Александр Гостев: Давать автографы - моя работа

[Ig0r]

А также вопросы с форума об авторе GpCode, Kido, Kaspersky Security Network, базе известных приложений и глобальных вирусных эпидемиях.

 

 

Можно смотреть в HD и стандартном качестве. Интервью беру второй раз, не серчайте сильно, на микрофон пока не накопил.

 

Текстовая расшифровка:

 

А.Г. – Александр Гостев, руководитель центра глобальных исследований и анализа угроз Лаборатории Касперского.

 

Kaspersky Club: В прошлом году вы объявили конец глобальных эпидемий. Эпидемия Kido – это исключение или закономерность? Возможно ли появление новых зловредов на его основе?

А.Г.: Это одновременно исключение и одновременно закономерность. Исключение в том, что в последние два-три года эпидемий таких масштабов мы не встречали. Закономерность после того как была обнаружена уязвимость подобного уровня, позволяющая написать червя. Собственно, к этому все и шло. Мы ещё в октября предупреждали пользователей о данной проблеме и настоятельно рекомендовали установить патч, но, как показывает время, история с Kido, более чем двух месяцев было недостаточно пользователям по всему миру, чтобы установить патч для Windows. Что касается эпидемий в целом, которые несколько лет назад закончились, на этот год в наших прогнозах мы ожидаем возвращение глобальных эпидемий. Kido – это только первая ласточка. Я думаю, что в том году эпидемий будет гораздо больше, чем в прошлом или позапрошлом. Эпидемий червей написанных не только на основе уязвимости, которую использовал Kido, но и новых уязвимостей, которые будут обнаружены.

Kaspersky Club: Уязвимость, которую использовал Kido, была известна с 2001 году и её даже закрывали?

А.Г.: Нет, уязвимость была известна с сентября 2008 года, когда её и обнаружили. В 2003 году была подобная по своему функционалу уязвимость, но совершенно другая, она была давным-давно исправлена. Эта появилась не так давно, видимо, в числе последних обновлений, в которых Майкрософт пыталась внедрить новую реализацию сетевых протоколов. Видимо, летом 2008 года эта уязвимость появилась, которая достаточно быстро была обнаружена, к сожалению, вирусописателями.

Kaspersky Club: Как Вы считаете Kido показал несостоятельность современного защитного ПО перед современными же угрозами? Или защита дырявой ОС в принципе невозможна?

А.Г.: Не очень понял, в чем заключается несостоятельность?

Kaspersky Club: Например, в том, что для удаления этого вируса требовалось загрузить специальную программу.

А.Г.: Антивирусную программу? Без антивируса удалить этот вирус довольно сложно.

Kaspersky Club: Было много сообщений на форумах, что у людей стояли антивирусы, но все равно они не могли удалить Kido.

А.Г.: Довольно рядовая ситуация, которая происходит сплошь и рядом. Посмотрите на результаты теста [вырезано цензурой] на лечение активного заражения, вы увидите насколько современные антивирусы способны справлять с активным заражением. Задача лечения активного заражения существует и антивирусные компании пытаются в разной степени с ней справиться: есть антивирусы, которые, вообще, не способны ничего вылечить, есть, которые способны вылечить половину, есть, которые способны вылечить 99%, но 100% современных вирусов взять и вылечить без единой проблемы я думаю не способен ни один антивирус.

Kaspersky Club: Вы знаете как лечение происходило у конкурентов? Они тоже выпускали специальные патчи?

А.Г.: Да, насколько я знаю в случае с Kido…

Kaspersky Club: Специальные программы для удаления.

А.Г.: Насколько я знаю, ещё никто не выпустил патчи. Специальные программы для Kido выпустили все антивирусные компании и не только потому, что их продукт испытывает проблемы с лечением Kido. В случаях эпидемий, антивирусные компании выпускают отдельную утилиту, чтобы защитить пользователей, у которых нет антивируса.

Kaspersky Club: Знаете ли Вы, что случилось с автором вируса GpCode? О них последнее время не слышно.

А.Г.: Я, надеюсь, что о них мы больше не услышим.

Kaspersky Club: О них, в принципе, неизвестно или это закрытая информация?

А.Г.: Та информация, которая была у нас поступила в соответствующие правоохранительные органы. Судя по тому, что больше новых версий GpCode, в последнее время, мы не встречали, возможно, эта информация оказалась правильной. Больше детально рассказать не могу: просто не знаю.

Kaspersky Club: Kido создает http-сервер, есть ли у вас какая-то программа для его удаления?

А.Г.: Зачем? Он использует стандартные средства Windows для того, чтобы поднять http-сервер, удаление его – это удаление легальных честных программ.

Kaspersky Club: Это не требуется?

А.Г.: Да.

Kaspersky Club: Вы можете сказать про белый список?

А.Г.: Наверное, да.

Kaspersky Club: ЛК заявляла, что она сотрудничает с компанией bit9, но почему-то в их базе некоторые программы есть, а KIS их не знает. С чем это может быть связано?

