Аналитика: Итоги вирусной активности за первый квартал 2011 года от антивирусной лаборатории Zillya!

[AM_Bot 48]

Предлагаем Вашему вниманию итоги вирусной активности за первый квартал 2011 года. Этот обзор построен на основе анонимной статистической информации, которую антивирусная лаборатория Zillya! получает от пользователей наших продуктов. При этом собирается анонимная информация о том, какие вирусы были обнаружены антивирусными продуктами линейки Zillya!, что позволяет нам построить отчёты по распространённости того или иного вредоносного ПО как в целом, так и в отдельно заданном регионе.

Читать далее

[A. 875]

На первом месте по популярности находится семейство троянских программ Trojan.Agent.Win32. К этому семейству обычно относят типичные небольшие антивирусные программы, которые выполняют составную функцию какого-то троянца, состоящего из множества файлов. Такие троянские программы попадают на компьютер в составе другого вредоносного ПО: сетевых червей, а также других троянских программ.

Пишите еще. Юмора в антивирусной индустрии как-то не хватает.

[priv8v 960]

Пишите еще. Юмора в антивирусной индустрии как-то не хватает.

Видимо, они AVZ за малварь приняли ))) Подходит под описание очень даже)))

[OlegSych 40]

Пишите еще. Юмора в антивирусной индустрии как-то не хватает.

Хммм... не сразу заметил в чём подвох.

Однако досадная ошибка.

P.S. Увы, бывают такие редакторские проколы, уж выбачайте.

P.P.S. А., Вы, кстати, первый кто указал на эту ошибку, то есть по сути первый внимательно почитавший из тех кто в теме И на том спасибо

[OlegSych 40]

Видимо, они AVZ за малварь приняли ))) Подходит под описание очень даже)))

Ну, АВЗ то врядли, а вообще сейчас с FakeAV такая лажа, что порой какой то новый AVZ-подобный продукт имеет все шансы попасть в базы

Кстати, наш локальный опыт борьбы с FakeAV показывает, что вот они вроде под носом, чуть ли не на соседней площадке с нами хостятся - а поймать "хозяина" сети нельзя, даже при поддержке правоохранительных органов. Я правда думаю, что у наших коллег из Москвы возможностей сильно побольше, но тем не менее тема тоже должна быть актульной.

[Valery Ledovskoy 1082]

P.P.S. А., Вы, кстати, первый кто указал на эту ошибку,

А Вы поняли, в чём, собственно, "ошибка" юмора?

[OlegSych 40]

А Вы поняли, в чём, собственно, "ошибка" юмора?

Очевидно, в этой фразе:

типичные небольшие антивирусные программы

Это механическая ошибка, которая попала в распространяемый в СМИ вариант. В варианте на нашем официальном сайте эта фраза звучит иначе.

Приносим свои извинения, если кому то это причинило неудобства.

[Valery Ledovskoy 1082]

типичные небольшие антивирусные программы

А, я на это даже не обратил внимание Мне кажется, Александр имел в виду не это, иначе не цитировал бы абзац целиком.

Мне, например, непонятно, как можно про такой вот общий детект Trojan.Agent.Win32 вообще писать какую-то конкретику. Что такое небольшие вирусные программы? Т.е. сколько это в граммах? Несколько мегабайт - это много? 90 килобайт - это мало? Мне кажется, вредоносные программы типа Trojan.Agent.Win32 могут быть теоретически любого размера. Ну, и остальное тоже по такому детекту писать... В общем, Trojan.Agent.Win32 - это может быть почти что что угодно, издали похожее на трояна

[OlegSych 40]

Мне кажется, Александр имел в виду не это, иначе не цитировал бы абзац целиком.

Я изначально тоже подумал о том, что Александр имел в виду именно это, настрочил ответ, а потом ещё раз перечитал и заметил эту грубую оплошность.

На ваше замечание, Валерий, могу сказать только одно: попробуйте в двух предложениях описать семейство, в которое относят кучу всякого хлама, которому не досталось отдельного уникального имени. Я согласен, что подобное описание семейства не отображает в полной мере глубину всех глубин, но задача и не стояла в том, что бы акцентировать внимание конкретно на этом семействе, про которое можно сказать только одно - "троян - он и есть троян".

