Перейти к содержанию
Doctor_Petrov

COMODO Cleaning Essentials: новый принцип обнаружения вирусов

Recommended Posts

Doctor_Petrov

Недавно вычитал в новостях на Софтодроме

Компания COMODO выпустила бета-версию бесплатной программы Cleaning Essentials (CCE), использующей принципиально новый механизм выявления вирусов и других зловредов, причем этот механизм сразу же вызвал у некоторых из производителей антивирусного ПО недовольство.

Принцип работы механизма обнаружения вирусов, используемый в COMODO Cleaning Essentials, называется DACS (распределенное и совместное сканирование). Работает DACS так:

1. Сначала подгружаются (при первом запуске ССЕ, порядка 80 Мб) "белые списки" хеш-сумм (снимков) уже проверенных программ и важных файлов известных поставщиков. Это делается для того, чтобы снизить нагрузку на сервера COMODO при последующей он-лайн проверке системы. Потом обновления будут происходить редко - только при добавлении в программу списков новых, проверенных вендоров.

2. Затем при нажатии кнопки "Сканирование" начинается сканирование системы и сравнение контрольных сумм (снимков) проверяемых файлов с теми, что уже были закачены и проверены на валидность серверами Comodo. В случае нахождения неизвестных ССЕ файлов, автоматически (в режиме он-лайн) происходит их проверка по нескольким десяткам антивирусов разных производителей, и на основании этого выносится вердикт - безопасен проверяемый файл или нет.

3.Если файл опасен, делается его снимок и отправляется в базу Comodo, чтобы другому пользователю при сканировании его компьютера можно было бы сразу сообщить, что это зловред.

Это и есть функция DACS (распределенное и совместное сканирование).

Обратите внимание на принципиально важный момент: проверка неизвестного ССЕ файла производится не на серверах AV-вендоров, а на компьютерах других пользователей, имеющих лицензионное антивирусное ПО других производителей и одновременно с этим участвующих в программе ССЕ. Таким образом, DACS является только механизмом доставки и получения; фактически, DACS создает P2P сеть между пользователями программного обеспечения Comodo и отдельными добровольцами, работающими со службой DACS.

На форуме COMODO для разьяснения принципа работы DACS приводится такой пример:

Ну например, у вас на компьютере стоит антивирус от Comodo, а у вашего друга из Узбекистана стоит антивирус Касперского. Вы подозреваете, что у вас один файл с вирусом. Тогда Вы просите вашего друга из Узбекистана проверить этот файл на вирусы на своем компьютере и отсылаете его к нему. Он проверяет и сообщает вам результаты сканирования. И также он (ваш друг из Узбекистана) может попросить проверить его сомнительный файл у вас на ПК антивирусом Comodo и сообщить ему результаты. Причем Лицензия антивируса Касперского у вашего друга проплачена. Все это будет происходить в автоматическом режиме и практически мгновенно при сканировании вашей системы. Обнаружен неизвестный файл, он сразу же отсылается другому пользователю системы DACS на проверку...

Представьте себе теперь, что это будет во всемирном масштабе, с неопределенным подмножеством компьютеров.... Тогда вирусы будут обречены, так как очень быстро будут детектиться в этой глобальной антивирусной сети и в написании вирусов просто со временем не будет смысла.

В чем нарушение здесь Лицензионных соглашений производителей других антивирусов? Вы что, не имеете право делиться результатами сканирования с другими людьми? Ни в одном Лицензионном соглашении такого нет. Вы же не будете запрещать трафик, например, Skype у вас на компьютере, если решили его установить и использовать? А ведь не секрет, что Skype использует ваши каналы для подключения других пользователей между собой (принцип peer-to-peer, P2P). А пиринговые файлообменные сети, может их тоже запретим?!

Это общий принцип DACS как распределенного и совместного сканирования. Конечно, эта система будет претерпевать изменения со временем, но сам принцип...

Идея хорошая, но как всегда, в погоне за наживой, некоторые вендоры антивирусов будут стремиться поломать эту систему, хотя некоторые уже отнеслись к этому с пониманием.

