Эпидемия Trojan.Winlock и ее реальный масштаб

[truth 20]

Чем вы там упарываетесь ? я тоже таким хочу.

Там не случилось доказательства. Там приведена некоторая статистика по версии ЛК. Точной цифры общего количества пострадавших пользователей так ни у кого и нет.

Может я такой тупой. Но мне кажется, что для того, чтобы оценить более-менее точно общее количество пострадавших от винлоков по статистике ЛК, нужно по крайней мере достоверно знать сколько процентов российских компьютеров, подключённых к Интернету, покрывает KSN. Вернее, покрывало на январь 2010 года в нашем случае. Потом сделать скидку на то, что продукты ЛК не ловили 100% винлоков в январе. Только не нужно говорить, что ловили всё, ибо неправда. Доводилось видеть заражённые винлоком (живые, держал в руках) компьютеры с актуальными обновлёнными лицензионными продуктами от ЛК. Хотя и без этого понятно, что в январе 2010-го покрыть все модификации винлоков было малореально. Пропускали все и много.

[Сергей Ильин 1538]

Кроме того, можно привести количество уникальных посетителей, а не количество заходов. Но нам эти факты никто не предоставит. Ибо нефик. 5 млн. красивше и непонятнее.

truth, метод оценки количества зараженных, отталкиваясь от количества заходов на сайте-деблокеры, мне лично нравится. Это дает некий потолок, спрос же чем-то обусловлен.

Что касается пересчета кол-ва заходов в уникальные хосты, то можно смело умножать 5 млн. на 0.65, ошибка будет небольшой

[truth 20]

truth, метод оценки количества зараженных, отталкиваясь от количества заходов на сайте-деблокеры, мне лично нравится.

Рад, что хоть кому-то нравится, что я здесь пишу. Но это лишь одна из оценок, которую можно привести. Пока что из новых оценок я привёл две. Возможно, можно ещё чуток достать.

Что касается пересчета кол-ва заходов в уникальные хосты, то можно смело умножать 5 млн. на 0.65, ошибка будет небольшой wink.gif

Да, если такова статистика по сети, можно принять и такой коэффициент. Но также необходимо учитывать неравномерность распространения блокировщиков по месяцам. Это видно по графикам и ЛК, и Dr.Web.

[alexgr 556]

вопрос - в своих допущениях (или ограничениях) вы какой прогноз применяете - оптимистический или пессимистический?

То есть - к чему весь сыр - бор? Доказать, что были миллионы заражений? или миллионы криворуких пользователей? или то, что старые технологии не в состоянии противостоять таким угрозам? Или сколько денег заработали авторы вредоносов? вы уж определитесь как то

[truth 20]

alexgr, я свои цели уже определял выше. Я хочу увидеть фактическое количество пострадавших пользователей по месяцам. И я хочу увидеть материальный ущерб пострадавших пользователей (про моральный городить не будем, не до этого).

Попутно увидел, что АВ-компании не в состоянии ответить на эти мои вопросы, но сомневаются по поводу оценок, полученных на свободно доступных из СМИ данных. То, что по ходу я одни данные некоторым образом подтвердил (да, рассчётами - фактов ни у кого нет), а в других данных нашёл некоторые несоответствия - так уж получилось, извиняйте.

Цели совпадают с вашими в той части, что вы хотите фактов, но не с целью их получения, чтобы кому-то насолить или сказать "ааа, вот здесь вы пользователей дурачите, дурачите, дурачите!", а чтобы понять, с чем имеем дело и на что рассчитывать.

Каждый пиарится как может. Просто этот процесс увлекательный. Почему бы его по ходу не прокомментировать.

[Umnik 997]

Доводилось видеть заражённые винлоком (живые, держал в руках) компьютеры с актуальными обновлёнными лицензионными продуктами от ЛК.

А они разве не перекрывают доступ в сеть?

[truth 20]

А они разве не перекрывают доступ в сеть?

Угу. Смешно. Обновлявшиеся до заражения. Но не "базы не обновлялись 287 дней".

[alexgr 556]

назовите продукт, который не замазан этим? И....?

[truth 20]

И....?

...и поэтому написал, что все пропускали. Но в данном конкретном случае я писал, что KSN не доказывает отсутствие миллионов винлоков в январе. Итого, у нас получается разброс где-то между 200 000 (собранных с покрытых KSN компьютеров на январь 2010 года с известными продуктам ЛК блокировщиками, которые детектятся как Ransom) и где-то 6 500 000 (по цифрам из открытых источников). Первая цифра явно занижена. Вторая, наверное, завышена. Истина, наверное, где-то посередине. Только не думайте, что предлагаю сложить 200 тыс., 6,5 млн. и разделить на 2.

