Сравнение скорости реагирования вирлабов на новые угрозы

[Fixxxer® 65]

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.

[Dmitriy K 603]

1) VirusBuster ведет Ticket List в котором показано текущее состояния запроса.

2) Кроме страницы отправки образца (на сайте тех.поддержки) есть и специальная персональная страница.

[Fixxxer® 65]

1) VirusBuster ведет Ticket List в котором показано текущее состояния запроса.

2) Кроме страницы отправки образца (на сайте тех.поддержки) есть и специальная персональная страница.

Спасибо за внимание к нашей работе, Дмитрий!

Если Вы читали статью, то заметили, что в нашем исследовании всем предоставлялись абсолютно равные условия. У нас не было ресурсов постоянно мониторить какие-то кабинеты, тем более, что свой e-mail мы честно указали. Как и честно указали, что VirusBuster спустя неделю гарантированно добавляет правильный детект на зловред (а не на пустышку).

[RuNetting 0]

Там у вас много опечаток в названиях.

Еще вы написали, что Emsisoft заимствует название у Икаруса, на самом деле они используют их движок.

[Danilka 678]

Ну что можно сказать:

Статья названо немного не корректно, ибо:

1) Тут проверялось не сколько скорость, сколько порядок работы вирлаба (кто отвечает, а кто кладет "болт").

2) Теперь про сам детект: как он проверялся (что его добавили?) по VT? Если да, то это не верно. Если установленной последней версией продукта того или иного вендора с обновленными базами, то это нужно было указать (но этого нет).

Каков вывод:

По сути проверялся пункт 1. Так как наличие детекта проверялось не корректно. Ведь в продуктах используется облако, эвритик и т.п.

[Fixxxer® 65]

Danilka, ну если речь о представляемом Вами продукте - то Вы и "положили болт" и не добавили детект. По счастью именно Ваш продукт был установлен у меня на одной из систем (KIS 2010 со всеми обновлениями, W7 Ultimate SP1). На момент окончания тестирования он не засекал ни одной угрозы.

Касательно опечаток - будем благодарны за конкретные замечания. Подобный обзор - своеобразный "почин" (надеемся, что не первый и последний), в дальнейшем постараемся всё учесть и исправить.

[Danilka 678]

Fixxxer®, яж специально указал про последнюю версию. 2010 никак не последняя...

[Fixxxer® 65]

Fixxxer®, яж специально указал про последнюю версию. 2010 никак не последняя...

Извините, но она - Ваша и официально поддерживаемая. Исследовались антивирусы - как говорится в обзоре, проактивка эффективно предотвратит эту угрозу. Да и резидент тоже - он перехватит запуск дроппера.

Потому речь - именно о сканере, который в наших образцах ничего не заметил.

Вам виднее, но я сомневаюсь, что в сканерах всех версий продуктов "Лаборатории Касперского", используемых в данный момент, используются различные базы. Что касается KSN - в 2010-м он есть и был включен.

[Danilka 678]

Fixxxer®, Вы действительно полагаете, что в 2012 и в 2010 один и тот же уровень детекта и принцип работы KSN?

[Fixxxer® 65]

Fixxxer®, Вы действительно полагаете, что в 2012 и в 2010 один и тот же уровень детекта и принцип работы KSN?

2012? А что это за продукт? У Вас на офсайте о нём ни слова нет! Новая бета-версия? Извините, но в исследовании брали участие только официальные коммерческие релизы.

Только что (вот прямо сейчас!) проверил WKS 6.0.4.1424 a.d.f, поскольку на работе есть и такое - детектов нет. Вы бы уже перед спором как-то подсуетились, что ли McAfee вот вчера сразу детект добавил после публикации (да только поздно, мы закрыли приём ответов) - а Вы вот только спорите... Так McAfee хотя бы облаком реагировали до этого, Вы же вообще молчок

[Danilka 678]

2012? А что это за продукт? У Вас на офсайте о нём ни слова нет! Новая бета-версия? Извините, но в исследовании брали участие только официальные коммерческие релизы.