Неудивительно, что некоторые из разработчиков антивирусных решений уже высказали по отношению к DACS, мягко выражаясь, недовольство, ведь заложенный в этой системе принцип позволяет каждому из пользователей COMODO Cleaning Essentials использовать для проверки файлов любой (в идеале) из имеющихся в мире антивирусов, не платя при этом их разработчикам ни копейки. Разве это справедливо?

А теперь посмотрим на это же с другой стороны - глазами пользователя: разве это не революционное решение - создать Глобальную антивирусную сеть, в которой вирусы будут обречены, так как выявляться в ней за счет обьединения потенциала всех антивирусных компаний они будут очень и очень быстро?

А что думаете Вы по этому поводу?

Оригинал статьи здесь http://news.softodrom.ru/ap/b9191.shtml

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY

Руткиты оно находить вряд ли будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Тут на мой взгляд есть несколько спорных моментов:

1. Хроническое неприятие пользователей устанавливать галочки на функциях "отправить что-либо" "присоединиться к чему-либо" и т. д.

2. Возможность недовольства/противодействие со стороны других вендоров.

3. И самое главное, вот система заработала, причём хорошо заработала, причём прославилась на весь мир, да так что весь мир её установил, отказавшись от других антивирусов! И что тогда???)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
Руткиты оно находить вряд ли будет...

Так находить как раз не только оно будет. К тому же модификация "руткитом" файлов системы по идее обнарудится при очередном сравнении "снимков"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
, отказавшись от других антивирусов!

не откажутся :) т.к. работает эта программа за счет других антивирусов, работающих у пользователей - не будет их, не будет и дакса ;)

хотя некоторые уже отнеслись к этому с пониманием

интнресно кто :)

сравнении "снимков"

каких?

работать все это будет только при наличие сети :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
работать все это будет только при наличие сети

ну там вроде как "Сначала подгружаются (при первом запуске ССЕ, порядка 80 Мб) "белые списки" хеш-сумм (снимков) уже проверенных программ и важных файлов "

Вообще мне показалось что статья отдаёт неким налётом "бредоватости" что-ли, хотя COMODO вроде и серьёзный игрок. Собственно поэтому я и хотел услышать мнение других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
StarStream
А что думаете Вы по этому поводу?

Создание глобальной антивирусной сети - очень хорошо. Но со временем IMHO юристы ав-компаний внесут поправки в лицензионные соглашения с пользователями, в которых последним будет запрещено участвовать на бесплатной основе в DACS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov

Да это я читал, я даже как то с дуру устанавливал сей продукт, но всё же сторонников у него тоже довольно много, хотя может из-за халявности целой линейки Комодвских продуктов. Кстати ведь и эта прога тоже своего рода эксплуатирует другие антивирусы не тратясь на них))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Создание глобальной антивирусной сети - очень хорошо. Но со временем IMHO юристы ав-компаний внесут поправки в лицензионные соглашения с пользователями, в которых последним будет запрещено участвовать на бесплатной основе в DACS.

Во-первых, даже при наличии таких поправок не представляю методы контроля за их соблюдением...

Во- вторых, если такая система покажет высокую эффективность, при полной бесплатности, это однозначно продвинет на рынке продукт и отбросит назад вендора не принимающего в ней участия. Не так давно публиковались данные соц. опроса по которым более 50% европейцев не собираются продлевать лицензии на купленные продукты... Так, что IMHO весь мир куда-то движется.

А на мой взгляд разработка очень привлекательна...

Продукт скачал, обновление заняло 3-4 мин, выборочное сканирование ОСи (15Гб) заняло 6,5 мин. Запущенный KillSwitch очень информативен.

Устанавливать весь Comodo IS нетороплюсь, а как сканер CCE очень привлекателен. Получается, что это что типа клиента от Вирус-инфо только более глобального (в перспективе).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

Я думаю что некоторые вендоры могут быть даже не против этой технологии, при условии расшаривании накопленной базы.

Это может быть интересно не самым успешным представителям антивирусной индустрии...

Но, скажем так, "Среднячки" и "Лучше" вряд ли будут довольны и спустят это на тормозах...