[Umnik 997]

truth

Ох ты Боже мой. Чем было получено 6,5 лямов?

[truth 20]

Ох ты Боже мой. Чем было получено 6,5 лямов?

То же самое могу, увы, сказать про KSN. Обе цифры малореальны. Одна явно занижена, другая - явно завышена. Но мы видим теперь некоторую вилку.

Что такое 200 тыс. - я уже тоже рассказал.

[Umnik 997]

truth, KSN - это технология, которая есть и работает. Какой технологией получения статистики выплыла эта цифра?

[truth 20]

truth, KSN - это технология, которая есть и работает.

Я не сомневаюсь, что эта технология есть и работает. Но насколько эта технология более точно может сказать, сколько заражённых блокировщиками пользователей было всего в январе 2010 года? Если непонятно с первого раза, могу повторить.

Мне кажется, что для того, чтобы оценить более-менее точно общее количество пострадавших от винлоков по статистике ЛК, нужно по крайней мере достоверно знать сколько процентов российских компьютеров, подключённых к Интернету, покрывает KSN. Вернее, покрывало на январь 2010 года в нашем случае. Потом сделать скидку на то, что продукты ЛК не ловили 100% винлоков в январе.

Добавлю, что не все блокировщики (уже в январе) определялись ЛК как Ransom. Я видел много детектов блокировщиков у ЛК по упаковщикам.

Т.е. снова видим несколько достаточно неопределённых коэффициентов. Соответственно, оценка получится такой же точной и доказательной, как и мой первый показанный здесь расчёт.

Какой технологией получения статистики выплыла эта цифра?

Мой самый первый расчёт, выложенный в этой теме. Он достаточно прозрачен. Не всегда нужны технологии для того, чтобы что-то посчитать. Если Вам кажется, что цифры, на которых сделан расчёт, не соответствуют действительности, приводите факты - будем разбираться с СМИ, задавать им вопросы, доказывать, что они нагло врут. А у меня для этого оснований пока что нет. Если МТС заявляет о 10-15% мошеннических SMS-ок среди всех платных SMS-ок, то мне кажется, что на самом деле эта цифра может быть больше. Ибо зачем МТС завышать эту цифру?

Далее. Если вам кажется, что винлоки - это менее 20% мошеннических SMS-ок, то посмотрите, о каком в основном типе мошенничества предупреждают пользователей на страницах своих сайтов сотовые операторы и агрегаторы коротких номеров. И поймёте, что 20% - это на самом деле не предел.

И так далее. Вы думаете, что расчёт высосан из пальца, но это далеко не так.

Единственная цифра, на счёт которой я сейчас сомневаюсь (её сложно оценить по имеющимся данным) - какой процент людей на самом деле при блокировке системы отправляют SMS-ки для получения кодов разблокировки. Она явно менее 20%, и это было для меня открытием.

P.S. Я вижу какие-то обиды по поводу технологии KSN, и прошу их оставить, ибо я не пытаюсь опорочить это замечательное и нужное для науки достижение, но если вы хотите показать, что я где-то в рассчётах не прав или хотите показать, что KSN лучше что-то доказывает в деле определения ущерба от блокировщиков или количестве пострадавших пользователей - прошу это доказывать собственными рассчётами, а не повторять, что in KSN we trust.

[Umnik 997]

Мне кажется, что для того, чтобы оценить более-менее точно общее количество пострадавших от винлоков по статистике ЛК, нужно по крайней мере достоверно знать сколько процентов российских компьютеров, подключённых к Интернету, покрывает KSN

Без малого 50% используют продукты ЛК (пруф есть прямо на АМ). 5% используют настройки не по умолчанию, значит лишь доля из 5% отключает KSN.

Потом сделать скидку на то, что продукты ЛК не ловили 100% винлоков в январе.

Еще раз повторяю - при запуске даже неизвестного винлока его хеш уходит в облако. Его HIPS отсылает. Плюс после деактивации винлока его файл остается в системе и после обновления баз с вероятностью, близкой к 100% поймается. Сразу ли, через 3 дня ли, не важно. И снова информация об этом будет отправлена по KSN.

Добавлю, что не все блокировщики (уже в январе) определялись ЛК как Ransom.

Не имеет значения. Аналитик ЛК знает, локер это или не локер и не обязательно смотреть на ранзом-детект. Ранзомы у ЛК - это не только локеры, между прочим.

Я видел много детектов блокировщиков у ЛК по упаковщикам.

И они также уходили в облако, добавляя статистику.

Не всегда нужны технологии для того, чтобы что-то посчитать.

Посчитать можно и в уме, да. А где цифры взять? Ну, кроме как с потолка?

