Перейти к содержанию

Задай вопрос Алексею Маланову!


Рекомендуемые сообщения

Проект "Интервью с экспертами "Лаборатории Касперского" после перерыва возобновляет свою работу.

 

Первым в 2010 году на вопросы фан-клубовцев любезно согласился ответить Алексей Маланов - руководитель Отдела оперативной борьбы с угрозами. Интервью продлится по 13 марта 2010 года включительно. Традиционно интервьюируемым будет выбран самый лучший вопрос по его мнению, автор которого получит ценный приз от фан-клуба. Вопросы можно начинать задавать уже сейчас.

 

Обратите внимание! Эксперты "Лаборатории Касперского" отвечают на вопросы в свободное от работы, семьи и своих дел время. Цените их свободное время, не задавайте вопросы десятками. Старайтесь, чтобы формулировки были краткими, понятными и лаконичными.

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

 

 

Краткая биография Алексея Маланова

 

Родился в Москве в 1984 г. В 2006 г. окончил факультет ВМиК МГУ. Будучи студентом четвертого курса, в 2004 году пришел в "Лабораторию Касперского" вирусным аналитиком. Работал по сменам.

 

malanov.jpg

 

В сентябре 2007 г. был назначен руководителем Отдела оперативной борьбы с угрозами, в который входят группы сменных вирусных аналитиков, статистического детектирования, исследования сетевых атак, исследования угроз для не-Intel платформ, исследования мобильных угроз, поддержки SLA и др. Ведёт активную деятельность в области автоматизации процесса обработки потока вредоносных программ. Занимается вокалом, любит спортивные игры, играет на гитаре.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 83
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Люблю играть в хоккей. В последний раз играл на тимбилдинге (это когда отдел отдыхает), классно. А еще пару недель назад под Москвой клюшкой шайбу побил. Ну, не так интересно, конечно. Хоккеистам сове

Здравствуйте Алексей.   надеюсь я могу вам задать вопросы касающиеся вирлаба?   1) мог ли бы вы рассказать как происходит добавление новой сигнатуры в базу?   2) известно что часть зловредов обр

Доброго времени суток!   1. Алексей, так долго и плодотворно работая вирусным аналитиком, Вам явно(ярко) тем или иным образом запомнился какой-либо вредонос (семейство), ну может быть очень "трудный

Алексей, может вы скажете и как то прокомментируете, почему LK сделала единые базы для 32-х и 64-х битных версий продукта? разве нельзя было сделать так чтоб антивирус сам определял битность оси и качал только нужную базу? размер баз и так не маленький, а тут еще приходится в нагрузку к своим обновлениям баз на 32 бита, качать еще и 64-х битную базу. особенно тяжело тем юзерам у которых маленькая скорость или нестабильный инет.

возможно ли что это будет в скорости как то оптимизировано? какая-то работа ведется в этом направлении?

Изменено пользователем apq
Ссылка на сообщение
Поделиться на другие сайты

apq

 

Я не Алексей, но уточню -

 

Если установлена галка - "Копировать обновления в папку" то качаются базы на ВСЕ продукты. Зачем разделять? Тут все верно. А если галка снята эта, то качаются базы только на тот продукт что у Вас установлен - т.е. если у Вас х32, то и качаются базы только на х32.

Изменено пользователем Danilka
Ссылка на сообщение
Поделиться на другие сайты
Алексей, можно поинтересоваться, вас интересует/интересовала игра "Мафия"?
Здравствуйте!

Вышеозначенный вопрос навеял кое-что. Во что любили играть и "играть" в детстве, в школе и тд. и как это сказалось и сказалось ли на вашей будущей профессии?

 

p.s. Я вот любил параллельно со школьной химией ковыряться с пробирками и ретортами дома, но химиком не стал. (это как пояснение к сути вопроса)

Ссылка на сообщение
Поделиться на другие сайты

Алексей, такой вопрос

 

Каким потоком "текут" вирусы в Лабораторию? Бывает такое, что в течении какого то времени совсем нет поступления свежачка? И тогда аналитик расслабляется. Или совсем нет таких окошек?