А.Г.: Это может быть связано с тем, что мы используем не всю базу компании bit9, точно так же как не вся наша база состоит из данных компании bit9. В настоящий момент, мы берем у bit9 порядка 10% от общего нашего белого списка. К сожалению, есть моменты, когда наш вердикт расходится с вердиктом bit9, bit9 считает этот файл чистым, мы же считаем его грязным. Речь, в первую очередь, идет о различных рекламных программах (Adware), которые иногда у bit9 проходят как чистые, с нашей точки зрения являются совсем нечистыми.

Kaspersky Club: Кто, в основном, занимается созданием белого списка?

А.Г.: По большому счету, сейчас базы whitelisting составляются при помощи наших пользователей, которые участвую в KSN (Kaspersky Security Network). Информация о файлах, которые пользователи загружают на компьютер, поступает к нам, анализируется, белые файлы собираются и добавляются в нашу базу. На 90% эта работа полностью автоматизирована. Многие файлы из разных источников добавляются нами вручную, либо мы получаем их от компаний-производителей.

Kaspersky Club: Можно узнать поподробнее о системе KSN, каким образом используется, отправляемая программой информация?

А.Г.: Например, для составления белых списков. Другой пункт – это сбор статистической информации: о том какие вирусы были обнаружены, откуда эти вирусы загружались, что они делали и т.д. и т.п… Третий – это наша скорость реакции. С помощью KSN мы в состоянии обнаружить новый вирус в течение одного часа с тех пор как он появился в сети и выпустить против него защиту, реализованную в рамках KSN без использования антивирусных баз в течение одной минуты. В течение минуты мы способны заблокировать запуск вредоносного кода на компьютере пользователей без реализации антивирусных баз как таковых! Если мы раньше хвастались своей скоростью реакции (1 час), сейчас это уже недостаточно. Мы выходим на скорость реакции, которая исчисляется минутами. Для этого и нужна KSN – это информация, которая нам поступает.

Kaspersky Club: KSN – аналог того, что вам присылают на почту?

А.Г.: Нет, совсем не аналог. С помощью KSN мы получаем информацию о имени файла, его размере, чем он упакован, в каком каталоге находится, откуда был загружен и т.д. и т.п. (Сам файл в ЛК не поступает –Авт.)

Kaspersky Club: Последний неформальный вопрос. Как Вы относитесь к тому, что к Вам подходят много людей и берут автографы?

А.Г.: Никак не отношусь. На самом деле, ко мне подходят не так много людей и автографы берет только фан-клуб: это случается пару раз в год и отношусь к этому… работа у нас такая. Пускай подходят, я не обижаюсь.

Kaspersky Club: Спасибо.

[Сергей 1]

есть антивирусы, которые, вообще, не способны ничего вылечить, есть, которые способны вылечить половину, есть, которые способны вылечить 99%, но 100% современных вирусов взять и вылечить без единой проблемы я думаю не способен ни один антивирус.

И к какой же категории относиться KIS и KAV?

 

Kaspersky Club: Kido создает http-сервер, есть ли у вас какая-то программа для его удаления?

А.Г.: Зачем? Он использует стандартные средства Windows для того, чтобы поднять http-сервер, удаление его – это удаление легальных честных программ.

Так это вирус или нет и может ли его удалить KIS/KAV 7 или 2009?

Изменено 13 февраля, 2009 пользователем Сергей 1

[C. Tantin]

И к какой же категории относиться KIS и KAV?

которые способны вылечить 99%

 

Так это вирус или нет и может ли его удалить KIS/KAV 7 или 2009?

ДА. Изменено 13 февраля, 2009 пользователем C. Tantin

[Сергей 1]

ДА.

 

Да это вирус или да антивирус может его удалить?

 

Строгое предупреждение от модератора C. Tantin

Предупреждение за флуд. Следующее будет в послужной список.

Изменено 13 февраля, 2009 пользователем C. Tantin

[Самогонщик]

Да это вирус или да антивирус может его удалить?

Тебе делать не хрена. Сказали что да это вирус и антевирус может удалить его

[пользователь]

Да это вирус или да антивирус может его удалить?

Да, kido вирус. Да, антивирус его может удалить.

[Гриша]

Да, kido вирус.

 

Kido червь

[Сергей 1]

Ты там вежливее разговаривай. Зачем тогда на официальном форуме есть ссылка на утилиту для удаления, если сам антивирус может это сделать?

Да, kido вирус. Да, антивирус его может удалить.

Спасибо за нормальный ответ. Повышу репутацию за это.

Изменено 13 февраля, 2009 пользователем Сергей 1

[пользователь]

За чем тогда на официальном форуме есть ссылка на утилиту для удаления, если сам антивирус может это сделать?

На этот вопрос Александр Гостев уже ответил слушаем/читаем внимательно.

[Гриша]

За чем тогда на официальном форуме есть ссылка на утилиту для удаления, если сам антивирус может это сделать?

 

Во время эпидемий всегда выпускаются отдельные утилиты, чтобы защитить пользователей у которых нет антивируса...

[C. Tantin]

Зачем тогда на официальном форуме есть ссылка на утилиту для удаления

Для помощи пользователям, у которых нет антивируса.