Дальше твои мысли повторяют одно и тоже: "я прав, я правильно рассчитывал, мои цифры практически точны". Хотя уже 2 страницы пытаются тебе пояснить, где ты ошибаешься. А ошибаешься в каждом своем допуске.

Расчетов я приводить не будут: Алекс дал ссылки на все готовое.

[truth 20]

Без малого 50% используют продукты ЛК (пруф есть прямо на АМ).

Т.е. вы хотите сказать, что в январе 2010 года почти 50% компьютеров, подключённых к Интернету в России имели на борту лицензионный антивирус от ЛК, и только 5% из них не отправляли данные в облако? Дайте мне такой пруф-линк.

Аналитик ЛК знает, локер это или не локер и не обязательно смотреть на ранзом-детект.

Аналитики ЛК вручную обрабатывают всё, что поступают в облако, чтобы узнать общую ситуацию по винлокам?

Посчитать можно и в уме, да. А где цифры взять?

Я источники все приводил. Это не серьёзно.

Хотя уже 2 страницы пытаются тебе пояснить, где ты ошибаешься. А ошибаешься в каждом своем допуске.

Я видел сомнения от людей, которые мало занимались блокировщиками. Опровержений не видел. Если вы можете собрать их в кучу, приведите, пожалуйста.

Расчетов я приводить не буду

То-то и оно.

Алекс дал ссылки на все готовое.

Я ходил по ссылке. Заголовки на графиках из того топика: Trojan-Ransom, Trojan-Ransom, Trojan-Ransom, Trojan-Ransom, NetSky.

Видимо, то была статистика не из KSN.

[Umnik 997]

Т.е. вы хотите сказать, что в январе 2010 года почти 50% компьютеров, подключённых к Интернету в России имели на борту лицензионный антивирус от ЛК, и только 5% из них не отправляли данные в облако? Дайте мне такой пруф-линк.

Нет, не хочу и не говорю. Перечитай, пожалуйста, мои посты еще раз. Сколько ошибок в своем предложении найдешь?

Аналитики ЛК вручную обрабатывают всё, что поступают в облако, чтобы узнать общую ситуацию по винлокам?

Им нужен только хеш, чтобы понять, известное ли это приложение или неизвестное. Если известное, то чистое ли, ограниченное ли, недоверенное ли. Если недоверенное, то почему. Все это можно сказать по хешу.

Я источники все приводил. Это не серьёзно.

Ну вот напишет в пьяном угаре какой-нибудь ученый на заборе "Светка не дает". Я смогу ссылаться на это как на источник?

Опровержений не видел. Если вы можете собрать их в кучу, приведите, пожалуйста.

В очередной раз вынужден тебя отправить в начало темы и попросить ее перечитать.

Видимо, то была статистика не из KSN.

Ну спроси у него, откуда статистика.

[truth 20]

Нет, не хочу и не говорю.

А сколько тогда компьютеров, подключённых к Интернету в январе в России, было покрыто KSN? Без этой цифры дальше говорить невозможно.

Им нужен только хеш, чтобы понять, известное ли это приложение или неизвестное. Если известное, то чистое ли, ограниченное ли, недоверенное ли. Если недоверенное, то почему. Все это можно сказать по хешу.

Это я уже понял. Но я не могу понять, как этот скилл вирусных аналитиков ЛК доказывает определённый масштаб распространения блокировщиков в России. Не могу увязать.

Ну вот напишет в пьяном угаре какой-нибудь ученый на заборе "Светка не дает". Я смогу ссылаться на это как на источник?

Откровенная глупость. Если бы кто-то написал, что у МТС 10-15% платных SMS-ок - мошеннические, а на самом деле там 1%, я думаю, что разгорелся бы нешуточный скандал. А эта цифра перепечатана надцатью СМИ и формулировка там "МТС оценивает", т.е. от их имени.

В очередной раз вынужден тебя отправить в начало темы и попросить ее перечитать.

С начала темы не было того расчёта, что я предложил, как и тех опубликованных в СМИ данных, что я привёл.

Ну спроси у него, откуда статистика.

Я спрашиваю у всех, а меня отправляют на какие-то графики по Trojan-Ransom, хотя тут же говорят про хэши, что "не только Ransom..." и "Ransom - это не только...".

Не стоит меня и других путать, а потом говорить, что уже 4 страницы доказываем, а ты всё не веришь. Ибо это не так. Доказательств никаких не вижу.

Еще раз повторяю - при запуске даже неизвестного винлока его хеш уходит в облако. Его HIPS отсылает.

На это ещё могу сказать.

HIPS в январе от винлоков помогал весьма посредственно. А 3 дня с заблокированной системой редкий пользователь останется.

[Umnik 997]

А сколько тогда компьютеров, подключённых к Интернету в январе в России, было покрыто KSN?