Ссылка на сообщение
Поделиться на другие сайты
Хотелось бы увидеть поддержку распаковки приложений, виртуализированных программами типа ThinApp или Xenocode Скажите, возможно ли это? Просто на днях попался такой вирус - запакован Thinstall (Pre-ThinApp). При проверке файла ничего не находится, а при запуске распаковывается троян. Если технология распаковки при проверке существует, я думаю производители этих программ поделятся ею с вами.

Xenocode

Thinstall

Замечу, что новые распаковщики добавляются в базы по мере их появления в зависимости от распространенности. И постоянно обновляются.

 

В итоге, дистрибутивы продуктов Dr.Web - малого размера, а бесплатная лечащая утилита DrWeb CurIt (30 мбайт) становятся предпочтительнее громоздкому AVP Tool (62 мбайта) - размер больше чем в 2 раза!

Спасибо за вопрос. Такой объем баз необходим для поддержания высокого уровня детектирования наших старых продуктов. В самом ближайшем будущем мы планируем их "почистить", так как бОльшая часть вредоносов детектируется другими слоями защиты наших продуктов.

 

2) Раз эвристик на машине пользователя не может полностью протестировать образец то может быть в ЛК его смогут быстрее препарировать в автоматическом режиме с использованием технологий скрытых от вирописов?

Вы правы. Уже сейчас запрос в "центр" передается при помощи технологии KSN.

 

1) Быть может возможно организовать отсылку образцов до 1-3-5 мегабайта в ЛК через KSN и более точный анализ по аналогии с анубис?

В большинстве случаев нет необходимости отправлять сам файл, достаточно отправить его хеш. Под более точным анализом Вы имеете ввиду более подробное описание для пользователя? Согласен, сейчас далеко не на каждый вредонос есть описание на securelist.com. Мы планируем это исправить в ближайшем будущем.

 

получалось очень даже неплохо, да и песня как раз про первый курс...когда обычно после школы начинается взрослая жизнь (это я про похмелье)

эх студенческие годы - лучшее время!

Не все песни грустные, просто так совпало. Прикрепил другую (тоже не веселую:D) Sera_mejor.mp3

 

1)Пишите ли вы свою музыку?

Нет, не получается.

2) Где можно услышать ваше творчество (если таковое есть)?

Только тут :lol: Песня_про_Васю.mp3

 

А вы боитесь стоматолога?

Нет. Если ходить к нему регулярно, два раза в год, то больно не будет. А вот, когда был маленьким, и стоматолог вырывал зубы, тогда боялся.

 

Вы, как специалист, думаю имеете некоторый интерес к тому, что творится вокруг ЛК, а именно к продукции других вендоров. Можете дать оценку нашей отечественной антивирусной продукции (например от DrWeb, Agnitum, DefenseWall от Ильи Рабиновича)?

Нет, не дам ;)

 

Какой у вас любимый вид спорта?

Пожалуй, баскетбол, но не играл уже 10 лет. А еще я чуть-чуть боксировал в фитнес-клубе.

 

1. Алексей, так долго и плодотворно работая вирусным аналитиком, Вам явно(ярко) тем или иным образом запомнился какой-либо вредонос (семейство), ну может быть очень "трудный", который "огрызался", преподносил "сюрпризы", или наоборот был очень забавный, с поимкой и обезвреживанием которого были смешные, забавные истории и приключения. Другими словами, какой вредонос вам запомнился и почему? Можете рассказать?

Slammer. Описание. Я тогда еще учился быть вирусным аналитиком. Один из первых данных мне на анализ зловредов. Прочитайте описание, и Вы поймете, почему он мне так запомнился, и почему он так отличается от других.

 

 

 

Каким потоком "текут" вирусы в Лабораторию?

Потоки разные. Отмечу парочку. HoneyPot'ы - выставим в интернет незащищенную машину с неустановленными заплатками. Рано или поздно она будет атакована. Если она атакована неизвестной угрозой, угроза отправится на анализ.

"Липучка". Мы находим зловреда и видим у него внутри урл. Урл добавляется в базу. Периодически он скачивается, если были изменения, от отправляется на анализ.

Бывает такое, что в течении какого то времени совсем нет поступления свежачка? И тогда аналитик расслабляется. Или совсем нет таких окошек?

Такого не бывает :) Зловреды поступают 24*7.

А какие дни (месяцы) самые "жаркие" по количеству новых вредоносов?

Середина рабочей недели (в выходные существенно меньше). Декабрь. Не буду рассуждать, почему так происходит.

 

 

Алексей, работают ли в вашей лаборатории женщины и сколько их? Поздравляю всех с 8 марта

В компании, конечно, работают. Кажется, треть, не помню. А вот в вирлабе - по пальцам пересчитать. Зато в соседней Антиспам лаборатории наоборот :) Поздравления передам при случае.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Какие зловреды чаще всего попадаются к вам на анализ?

Те же, что мы детектим. О том, что мы детектим, можно почитать, например, в этой статье.

Как быстро обрабатывается типичный зловред?

Типичные зловреды обрабатываются автодятлом в течение нескольких минут. Скорость обработки нетипичных зависит от распространенности и уровня опасности.

 

Вышеозначенный вопрос навеял кое-что. Во что любили играть и "играть" в детстве, в школе и тд. и как это сказалось и сказалось ли на вашей будущей профессии?

Как и многие, любил играть в компьютерные игры. Приставки у меня никогда не было. Любимые игры X-Com, Warcraft, Diablo. Вобщем, все хорошие.

 

Не думаю, что компьютерные игры повлияли на выбор профессии. Скорее наличие компьютера побудило стать программистом. Математика давалась сильно проще гуманитарных наук, а программирование нравилось, вот я и поступил на ВМиК.

 

Совсем-совсем в детстве любил конструкторы. Lego, железный на винтиках, пластмассовый на винтах. Помню, был у меня еще с лампочками, переключателями, батарейками, что-то типа "Юный электрик". А в школе играли в "номерки": номерки из гардероба кладутся на парту. А дальше играем в две команды во что-то вроде Чапаева. Одно время все перемены на это убивали.

 

p.s. Я вот любил параллельно со школьной химией ковыряться с пробирками и ретортами дома, но химиком не стал. (это как пояснение к сути вопроса)

Родители не боялись взрыва? )

 

Алексей, может вы скажете и как то прокомментируете, почему LK сделала единые базы для 32-х и 64-х битных версий продукта?
Если установлена галка - "Копировать обновления в папку" то качаются базы на ВСЕ продукты. Зачем разделять? Тут все верно. А если галка снята эта, то качаются базы только на тот продукт что у Вас установлен - т.е. если у Вас х32, то и качаются базы только на х32.

Спасибо, Danilka.

 

Алексей, можно поинтересоваться, вас интересует/интересовала игра "Мафия"?

Да, недавно играли пол ночи с друзьями на даче.

 

Что интересного нас ждет в 10 линейке продуктов лаборатории?

Пожалуйста, почитайте, онлайн-интервью с Николаем Гребенниковым

 

Вы писали, что некоторым семействам сами давали имена... А можно поинтересоваться - каким именно?

Уф, давал имена, давал, а как попытаешься вспомнить, ничего на ум не приходит. Точно помню, что в мою ночную смену был первый Net-Worm.Win32.Mytob, в свое время очень популярный.

 

Позвольте, но ведь Linux работает и на Intel'овской платформе?

Вы правы, правильнее было бы назвать не-Wintel. Но чтобы никого не запутывать, назвали так, как сейчас.

Ссылка на сообщение
Поделиться на другие сайты
Примите ли Вы на работу человека, который умеет работать в основном с отладчиком\дизассемблером линукса?

Почему бы и нет. Если он разбирается в этой теме, то ему ничего не будет стоить освоить реверс Win32. Никакой принциальной разницы нет.

 

Алексей, а есть ли у вас мечта, такая которую вы давно мечтаете осуществить?