Только что (вот прямо сейчас!) проверил WKS 6.0.4.1424 a.d.f, поскольку на работе есть и такое - детектов нет. Вы бы уже перед спором как-то подсуетились, что ли McAfee вот вчера сразу детект добавил после публикации (да только поздно, мы закрыли приём ответов) - а Вы вот только спорите... Так McAfee хотя бы облаком реагировали до этого, Вы же вообще молчок

1) http://www.kaspersky.com/internet-security...hp_kis_sfe_area - это официальный глобальный релиз.

2) С Вами никто не спорит, я уже написал свое личное мнение выше. А то, что вирлаб не ответил\не добавил сигнатуру - это уже их компетенция и я за них комментировать не могу.

[Fixxxer® 65]

1) http://www.kaspersky.com/internet-security...hp_kis_sfe_area - это официальный глобальный релиз.

Там я вижу ссылку на непонятном мне языке и цены в непонятных мне деньгах. Если глобальный - то почему тут вот так:

А то, что вирлаб не ответил\не добавил сигнатуру - это уже их компетенция и я за них комментировать не могу.

Ну раз это не Ваша компетенция - тогда действительно, разговор не о чём

[Fixxxer® 65]

А Вы можете спокойно перейти по ссылкам окончательных отчётов VT Файл один и тот же - но одни считают его вредоносным, а другие - нет?

Могу прямо сейчас выложить лог анализа Anubis, там будет та же md5 и Вы увидите механизм заражения. Сами файлы выкладывать не буду - они только для компетентных специалистов, мы не занимаемся распространением новых зловредов.

[Danilka 678]

Там я вижу ссылку на непонятном мне языке и цены в непонятных мне деньгах. Если глобальный - то почему тут вот так:

Потому что русская локализация не продается пока. А раз Вы взялись тестировать все продукты, то извольте брать их на официальном международном языке - английском. Тем более у некоторых вендоров вообще нет русскоязычного продукта.

Ну раз это не Ваша компетенция - тогда действительно, разговор не о чём

Если Вы подразумевали проверить скорость реакции вирлабов разных компаний таким образом, то Ваша задумка не удалась, так как проверять по ВТ скорость вирлаба это Если у Вас стоял каждый из проверяемых продуктов на тест стенде, то тогда не понятны претензии к языку. Хотя что говорить, тест стендов со всеми тестируемыми продуктами у Вас не было.

Единственное, что Вы "проверили" - это ответы вирлабов в данный промежуток времени (период тестирования) на Ваши запросы, созданные по нескольким каналам. Это ОЧЕНЬ ценно! Спасибо за Ваш труд!!!

[Зайцев Олег 402]

Могу прямо сейчас выложить лог анализа Anubis, там будет та же md5 и Вы увидите механизм заражения. Сами файлы выкладывать не буду - они только для компетентных специалистов, мы не занимаемся распространением новых зловредов.

Пошлите их "киберу", если не жалко - это можно сделать, поместив семплы в карантин AVZ и отправив через формочку http://z-oleg.com/secur/avz/upload_qr.php (или через форму загрузки чистых на VI http://virusinfo.info/index.php?page=uploadclean (разницы никакой, в первом случае результат не публикуется, во втором - в теме VI будет размещен ответ с краткой статистикой по файлам).

[Fixxxer® 65]

NT7, прошу: раз и два. Всё работает.

Danilka, простите, но с Вами я в виду некомпетентности спорить не стану. Техрелизы нами не тестировались. ЛК ранее новые версии для Японии прежде Европы и СНГ - нам что, японский учить?

Подведём итоги и не будем уходить от темы. Ваш работодатель соизволил зарегистрировать два обращения - и не обработать их. Посмотрите по базам: KLAN-135199576, KLAN-135200440, я уже не говорю про KLAN-135213608, который пошёл через vendors@malware-research.co.uk. Прошла неделя - ни один из них обработан не был. Прошло больше недели - и два актуальных, поддерживаемых продукта Вашей организации с актуальными базами не находят вирусы. О чём спор?

