Сергей Ильин

Время анализа вирусов в лаборатории

В этой теме 22 сообщений

Друзья, нашел очень интересную ссылку

http://www.kaspersky.com/viruswatchlite

Это монитор деятельности вирусной лабориатории Касперского.

Видно время выпуска сигнатуры (изменено С.И.) и время выпуска в обновления (каждый час). В среднем я прикинул у аналитиков на анализ одного вируса уходит минут 15.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, у нас конечно не так прикольно, но что то похожее. Реально аналитику на добавление вируса/червя/трояна требуется от 5 минут до ... много часов (в зависимости от сложности заразы). Основная масса приходящей сейчас заразы трояны (95%), всё остальое это "черви пятиминутки" и "вирусы пятнадцати минутки" (крайне редко что то сложное, заслуживающее отдельного внимания).

Проблема не в сложности вирусов, а в их объёме (при большой нагрузке вирус/червь/троян может сутки/другие пролежать в очереди и это решается только уровнем автоматизации и количеством аналитиков).

Профи, которые в "военное время" занимаются сложными вирями, в относительно спокойное время занимаются реверсивным программированием (вскрывают всякие упаковщики, криптовщики и т.п.).

В день небольшой АВ-лаб с помощью различных средств автоматизации анализа, аЦкой работы и неудержимого энтузиазма добавляют в базы от 200 до 700 записей (это статистика последних 3-х месяцев). Конечно, если это всё разделить на количество рабочих часов АВ-лаб, запонение получается плотненькое, но помните старое выражение:

" Есть три вида лжи: ложь, наглая ложь с статистика"

Это я к тому, что цифры все верные, но расчёт среднего времени добавления не совсем точный ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вирусным аналитикам не позавидуешь, эдакий конвеер получается, сидишь долбишь вирусы дни на пролет.

У меня появилсь одна интересная мысль. Ведь мощности любой вирусной лаборатории ограничены, т.е. реально за час они могут проанализировать N вирусов. Поэтому если создать волну из большего количества новых вирусов и их модификаций, то часть из них получит больше времени на распространение, а значит эффективность атаки будет больше.

Интересно, предусмотрен ли в вирлабах запас прочности для такого рода ситуаций и возможно ли такое в принципе?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

Участвуют более-менее все. Вопрос только в том, сколько контактов с коллегами у той или иной компании. Нет как такового одного узла, в котором обмениваются все-все, хотя несколько специализироющихся на этом организация и ассоциаций таки есть.

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Почти, но не всегда. Есть компании который предпочитают давать своё имя (или политика такая, или аналитикам лень смотреть как конкуретны именуют этот вирь). Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

В мире этим уже занимаются: http://cme.mitre.org/

Проблема в том, что имя в виде номера не информативно. Такие имена будут сложнозапоминаемыми и ориентироваться в мире информационной безопасности будет ещё сложнее (особенно рядовым пользователям).. Скорее всего такая система нумерации в будущем появистя, но будет существовать параллельно с именованием вирусов различными АВ-компаниями.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

В основном мы следуем классификации KAV потому как лично мне она кажется наиболее логичной и правильной.

Сами же имена придумываются или берутся у других если уже кто-то дал имя.

придумываются совершенно разными способами.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У вирусных аналитиков есть уникальная возможность. Они могут называть новые, только что детектированные вирусы, в честь кого-нить из своих знакомых или родствеников.

По аналогии, как в штатах ураганы называют :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В среднем я прикинул у дятлов на нализ одного вируса уходит минут 15.

На приведенном сайте нет информации, которая бы позволила такой вывод. Там две колонки цифр: время, когда сигнатура добавлена и время, когда обновление опубликовано в Инетрнете. Каждый вмрус при этом может анализироваться и 5 мин. и 5 недель.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

На американском сайе Trend Micro когда-то создали систему, которая в on-line позволяля посмотреть, что в данный момент делается с отправленным на анализ образцом. Крисивая графическая схема (граф) с мигающими узлами.

Она так и не заработала! У нее мигал первый узел "Pending" и через некоторое время последний "Pattern released". Верятно, что свести работу 700 сотрудников TrendLabs (распределенных по всему миру!) в прокрустово ложе единой схемы не получилось.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Это не данные будут противоречивые, суждения всякого встречного и поперечного, который будет строить на их основе нездоровые спекуляции.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

Это не "гарантирует". Может ли администратор убедиться, что все обновлено? (это наверное вопрос для другого треда)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Ты не прав. Были. Правда не в ЛК, а почти год назад было у Dr Web. После очередного обновления их корпоратив просто отказался работать ВООБЩЕ! Соответственно мне пришлось разговаривать со службой поддержки, ругался долго, почти неделю.

Сразил наповал их ответ! Через неделю (после длинной ругани) мне предложили ВРУЧНУЮ снести их антивирусы, потом поставить заново и проапдейтить, а это обновление пропустить! Здорово было 300 компов в трех разных зданиях! Долго заказчики ругались!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Были, но очень быстро исправлялись.

Фолсы бывают у всех.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS