Перейти к содержанию

Скорость добавления нового malware в AV-базы


Рекомендуемые сообщения

Фактически если образец уже доступен, что называется, in-the-wild, то время пошло, потому как формируется риск для конечных пользователей. Точно время это померять нельзя, но приблизительно - вполне. Речь не идет о времени, когда "образец" был скомпилирован авторами.

1.судя по первому логу базами а не эвристиками ловил только дрПаутина. Т.е. судя по всему вирус всплыл совсем не давно. и первым попал в их вирлаб

2. ЛК после получения вируса оперативно добавила его в базы (инфа из твоих постов. Я не ошибся?)

 

И именно это время (время от появления образца in-the-wild до момента доступности обновления конечным пользователям) - критично, время обработки образца вирлабом тоже важно, но оно входит в указанный выше временной интервал. Поясню более детально:

 

t_full_detection_time =

t_diff_sample_received_sample_detected_in_the_wild + // Время от обнаружения образца in-the-wild до получения его конкретной компанией

t_pending_period + // время от получения образца до начала обработки его конкретным специалистом

t_handling_period + // время обработки образца специалистом

t_delay_before_update_delivery // время доступности обновления конечному пользователю (включая тестирование, как я подозреваю, оно общее а не для каждого образца)

Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора.

Хотя в последнее время и тоже не критично. Т.к. твоя не любимая КСН - как раз (в т.ч.) и позволяет сократить время доставки вируса в ЛК, и получить мгновенный сигнал (после вынесения вердикта аналитиком) - "Фас, враг".

Но у тебя КСН отключен. :) Тебе не важно что бы КСН отослала этот новый вирус в ЛК.

 

открываю для вас большой секрет - VirusTotal, если вы заливаете уже ранее протестированный файл (сравнение, очевидно, по хэшу заливаемого файла), говорит пользователю, что файл уже ранее тестировался и предлагает посмотреть уже сформированный результат

Ага.. спасибо за инфу...

Просто мне не везло и то что тестировал на ВТ было тогда 1м полученным результатом (т.к. я таких сообщений не получал)

Кстати насчет ВТ - так как там проверяют все и всё что попадется под руку... А у некоторых антивирусов паранойя - то вендорам рассылается большое количество мусора. Кто то из вирлаба ЛК такое говорил, но вот где и когда - уже не помню

То для ускорения процесса я всегда отсылаю зверька/подозрение на него напрямую...

Заметил что реально быстрее.

 

"Не исключено, что сам вирусописатель таким образом проверял невидимость своего творения".

 

Это вряд ли, потому как вирусописатели должны как огня бояться раннего обнаружения своих творений антивирусными компаниями, а тут VirusTotal не на их стороне.

А вот я думаю что это не столь невероятный вариант. :D

 

ЗЫ. Кстати мой опыт говорит, что время попадания зверька в базы (исключение фолсов из них) находится в интервале 25 мин ... 2ч 30 мин.

Один раз было ответ пришел через 80 минут а сигнатурами начали ловить через 4 часа

Ссылка на комментарий
Поделиться на другие сайты

Kapral,

 

Обнаружил базами как-минимум DrWeb (я бы предложил вам не искажать имена продуктов, специалисту это не к лицу ;)), но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R") и Sophos ("Mal/Zbot-O") тоже является чисто сигнатурной, в пользу чего говорит тот факт, что повторное тестирование на текущий момент дает такой же результат (http://www.virustotal.com/analisis/b6c9a2125a43133d681be0e27aac281f404e29b5e6f031d04a789ff6f0bc8218-1246395252).

 

И да, я подтверждаю, что ЛК отреагировал оперативно, и в пятницу образец уже успешно детектировался.

 

Кстати, только что обратил внимание, что VirusTotal показывает точное время первой посылки образца, так что мы можем измерить, сколько прошло времени от появления образца in-the-wild (считаем по времени закачки образца на VirusTotal) до доступности обновления от ЛК:

 

VirusTotal First received: 2009.06.26 08:50:30 UTC

Время детектирования ЛК: 26 июн 2009 13:45 MSK

 

Несложные калькуляции дают нам время реакции ЛК для данного образца менее чем 1 час (если полагать, что MSK на текущий момент отличается от UTC на 4, а не на 3 часа). Даже с учетом задержки на выпуск обновления получаем просто отличную реакцию - существенно менеек 2х часов. Конечно, было бы интересно узнать когда образец попал в ЛК, но кто же нам скажет ;)) В любом случае с практической точки зрения результат более чем достойный.

 

"Вот это t_diff_sample_received_sample_detected_in_the_wild - как раз та величина, которая не зависит от вендора".

