Перейти к содержанию

Сравнение скорости реагирования вирлабов на новые угрозы


akoK

Рекомендуемые сообщения

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.
Ссылка на комментарий
Поделиться на другие сайты

Хорошая статья. Основной вывод, который хотелось бы выделить и прокомментировать:

довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали.

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

 

Сам в 2007 году ни раз отправлял в Лабораторию Касперского неопределяемых зверей, да и те же Avira и Eset. Капреский всегда отвечал, добавлял в базы, потом отвечать перестал, но в базы детектирования всё равно добавлял. А сейчас ни ответа, ни детекта. Очевидно, что не хватает человеческих ресурсов для анализа.

 

Пока вижу решение только в объединении сил нескольких компаний, либо вредоносы нас победят.

 

Ещё возможный путь на будущее - увеличение числа сотрудников и разработка автоматического продвинутого средства детектирования на стороне клиента. Хотя к последнему мы все уже и двигаемся - эта и та же песочница, и HIPS... Нужно развивать их, возможно, в будущем придётся и отказаться от сигнатурного детектирования и остаться только на HIPS'е и облачной защиты.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Если в году 2005 в день добавляли несколько тысяч вредоносов, в году 2008 этак десятков тысяч, то сейчас это число приближается уже к сотням тысяч, а то и миллиону... В день!

По теории вероятности вредоносы должны пачками сыпаться мне, да и знакомым на компьютеры. Но этого почему то не происходит. Годами ничего не залетает. Изредка браузер предупредит, что страница может быть не безопасна, да и то потому что перенаправляет по другому адресу. Где же этот миллион вирусов в день?

Компьютер периодически проверяется антивирусными средствами от разных производителей, но ничего вредного они не находят . В почте тоже ничего похожего не бывало.

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

 

О шквальном увеличении угроз читал недавно, по-моему, на securitylab.ru.

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы.

Наверное когда нажимали кнопочки типа "установить новый кодек", "проверить компьютер"?

Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли.

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:

 

Секретные возможности поискового движка Google позволили обнаружить тысячи зараженных вирусами веб-сайтов. Большинство из этих ресурсов стали жертвами взломщиков и, сами не зная того, заражали системы своих клентов.

 

При помощи специально созданной утилиты исследователи из Websense за последний месяц обнаружили более 2000 сайтов, зараженных червями Bagel и Mytob. Это стало возможным благодаря особенности бинарного поиска Google, который позволяет просматривать информацию, содержащуюся в обычно нечитаемых exe-файлах. seonews.

Ссылка на комментарий
Поделиться на другие сайты

Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

Изменено пользователем Cihihen
Ссылка на комментарий
Поделиться на другие сайты

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

 

Скорее всего для красивой статистики :)

Ссылка на комментарий
Поделиться на другие сайты

Раньше постоянно, когда лазил по интернету, цеплял вирусы. Сейчас ни одного месяцами... Это не от уменьшения числа вирусов, а от взросления что ли. Появилось парочка постоянных сайтов, которые посещается ежедневно, а они безопасные и проверенные.
У меня так же, но я не думаю что причина этому взросление, по крайней мере не прямая.

 

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?). особенно это касалось всяких игрушек. каждую вторую софтину приходилось ломать. И если не подхватишь заразу в инете, пока ищешь "лом", то большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине. сейчас большая часть софта просто бесплатна. нет необходимости шариться по темным закоулкам интернета. Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала. Просто посещение подобного ресурса еще гарантирует заражения, нужно чтоб ну ПК были уязвимости, на которые рассчитан зловред.

 

С вирусами борются поисковые системы, им не выгоден "зараженный интернет" отображаемый в поиске, пользователи подсознательно будут избегать поисковик выдающий зараженные ссылки. Еще в 2006 году:
это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему. но в любом случае спасибо им за это. Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты

Не так давно большая часть софта используемого на компе была платной, ну для кого платной, а для кого ломанной (Ну а что вы хотите чтобы подросток 14-16 лет брал и покупал все это?).

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.), масштаб воровства может изменится, мелочь будет безопаснее купить на украденные миллионы.

большая вероятность что сюрприз ждет тебя "внутри" ключа к софтине.

Ключи не сложно проверить на сюрпризы даже при помощи онлайновых сервисов, где всегда свежие базы таких сюрпризов.

Ну а подхватить заразу на каком нибудь, вполне приличном, сайте, я считаю, крайне мала.

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.

это тоже наверное внесло огромный вклад, только вот не думаю что гугл потерял бы популярность не введя подобную систему.

А введя систему Google приобрел дополнительную популярность, в Яндексе это тоже поняли и с мая 2009 года Яндекс проверяет индексируемые веб-страницы и предупреждает пользователей об опасных сайтах.

Ссылка на комментарий
Поделиться на другие сайты

Если в 14-16 лет человек ворует, то вряд ли психология сильно изменится с возрастом. Оправдания будут другие (зарплата низкая, назло буржуям и т.п.),
Еще одна мудрая глупость от Cihihen'a, но что бы не развивать срач я проигнорирую ее. Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве, а по твоей теории а я сейчас продолжаю воровать.

 

Злоумышленникам выгоднее всего размещать вредоносный код на популярных сайтах.
Спасибо кэп!

 

По оценкам Яндекса ежедневно в список зараженных сайтов попадают 5-10 популярных ресурсов с индексом цитирования более 1000, несколько раз в месяц вирус обнаруживается на высокорейтинговых сайтах — с индексом цитирования более 10000.
Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".
Ссылка на комментарий
Поделиться на другие сайты

Раз в месяц вирус обнаруживается в таком "прекрасном сайте" как "Вконтакте".

Ага, особенно в рекламе слева)

Помню как-то одним из первых подхватил оттуда блокер под видом "халявных голосов", но тогда легче было с ними бороться - сделал экстренное выключение, включаешь компьютер и нет баннера+система чистая)

Ссылка на комментарий
Поделиться на другие сайты

Пойди напиши на меня в компетентные органы, я ведь публично признался в воровстве,

Да хоть в убийстве Кеннеди. Но если докажут потом, то это будет как явка с повинной, которая смягчает вину и увеличивает наказание.

а по твоей теории а я сейчас продолжаю воровать.

А что в вашей психологии изменилось? В 14 лет денег нет - ворую, студент денег нет...

уже заезженная тема но все же - я бедный студент. откуда мне взять деньги взять? пойти работать? угу, и все это время работать на софт с музыкой? а у меня еще помимо софта есть другие потребности - с девушкой куда нибудь сходить, подарок другу на день рожденье купить. а я еще я хочу машину . . . старенькую, которой лет 10 и стоит которая будет 50-70к. жалко ли мне денег на софт с музыкой? хм, конечно не жалко . . . их просто нету.
PS лично я никогда и не скрывал что я "пират" . . . да и никто никогда не скрывал этого вообше то. а если кто то говорит что все покупает, не верьте ему. даже в это теме есть такой случай)))
Изменено пользователем Cihihen
  • Не согласен 1
Ссылка на комментарий
Поделиться на другие сайты

По оценкам Яндекса, общее число зараженных сайтов не превышает 1%.

Проиндексированные Яндексом страницы сайтов проходят проверку на наличие опасных элементов.

Для обнаружения опасных ресурсов Яндекс использует систему проверки, разработанную на базе технологии компании Sophos®.

 

В итоге впечатление, что миллион вредоносов в день пишутся для исследования скорости реагирования лабораторий различных антивирусных компаний.

И это не более чем впечатление. Давайте посчитаем вместе... пусть у нас имеется 10 миллионов сайтов (их куда больше, но берем мало-мальски популярные). 1% от них составит 100 тыс, и если на каждый из сайтов в день зайдет хотя-бы один человек - получим минимум 100 тыс. попыток заражения. А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п.. В итоге легко видеть, что получим десятки (если не сотни) миллионов вирусных инцидентов в сутки - и там как повезет, или что-то заблокирует малварь (сработает антивирус, Firewall, HIPS, грамотно настроенные привилегии, фильтры в браузере), или не повезет - и юзер будет заражен. В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

Теперь берем жизненный цикл создания малвари:

1. зловредописатель придумывает концепцию и алгоритм (т.е. какую цель он преследует, создавая зловреда). Обычно современная концепция так или иначе предполагает получение прибыли (от рассылки спама, DDOS, кражи неких данных, махинаций с электронными платежами ...)