Понятия не имею.

Без этой цифры дальше говорить невозможно.

Дык А чего тогда говорим и говорим про миллионы в январе?

Это я уже понял. Но я не могу понять, как этот скилл вирусных аналитиков ЛК доказывает определённый масштаб распространения блокировщиков в России. Не могу увязать.

Они видят его просто %) Масштаб этот. И открыто говорят в этой теме, что миллионы - это бред. И графики прикладывают.

Откровенная глупость.

Да конечно глупость! А если бы ученый был трезв? Он же как-то получил данные. Где источник?

А эта цифра перепечатана надцатью СМИ и формулировка там "МТС оценивает"

Во-первых, это СМИ. Что уже говорит нам. Во-вторых, почему ты упорно связываешь эти вот данные МТС с винлоками? Ты делаешь допуски для допусков раз за разом. МТС видит такие цифры, хорошо. Только черт его знает, что под ними скрывается. Нормальный ответ в этом вопросе могут дать антивирусные компании, которые имеют механизмы сбора статистик - Симантек, ЛК, возможно ЭСЕТ.

С начала темы не было того расчёта, что я предложил, как и тех опубликованных в СМИ данных, что я привёл.

Зато в теме были факты по прямому вопросу - распространение вредоносов.

HIPS в январе от винлоков помогал весьма посредственно. А 3 дня с заблокированной системой редкий пользователь останется.

Ну елки-палки, когда ты будешь читать и понимать написанное? Плевать, помогал или нет в данный момент. Хеш ушел - это главное. Он попал в статистику. Понимаешь?

[Porco Rosso 0]

Truth, это что, очередной вброс?

[truth 20]

Они видят его просто %) Масштаб этот. И открыто говорят в этой теме, что миллионы - это бред. И графики прикладывают.

Графики говорят со всем не то, что слова, которые пишутся и противоречат высказываниям.

Да конечно глупость! А если бы ученый был трезв? Он же как-то получил данные. Где источник?

Хватит галиматью писать. В новостях цитировался первоисточник. МТС.

Нормальный ответ в этом вопросе могут дать антивирусные компании, которые имеют механизмы сбора статистик - Симантек, ЛК, возможно ЭСЕТ.

Не могут. Потому что чтобы экстраполировать их данные на большую область (в нашем случае Россию) необходимо делать "допущения для допущений". Кроме того, никто в первом квартале-2010 не обеспечивал 100%-ый детект (включая HIPS) блокировщиков. Поэтому нормального ответа не получается.

Хотя да, есть хитрое слово "хэш", но и оно не позволяет данные KSN перекинуть с точностью 100% на всю Россию.

Ну елки-палки, когда ты будешь читать и понимать написанное? Плевать, помогал или нет в данный момент. Хеш ушел - это главное. Он попал в статистику. Понимаешь?

Понял, что вы хотели сказать. Но необходимо сделать ещё несколько допущений для того, чтобы получить информацию о всех блокировщиках в России.

Цитата(truth @ 06.07.2010, 11:34) *

А сколько тогда компьютеров, подключённых к Интернету в январе в России, было покрыто KSN?

Понятия не имею.

И что тогда видят аналитики, которые видят только то, что в KSN, но не могут сказать, насколько велика KSN в масштабах России?

Сколько было подключено компьютеров к KSN в первых трёх месяцах 2010-го года - это тоже, видимо, цифра за семью замками.

О чём мы говорим?

[Виталий Я. 859]

Без малого 50% используют продукты ЛК (пруф есть прямо на АМ). 5% используют настройки не по умолчанию, значит лишь доля из 5% отключает KSN.

Начиная с какой версии в продуктах ЛК есть KSN? Продукты без KSN уже не поддерживаются?

UPD: Мячин, Гостев, ответы есть?

[Kapral 311]

Насколько я помню - с 8ки

[truth 20]

Truth, это что, очередной вброс?

выброс.

[Porco Rosso 0]

выброс.

Похоже на правду. Выброс чего? Того же что в вентилятор бросают? Прекратите, всех заляпало уже.

[truth 20]

Похоже на правду. Выброс чего? Того же что в вентилятор бросают? Прекратите, всех заляпало уже.

Перейдите к чтению следующей ветки. Говноаргументы неинтересны.

Если честно, я по-разному пытался прикидывать. Но если KSN охватывает 10% российских компьютеров, имеющих доступ к Интернету, я пожму руку (виртуально) его создателю. Если нет... можете кидаться дальше и рассматривать, что оно показывает.

Если мы здесь для того, чтобы честь какой-нибудь компании отстаивать, то, право, не стоит этого делать. А тема касается оценки реального масштаба эпидемии. И проблема ещё не решена.