Олег, совершенно нежалко - я указал номера "кланов", можете экспериментировать. Вы же, надеюсь, представляете аналитиков?

[akoK 75]

А раз Вы взялись тестировать все продукты, то извольте брать их на официальном международном языке - английском.

Немножко подменили понятия. Основой для тестирования бралась работа вирлаба, а не продукта.

ак как проверять по ВТ скорость вирлаба это...

Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

[Danilka 678]

Danilka, простите, но с Вами я в виду некомпетентности спорить не стану. Техрелизы нами не тестировались. ЛК ранее новые версии для Японии прежде Европы и СНГ - нам что, японский учить?

Отговорка не принята.

[Fixxxer® 65]

Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

В отчётах видно даты обновлений баз каждого движка. Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ. Я уже не говорю про актуальную корпоративную версию WKS. Интересно, знают ли корпоративные пользователи продуктов ЛК об этой особенности?

[Danilka 678]

Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

А как Вы проверяли, что добавили детект? Если тест стендов не было.. Ждали ответ от вирлаба?

Немножко подменили понятия. Основой для тестирования бралась работа вирлаба, а не продукта.

Я уже написал, что именно "проверили":

Единственное, что Вы "проверили" - это ответы вирлабов в данный промежуток времени (период тестирования) на Ваши запросы, созданные по нескольким каналам. Это ОЧЕНЬ ценно! Спасибо за Ваш труд!!!

В отчётах видно даты обновлений баз каждого движка. Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ. Я уже не говорю про актуальную корпоративную версию WKS. Интересно, знают ли корпоративные пользователи продуктов ЛК об этой особенности?

Для Вас это новость? Да и 2010 активно не продается в СНГ, продается 2011 в СНГ..

[akoK 75]

Ждали ответ от вирлаба?

По счастью именно Ваш продукт был установлен у меня на одной из систем (KIS 2010 со всеми обновлениями, W7 Ultimate SP1). На момент окончания тестирования он не засекал ни одной угрозы.

Я не знаю как и ответить

Я уже написал, что именно "проверили":

Если мы проверяли только письма, то почему еще нет детекта?

[Danilka 678]

Итог:

Тест - хрень!

Если мы проверяли только письма, то почему еще нет детекта?

Вам уже все расписали по полочкам, если не понятно - то извиняйте, помочь не смогу. Может другие объяснят "доступнее".

[Fixxxer® 65]

Danilka, итак, подведём итоги

1. WKS сигнатурно не определяет ряд вирусов, которые сигнатурно определяет KIS 2012.

2. Обработки явно вредоносных KLAN-135199576, KLAN-135200440, KLAN-135213608 не было в течение 10 дней с момента подачи, и судя по Вашим ответам - и не будет.

3. Вы не относитесь к подразделению вирусных аналитиков и не компетентны в этих вопросах.

Ну и пункт от Вас - всё, что мы пишем, это - хрень.

Извините, напрашивается вот такая картинка:

Годы идут, а Вы не меняетесь... Ладно, не буду тратить время и подожду представителей Ваших вирлабов.

[K_Mikhail 807]

Fixxxer®

Отзываюсь на твой призыв осилить выводы. Пожалуйста, убеди меня их осилить после фразы

5. ВЫВОДЫ.

После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов.

Извини, но эта фраза является ключевой (вольно или невольно это было сделано или нет, но, со стороны авторов, именно так и получилось) для всей статьи. После неё можно вообще ничего не читать, ибо все дальнейшие выкладки попросту нивелированы.

На счёт скорости обработки (буду говорить только за VBA32, Dr.Web и KL, потому как в эти конторы я отправляю семплы).

