Скорость добавления нового malware в AV-базы

[Kapral]

  SergeyUser сказал:

Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

1.судя по первому логу базами а не эвристиками ловил только дрПаутина. Т.е. судя по всему вирус всплыл совсем не давно. и первым попал в их вирлаб

2. ЛК после получения вируса оперативно добавила его в базы (инфа из твоих постов. Я не ошибся?)

 

  SergeyUser сказал:

И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора.

Хотя в последнее время и тоже не критично. Т.к. твоя не любимая КСН - как раз (в т.ч.) и позволяет сократить время доставки вируса в ЛК, и получить мгновенный сигнал (после вынесения вердикта аналитиком) - "Фас, враг".

Но у тебя КСН отключен. Тебе не важно что бы КСН отослала этот новый вирус в ЛК.

 

  SergeyUser сказал:

открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат

Ага.. спасибо за инфу...

Просто мне не везло и то что тестировал на ВТ было тогда 1м полученным результатом (т.к. я таких сообщений не получал)

Кстати насчет ВТ - так как там проверяют все и всё что попадется под руку... А у некоторых антивирусов паранойя - то вендорам рассылается большое количество мусора. Кто то из вирлаба ЛК такое говорил, но вот где и когда - уже не помню

То для ускорения процесса я всегда отсылаю зверька/подозрение на него напрямую...

Заметил что реально быстрее.

 

  SergeyUser сказал:

"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.

А вот я думаю что это не столь невероятный вариант.

 

ЗЫ. Кстати мой опыт говорит, что время попадания зверька в базы (исключение фолсов из них) находится в интервале 25 мин ... 2ч 30 мин.

Один раз было ответ пришел через 80 минут а сигнатурами начали ловить через 4 часа

[SergeyUser]

Kapral,

 

Обнаружил базами как-минимум DrWeb (я бы предложил вам не искажать имена продуктов, специалисту это не к лицу ), но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R") и Sophos ("Mal/Zbot-O") тоже является чисто сигнатурной, в пользу чего говорит тот факт, что повторное тестирование на текущий момент дает такой же результат (http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246395252).

 

И да, я подтверждаю, что ЛК отреагировал оперативно, и в пятницу образец уже успешно детектировался.

 

Кстати, только что обратил внимание, что VirusTotal показывает точное время первой посылки образца, так что мы можем измерить, сколько прошло времени от появления образца in-the-wild (считаем по времени закачки образца на VirusTotal) до доступности обновления от ЛК:

 

VirusTotal First received: 2009.06.26 08:50:30 UTC

Время детектирования ЛК: 26 июн 2009 13:45 MSK

 

Несложные калькуляции дают нам время реакции ЛК для данного образца менее чем 1 час (если полагать, что MSK на текущий момент отличается от UTC на 4, а не на 3 часа). Даже с учетом задержки на выпуск обновления получаем просто отличную реакцию - существенно менеек 2х часов. Конечно, было бы интересно узнать когда образец попал в ЛК, но кто же нам скажет ) В любом случае с практической точки зрения результат более чем достойный.

 

"Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора".

 

Kapral, данный параметр зависит от вендора, причем очень сильно, вот вам ряд примеров:

- чем больше user base, тем больше шансов получить вендору образец по своим каналам от пользователя;

- чем больше у вендора honeypot'ов, партнерских отношений с различными структурами вроде VirusTotal - доп. шансы получить образец раньше.

 

К счастью для пользователей, наличие таких сервисов как VirusTotal очень позитивно влияет на конкуренцию, потому как увеличивает шансы вендоров с меньшей пользовательской базой на быструю реакцию, сравнимую с лидерами (если конечно ресурсы вирлаба позволяют).

 

Что касательно KSN - как видите, я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе. Думаю, этого более чем достаточно. И я не думаю, что то, что приходит непосредственно в вирлаб по почте или через кабинет пользователя, чем-то принципиально по качеству отличается от потока данных, проходящих через VirusTotal, особенно если допустить, что рассылка образцов вендорам идет только при детектировании образца одним из имеющихся в наличии VirusTotal антивирусов.

 

"А вот я думаю что это не столь невероятный вариант "

 

Kapral, вы пишете вирусы ))))? Фи ©

[Kapral]

  SergeyUser сказал:

я бы предложил вам не искажать имена продуктов, специалисту это не к лицу

Тогда будьте любезны - не искажать все, включая и лабораторию Касперского

 

  SergeyUser сказал:

но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R")

Я точно не знаю, как работают в Майкрософт - но это вероятностый вердикт. не по точному образцу, который побывал у них в вирлабе. А продукту показалаось, что он похож на что-то

 

  SergeyUser сказал:

я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе.

Думаю так делают многие. Но в тоже время отсылается образец напрямую в вирлаб избранных вендоров

 

  SergeyUser сказал:

вы пишете вирусы

Откуда такие выводы?

[SergeyUser]

В продолжение темы неформального сравнения скорости добавления образцов, сегодня натолкнулся на такой вот "свежачок": http://www.virustotal.com/ru/analisis/e5e0...5b36-1248832912.

 

Как можно заметить, большинство вердиктов выдано эвристическими модулями. Однако на этот раз ни Dr. Web, ни ЛК, ни Symantec вообще ничего не говорят. Посмотрим, сколько времени займет на добавление образца в базы.

 

P.S.: Образец кстати уже был кем-то протестирован до меня, как и в прошлый раз.

 

P.P.S.: В дополнение совсем уж "чистый" случай: http://www.virustotal.com/ru/analisis/01fd...8016-1248834800. Обнаружение на уровне сигнатур единственным (на текущий момент) вендором. Тут, правда, интересно, будут ли вообще этот образец в базу добавлять, по той причине, что образец из себя представляет просто vbs-скрипт, скачивающий и запускающий "основную" гадость по FTP..

Изменено 29 июля, 2009 пользователем SergeyUser