 

Kapral, данный параметр зависит от вендора, причем очень сильно, вот вам ряд примеров:

- чем больше user base, тем больше шансов получить вендору образец по своим каналам от пользователя;

- чем больше у вендора honeypot'ов, партнерских отношений с различными структурами вроде VirusTotal - доп. шансы получить образец раньше.

 

К счастью для пользователей, наличие таких сервисов как VirusTotal очень позитивно влияет на конкуренцию, потому как увеличивает шансы вендоров с меньшей пользовательской базой на быструю реакцию, сравнимую с лидерами (если конечно ресурсы вирлаба позволяют).

 

Что касательно KSN - как видите, я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе. Думаю, этого более чем достаточно. И я не думаю, что то, что приходит непосредственно в вирлаб по почте или через кабинет пользователя, чем-то принципиально по качеству отличается от потока данных, проходящих через VirusTotal, особенно если допустить, что рассылка образцов вендорам идет только при детектировании образца одним из имеющихся в наличии VirusTotal антивирусов.

 

"А вот я думаю что это не столь невероятный вариант :huh:"

 

Kapral, вы пишете вирусы :)))))? Фи ©

Ссылка на комментарий
Поделиться на другие сайты

я бы предложил вам не искажать имена продуктов, специалисту это не к лицу

Тогда будьте любезны ;) - не искажать все, включая и лабораторию Касперского ;)

 

но возможно идентификация Microsoft ("PWS:Win32/Zbot.gen!R")

Я точно не знаю, как работают в Майкрософт - но это вероятностый вердикт. не по точному образцу, который побывал у них в вирлабе. А продукту показалаось, что он похож на что-то

 

я вношу свой вклад в общую безопасность посредством засылки образцов через VirusTotal, помогая не одному вендору, а всем вместе.

Думаю так делают многие. Но в тоже время отсылается образец напрямую в вирлаб избранных вендоров

 

вы пишете вирусы

Откуда такие выводы?

Ссылка на комментарий
Поделиться на другие сайты

  • 4 weeks later...

В продолжение темы неформального сравнения скорости добавления образцов, сегодня натолкнулся на такой вот "свежачок": http://www.virustotal.com/ru/analisis/e5e0...5b36-1248832912.

 

Как можно заметить, большинство вердиктов выдано эвристическими модулями. Однако на этот раз ни Dr. Web, ни ЛК, ни Symantec вообще ничего не говорят. Посмотрим, сколько времени займет на добавление образца в базы.

 

P.S.: Образец кстати уже был кем-то протестирован до меня, как и в прошлый раз.

 

P.P.S.: В дополнение совсем уж "чистый" случай: http://www.virustotal.com/ru/analisis/01fd...8016-1248834800. Обнаружение на уровне сигнатур единственным (на текущий момент) вендором. Тут, правда, интересно, будут ли вообще этот образец в базу добавлять, по той причине, что образец из себя представляет просто vbs-скрипт, скачивающий и запускающий "основную" гадость по FTP..

Изменено пользователем SergeyUser
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • TSN_prm
      От TSN_prm
      Добрый день.
      KSC Linux 15.0
      KES Linux 12.0
      Кесы на связи с KSC, приложение останавливается-запускается, лицензия подгружена, задачи на поиск вр-го ПО и локальные выполняются, а задача по обновлению завершается статусом "Сбой", в результатах:
      Application databases update error (Initiator: Product; Runtime task ID: 72; Task type: Update;) и Task failed (Initiator: Product; Runtime task ID: 72; Task state: Stopped; Task type: Update; Reason: InternalError;).
      Подскажите, пожалуйста, как понять конкретную причину Reason: InternalError, в каких логах смотреть.
      Пробовал очищать хранилище баз в KSC и загружать новые. Переустановка клиента тоже не помогает. 
       
      Так же, на некоторых тачках есть проблема с лицензией (лицензионный ключ один единственный в KSC) но на некоторых статус "защита выключена", в компонентах "не поддерживается лицензией", задача по добавлению ключа падает в эту же InternalError. Всё перепробовал, в т.ч. удалить из KSC, потом еще локально на тачке, ребут, установка из KSC новой 12.1 версии - ничего не помогает, хелп, плиз!
    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • qvotop
      От qvotop
      Здравствуйте. Есть такая проблема, что, когда открываю кс2, падает скорость интернета. Проблеме уже 4 месяца. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, но он ничего не нашёл. Создавал такую же тему в другом разделе ( 
       ) ,сказали что здесь помогут
    • qvotop
      От qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
×
×
  • Создать...