1. На счёт отправки семплов через веб-фейс KL: там в явном виде пишется "Если у вас нет кода активации, файла ключа, или срок ответа вам не важен, воспользуйтесь формой ниже. ". Иными словами, когда приходит от робота номер KLAN-а с информацией о проверке присланного файла и уведомлением о том, что файл передан на анализ аналитику. В том же заголовке присутствует маркер [L:0], обозначающий, что у тебя лицензии нет, приоритет обработки -- низкий. Если [L:1] -- приоритет высокий. Можно долго спорить на счёт того, насколько хорош\удобен\демократичен такой способ со стороны пользователя, пожелавшего отправить семпл на добавление в KL, но, каждый производитель сам для себя выбирает схему взаимодействия с людьми. Как я понимаю, у авторов исследования L=0. Но этот момент в исследовании не указан. Верно?

Локальный P.S. Такая схема, используемая в KL, ранее (много ранее) применялась в Dr.Web, когда он развивался "под крылом" "Диалог-Науки" -- для получения отзыва на свою отправку необходимо было обладать валидной лицензией. Пользователи ознакомительной версии и просто желающие помочь вируслабу семплом -- "варились" в общей очереди.

2. Dr.Web в его нонешнем состоянии. При отправке семпла в вируслаб происходит, как и в случае KL, его попадание на исследование роботу, который проверяет хеш файла по базе заведомо чистых файлов. Если такой хеш обнаруживается -- пользователю возвращается уведомление о том, что файл не представляет угрозы. Далее следует анализ файла и, в рез-те могут возникнуть следующие варианты: 1) Файл был обработан, но робот не добавил детект -- семпл остаётся на совести аналитиков. 2) Файл не был обработан по превышению лимита времени на анализ файла роботом. Файл остаётся на совести аналитиков или робот повторно его будет анализировать спустя некоторое время. 3) Файл обработан роботом, детект добавлен. Вариант 3) может произойти как спустя, допустим, 10 минут, так и спустя (с учётом 2) ) длительное время. На случай того, если тикет оказался необработанным, на оф.форуме Dr.Web есть отдельная ветка "Необработанные тикеты", куда может написать любой зарегистрировавшийся на форуме дрвебкома пользователь. Другое дело, что написание туда номера тикета не всегда помогает, но пользователь, во всяком случае, имеет возможность об этом сказать.

3. VBA32. Веб-форма отправки отсутствует, есть два почтовых адреса newvirus@ и feedback@. На newvirus@ отправляются файлы, которые точно являются вредоносными, и этот адрес обрабатывается роботом. Никаких уведомлений пользователь не получает. feedback@ обрабатывают люди, которые в ответ пишут вердикт на проанализированный файл.

Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ.

Это вполне нормальная ситуация для того производителя, который ведёт собственную разработку ядра. У того же Dr.Web-а в более новом ядре, чем сейчас наличествует в релизе, также может быть, что детектируется тот файл, который не детектируется релизным ядром. Встречается ситуация и обратная (тоже может быть из-за реорганизации вирусных баз, которую я упомяну чуть позже о тексту). Это связано исправлением каких-то ошибок распаковки, с добавлением поддержки новых упаковщиков и, как следствие всего этого, реорганизацией вирусных баз. В том числе, зачастую вместо 100 (к примеру сказал) записей, сделанных роботом, делают одну-две, которые будут детектировать всю сотню.

Как-то так... Поэтому, для подобного исследования необходимо знать определённые особенности работы каждого производителя по приёму и анализу вредоносных объектов. Какие я знаю -- я рассказал. Надеюсь, это не оказалось лишним для общей картины дискуссии.

[Юрий Паршин 330]

Посмотрите по базам: KLAN-135199576, KLAN-135200440, я уже не говорю про KLAN-135213608

Посмотрел. Даже специально поднял архив баз за 14-го июня. Напомню, что семплы были присланы в вирлаб 15-го июня.

Итак, релизный KIS2011 с базами от 14 числа. Все детектировалось на момент получения (сработала связка эмулятора с сигнатурами). Разумеется, детектируется и сейчас.

Ну какие тут еще могут быть комментарии

П.С. Что касается WKS - это продукт на старом движке, тем более который будет скоро заменен KES 8. Детекты для старого движка сейчас добавил.