добавила его в базы (инфа из твоих постов. Я не ошибся?)

 

И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора.

Хотя в последнее время и тоже не критично. Т.к. твоя не любимая КСН - как раз (в т.ч.) и позволяет сократить время доставки вируса в ЛК, и получить мгновенный сигнал (после вынесения вердикта аналитиком) - "Фас, враг".

Но у тебя КСН отключен. Тебе не важно что бы КСН отослала этот новый вирус в ЛК.

 

открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат

Ага.. спасибо за инфу...

Просто мне не везло и то что тестировал на ВТ было тогда 1м полученным результатом (т.к. я таких сообщений не получал)

Кстати насчет ВТ - так как там проверяют все и всё что попадется под руку... А у некоторых антивирусов паранойя - то вендорам рассылается большое количество мусора. Кто то из вирлаба ЛК такое говорил, но вот где и когда - уже не помню

То для ускорения процесса я всегда отсылаю зверька/подозрение на него напрямую...

Заметил что реально быстрее.

 

"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.

А вот я думаю что это не столь невероятный вариант.

 

ЗЫ. Кстати мой опыт говорит, что время попадания зверька в базы (исключение фолсов из них) находится в интервале 25 мин ... 2ч 30 мин.

Один раз было ответ пришел через 80 минут а сигнатурами начали ловить через 4 часа

[SergeyUser]

Kapral,

 

Обнаружил базами как-минимум DrWeb (я бы предложил вам не искажать имена продуктов, специалисту это не к лицу ), но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R") и Sophos ("Mal/Zbot-O") тоже является чисто сигнатурной, в пользу чего говорит тот факт, что повторное тестирование на текущий момент дает такой же результат (http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246395252).

 

И да, я подтверждаю, что ЛК отреагировал оперативно, и в пятницу образец уже успешно детектировался.

 

Кстати, только что обратил внимание, что VirusTotal показывает точное время первой посылки образца, так что мы можем измерить, сколько прошло времени от появления образца in-the-wild (считаем по времени закачки образца на VirusTotal) до доступности обновления от ЛК:

 

VirusTotal First received: 2009.06.26 08:50:30 UTC

Время детектирования ЛК: 26 июн 2009 13:45 MSK

 

Несложные калькуляции дают нам время реакции ЛК для данного образца менее чем 1 час (если полагать, что MSK на текущий момент отличается от UTC на 4, а не на 3 часа). Даже с учетом задержки на выпуск обновления получаем просто отличную реакцию - существенно менеек 2х часов. Конечно, было бы интересно узнать когда образец попал в ЛК, но кто же нам скажет ) В любом случае с практической точки зрения результат более чем достойный.

 

"Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора".

 

Kapral, данный параметр зависит от вендора, причем очень сильно, вот вам ряд примеров:

- чем больше user base, тем больше шансов получить вендору образец по своим каналам от пользователя;

- чем больше у вендора honeypot'ов, партнерских отношений с различными структурами вроде VirusTotal - доп. шансы получить образец раньше.

 

К счастью для пользователей, наличие таких сервисов как VirusTotal очень позитивно влияет на конкуренцию, потому как увеличивает шансы вендоров с меньшей пользовательской базой на быструю реакцию, сравнимую с лидерами (если конечно ресурсы вирлаба позволяют).

 

Что касательно KSN - как видите, я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе. Думаю, этого более чем достаточно. И я не думаю, что то, что приходит непосредственно в вирлаб по почте или через кабинет пользователя, чем-то принципиально по качеству отличается от потока данных, проходящих через VirusTotal, особенно если допустить, что рассылка образцов вендорам идет только при детектировании образца одним из имеющихся в наличии VirusTotal антивирусов.

 

"А вот я думаю что это не столь невероятный вариант "

 

Kapral, вы пишете вирусы ))))? Фи ©

[Kapral]

я бы предложил вам не искажать имена продуктов, специалисту это не к лицу

Тогда будьте любезны - не искажать все, включая и лабораторию Касперского

 

но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R")

Я точно не знаю, как работают в Майкрософт - но это вероятностый вердикт. не по точному образцу, который побывал у них в вирлабе. А продукту показалаось, что он похож на что-то

 

я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе.

Думаю так делают многие. Но в тоже время отсылается образец напрямую в вирлаб избранных вендоров

 

вы пишете вирусы

Откуда такие выводы?

[SergeyUser]

В продолжение темы неформального сравнения скорости добавления образцов, сегодня натолкнулся на такой вот "свежачок": http://www.virustotal.com/ru/analisis/e5e0...5b36-1248832912.

 

Как можно заметить, большинство вердиктов выдано эвристическими модулями. Однако на этот раз ни Dr. Web, ни ЛК, ни Symantec вообще ничего не говорят. Посмотрим, сколько времени займет на добавление образца в базы.

 

P.S.: Образец кстати уже был кем-то протестирован до меня, как и в прошлый раз.

 

P.P.S.: В дополнение совсем уж "чистый" случай: http://www.virustotal.com/ru/analisis/01fd...8016-1248834800. Обнаружение на уровне сигнатур единственным (на текущий момент) вендором. Тут, правда, интересно, будут ли вообще этот образец в базу добавлять, по той причине, что образец из себя представляет просто vbs-скрипт, скачивающий и запускающий "основную" гадость по FTP..

Изменено 29 июля, 2009 пользователем SergeyUser