2. реализует концепцию - в результате создается малварь, она тестируется, предпринимаются меры по защите от детекта малвари

3. производится распространение малвари - в итоте начинаются заражения ПК. За счет тотальной интернетизации распространение может идти очень быстро

4. малварь отлавливается и попадает в вирлабы (за счет "облаков" это бывает быстро) и в итоге начинает детектироваться - причем не важно, локально сигнатурно или путем тех-же облаков

5. зловредописатель видит, что его детище стали детектировать и распространение замедлилось, и зараженные ПК стали вылечиваться - и идет преход на п.п. 1 или 2

 

Сейчас вся эта цепочка может прокручиваться очень быстро - и зловредописатель может "штамповать" новые разновидности зверей десятками в день, пытаясь бороться с детектами. Причем цепочка может и не замыкаться - написали например злодеи вымогателя, распространенили, какие-то деньги "отбили" и все - зловреда на свалку, делается новый.

И как следствие, если ранее вирлабы реагировали на каждое обращение (ибо их было немного), то сейчас штучные обращение превлащаются в лавину.

А дальше моя "мысль вслух": за счет облаков возможна элементарная проверка - что это, некая популярная малварь, или что-то штучное и экзотическое, которого ни у кого на реальных ПК нет. И можно или все силы отдавать в первую очередь на борьбу с чем-то новым и популярным, а не с неизвестной экзотикой (она конечно тоже будет обработана, но вопрос именно о том, что лучше делать аналитику - быстренько сделать качественную эвристику на новую форму опасной малвари, и спасти миллионы ПК ... или потратить тоже время на изучение штучного перепакованного вручную семпла, к тому-же детектируемого ...)

Изменено пользователем Zaitsev Oleg
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Мне думается Cihihen просто жаждит получить ЦП за флуд. Товарищи модераторы почему бы не удовлетворить желание пользователя?

 

 

А так как на многие сайты заходит далеко не один человек, то эта цифра быстро возрастет до миллионов заражений в сутки. Прибавим к этому великое множество зараженных флешек, сетевых и IM червяков (которым посещение заразного сайта не требуется) и т.п..
Ну сам факт посещения зараженного сайта еще не гарантирует заражения. Изменено пользователем kos1nus
Ссылка на комментарий
Поделиться на другие сайты

В том-же 911 сейчас бывает от 150 новых заявок в день и 1500 в пике (в среднем 250-300 в сутки).

В сеть выходят миллионы пользователей и 250 - 300 заявок, а вредоносов выпускают миллион в день. Реально получается из миллиона вредоносов достигают цели ничтожные доли процента, заражения происходят в основном при нажатии фальшивой рекламы и добровольным согласием на установку таких же фальшивых кодеков и антивирусов. Исходя из этих цифр и складывается мнение.

Это мое личное мнение основанное на том, что при серфинге в интернете годами вирусов на компьютер не залетало, по крайней мере проверки разными продуктами подтверждают это.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VladNotTheVampire
      От VladNotTheVampire
      Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
       
      Ручками найти не удалось.
      Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.
      CollectionLog-2024.12.02-13.47.zip
    • qvotop
      От qvotop
      Здравствуйте. Есть такая проблема, что, когда открываю кс2, падает скорость интернета. Проблеме уже 4 месяца. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, но он ничего не нашёл. Создавал такую же тему в другом разделе ( 
       ) ,сказали что здесь помогут
    • qvotop
      От qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
    • Сергей98352247
      От Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
    • Elly
      От Elly
      Друзья!
       
      Наш клуб много лет подряд увлекательно отмечает Новый Год. Предлагаем вам пройти новогоднюю викторину о праздновании клубом Нового Года и узнать, какие мероприятия проводились в разные периоды. В ходе викторины участникам необходимо будет предварительно разгадать кроссворд и ответить на вопросы о том, какая буква в правильно разгаданном кроссворде должна находиться на соответствующем месте (обозначенном следующим образом: клетка закрашена красным, на ней в кружке красная цифра), а также составить из этих букв одно слово.

      Новогодний кроссворд.pdf
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 600 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 22 декабря 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak(пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
×
×
  • Создать...