Пожалуй, нет. Плохо, конечно. Так получается, когда либо мечта неосуществима, либо просто нужно взять и сделать это :D.

 

На сколько мне известно, что на линуксы вирусов очень мало, если представить: все перейдут на линуксы, то количество вирусов возрастёт на эти системы или будет также мало?

Я уверен, что тут же возрастет. Это доказывает динамика количества зловредов для MacOS и SymbianOS.

 

p.s Песня "Утро" просто отличная

Спасибо.

 

2. А есть какая-нибудь байка, рожденная в стенах лаборатории? Расскажите?

Один из сотрудников сказал как-то: "Мы одна команда!". В связи с чем, уже не помню. Так получилось, что потом эта фраза стала употребляться довольно часто: "Пойдем покушаем, мы же одна команда!". Это вызывает улыбку.

 

1) Какой из этапов самый медленный/ресурсоёмкий?:

a) получение и обработка потока угроз;

б) анализ угрозы аналитиками /автодятлом;

в) тестирование (баз перед выпуском на сервера);

г) получение новых баз конечными пользователями с детектом новой угрозы.

Каждый из этих этапов очень ресурсоемкий. Посудите сами, для получения новых угроз требуется распределенная система сбора; для обработки такого количества файлов требуются не меньшие мощности; чтобы избежать ложных срабатываний требуется тщательное тестирование на огромном количестве данных. А вот получение баз конечными пользователями требует широкого канала отдачи, их очень много.

 

Сказать, что какой-то из этапов самый медленный нельзя, мы постоянно проводим ревизию и сокращаем время реакции.

 

2) Применение "облачных" технологий в реалии позволит уменьшить время реакции на угрозы или лишь сократит время "доставки" новых баз до конечных пользователей?

Несколько разных технологий объединяются в категорию "облачные". Есть технология UDS (Urgent Detection Service) (например, применительно к антиспаму тут). А если же мы говорим о KSN в целом (читайте вступление этой статьи), то его вклад в скорость обнаружения новых угроз трудно переоценить.

 

Как Вы считаете, отправка вредоносного файла из интерфейса А/В продукта повысит скорость реагирования на угрозы? Будет ли полезен такой канал получения вредоносных файлов ЛК и пользователям её продуктов?

Я не вижу особенной разницы между отправкой подозрительного файла из интерфейса продукта и отправкой из веб-интерфейса.

 

Алексей, любите ли вы всё бесплатное (халяву по русски)? Спасибо

Люблю. Предпочитаю "два по цене одного", "рекламная акция, возьмите пробник". Конечно, эту маленькую шоколадочку я мог бы и сам купить, но все равно приятно :lol:.

 

А вот когда "скидка 50% на все", не люблю. Сразу думаю "это значит, раньше в два раза переплачивали? Плохой магазин."

 

Люблю "купите гамбургер, получите второй".

 

Цитата(Alexey Malanov @ 04.03.2010, 22:12)

проверку тестового задания

что за задание? было бы интересно взглянуть на него.

Задание по секрету: "Вот вам инструмент, вот сампл зловреда. За 15 минут разберитесь и расскажите поподробнее, что поняли." Всем даю один и тот же сампл и одинаковое время. Это позволяет объективно сравнить знания соискателей.

Ссылка на сообщение
Поделиться на другие сайты
Я не вижу особенной разницы между отправкой подозрительного файла из интерфейса продукта и отправкой из веб-интерфейса.

ну на скорость я думаю это не повлияет, а вот удобство пользователю будет, тем более через отправку веб-интерфейса надо знать адрес этого веб-интерфейса, но это я думаю больше вопрос разработчикам.

 

И тут назрел вопрос:

Алексей, а вы лично принимаете участие в разработке новых продуктов?

Изменено пользователем klub-p
Ссылка на сообщение
Поделиться на другие сайты

Алексей, а какая ОС стоит на вашем домашнем компьютере? какой антивирус стоит на страже? и что именно, кроме установки антивируса и установки всех "заплаток", вы сделали на своем компьютере для повышения безопасности?

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...