Как вариант, я вижу такое решение: Выделение CCE в отдельный бренд, с совместной разработкой всеми ведущими разработчиками отрасли, соответственно и общей же накопленной базой. Это, как по мне, поднимет общий уровень детекта у всех разработчиков-участников, и практически не скажется на популярности того или иного участника в отдельности. Так же вступление в эту программу будет желанным для разработчиков именно в счёт повышение эффективности. Кнешно за место под солнцем придётся если не бороться, то по крайней мере прикладывать к этому усилия...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Задетектим комод как фейк-ав и вся любовь.

P.S. Ничего революционного тут нет. Гуглите Immunet.

Таким образом, DACS является только механизмом доставки и получения; фактически, DACS создает P2P сеть между пользователями программного обеспечения Comodo и отдельными добровольцами, работающими со службой DACS.

---

Вы подозреваете, что у вас один файл с вирусом. Тогда Вы просите вашего друга из Узбекистана проверить этот файл на вирусы на своем компьютере и отсылаете его к нему.

Это называется распространение вредоносных программ. Под суд пойдут все дружно - и Комодо, как организатор и юзеры, как исполнители :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doctor_Petrov
Это называется распространение вредоносных программ.

Я вот тоже не понял как осуществляется проверка моего вируса пользователем из Узбекистана? Не письмо же каждый раз писать. А если прога автоматически рассылает вирус, в надежде что его Каспер определит заразу, это по меньшей мере странно... А если не определит? Что будет с его компом? это какая-то рассылка вирусов получается! :banned:

А если нет, то это обычный "репутационный сервис" выходит, ничего нового тут нет.Chekm может вы проясните этот момент если опробовали уже прогу, больно любопытно :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Задетектим комод как фейк-ав и вся любовь...

- да на здоровье! и возглавите движение "неприсоединившихся"

Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

Chekm может вы проясните этот момент если опробовали уже прогу, больно любопытно :huh:

Т.к. комп чистый, программа отработала как сканер... ничего никуда не посылалось... так, что пока ничего сказать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

{чешет подбородок} я бы сказал, что уровень фолсов подрастет в первую очередь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee
Это называется распространение вредоносных программ.

Я надеюсь, что если проект не накроется медным тазом, то в будущем(хочется верить что в ближайшем) при этом продукте будет реализована какая-нибудь песочница... иначе да...дело может обернуться и эпидемией...

Даже если в такой программе примут участие только вендоры выпускающие Free - это уже поднимет детект .

Даже free-вендоров нужно будет чем-то заманить... За "просто так" никто ничего делать не будет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl

По-моему, на большинство вопросов в этой теме CEO Comodo уже ответил две недели назад:

http://forums.comodo.com/news-announcement...73641#msg473641

BTW

I heard that some guys claim that the AV industry is working towards creating a "realtime sharing" and claims that its difficult to achieve.

Well...2 ways to achieve that...either share the samples or the results...They both achieve the same purpose for the end users.

DACS is available to any AV company for them to use. We will give them a license for free! And run the service for them for free

Also I heard that someone says that we don't want to spend money and don't want to create our own signatures hence we launched DACS.

My answer: Any AV company can send us their samples and we will generate the signatures for them for FREE! Yes, we will take on the cost of analysing and generating signatures for them for free!

edit:

And some people said: Comodo should give its malware samples to other AV vendors. More than happy to do that (all 50 Terabyte of it!). We will even work with them to give them access to our database in realtime! (PS: we already share it with many AV providers..but this is a slow process and not realtime).

Melih

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
По-моему, на большинство вопросов в этой теме CEO Comodo уже ответил две недели назад:

My answer: Any AV company can send us their samples and we will generate the signatures for them for FREE! Yes, we will take on the cost of analysing and generating signatures for them for free!

Да он же упоротый ! :)

Как это индуистское чудо собирается делать сигнатуры для KAV - физически, я имею в виду, базами под движок ? :facepalm:

Не говоря уже о том, что эээ как бы это помягче сказать - отсутствует вера в способности комодовских аналитиков анализировать что-то лучше других :rolleyes:

В общем, популистский бред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×