Данный отчёт носит скорее обзорный характер, чем какой то технический. Когда будем делать более локальный обзор или аналитику какой то конкретной проблемы - тогда будем останавливаться на технических деталях и нюансах.

В общем, Trojan.Agent.Win32 - это может быть почти что что угодно, издали похожее на трояна

В общем я с Вами во многом согласен, но постановка вопроса, что 2.7% заняли просто троянские программы, а потом дальше ещё отдельно сколько то там процентов какие то конкретные троянские программы, звучала бы ещё более смешно. Раз уж в топе присутствует Trojan.Agent.Win32, значит какая то минимальная характеристика этого семейства должна быть.

[Valery Ledovskoy 1082]

Олег, видите ли, в чём дело. Я не хотел в данном случае что-то писать против конкретно этого обзора, к которому Вы имеете, насколько понимаю, непосредственное отношение.

Просто я имею некоторый опыт в написании ежемесячных обзоров для компании "Доктор Веб" (около 2,5 лет), и у меня вообще сложилось несколько отрицательное мнение к подобным топам в обзорах в принципе.

Например, в вашем обзоре фраза

На первом месте по популярности находится семейство троянских программ Trojan.Agent.Win32.

полностью лишена смысла. Ибо если к Trojan.Agent.Win32 относят все трояны, которым не дали уникального имени, принадлежность к какому-либо специфическому семейству троянов, то сам факт, что эта сборная солянка оказалась на первом месте, ни о чём не говорит. Если точнее, то говорит только о том, что у антивирусов марки Zillya! многим семействам троянцев не выделены уникальные имена. А ещё вероятнее всего, работают какие-либо общие алгоритмы детекта троянцев.

Есть и другие примеры, показывающие бессмысленность данных топов и попыток по таким рейтингам делать какие-либо выводы без должной интерпретации. Например, мы как-то с Александром Гостевым спорили о том, много ли бокеров/винлоков шло на определённый период времени или не так уж, чтоб. Столкнулись с тем, что блокеры могут детектиться очень по-разному. Сейчас они часто детектятся по пакерам, какими-то эвристическими технологиями. И по детекту сказать сколь-нибудь точно нельзя, сколько ж их - много или мало. Вроде и не каждая из модификаций до топа 20 доходила, а в целом если складывать (зная, как оно может детектиться), то, по некоторым оценкам, получалось и много.

И как вот сказать, что это за троянцы семейства Trojan.Packed.[случайный номер из 1-5 цифр]? Большие они или маленькие? В составе многокомпонентных оно идёт вредоносных программ - или "самодостаточный" это сэмпл.

Очень весело читать такие вот фразы в некоторых обзорах:

Некоторые из троянцев этого семейства определяются антивирусом Dr.Web как Trojan.DownLoader2

Знаете, что такое Trojan.Downloader2? Это которые не поместились в вирусной базе в Trojan.Downloader и Trojan.Downloader1, причём в каждое из этих двух последних "семейств" помещаются 99999 вирусных записей, соответствующих совершенно разным даунлоадерам, при этом одной записью могут определяться сразу много различных модификаций троянов, зачастую тоже с вполне различными целями, которые преследуют злоумышленники, но имеющих какую-то "общую часть", за которую "цепляется" детект.

При этом такие топы в обзорах есть у всех.

Вот у ЛК есть такие детекты как Packed.Win32.Klone.bq. Или вот на первой строчке стоит Net-Worm.Win32.Kido.ir, а на третьем Net-Worm.Win32.Kido.ih. Это всё хорошо. Но интересно же, сколько Kido вместе занимают, а не отдельные модификации. Вернее, и отдельные тоже интересуют, но общие тенденции - больше.

И вот эти топы, которые публикуются, весьма "кривые" как инструмент для определения тенденций.

Или вот у Eset на первом месте INF/Autorun. Очень интересно. А уже на втором месте - куда более узкий детект - Win32/Spy.Ursnif.A.

Говорить, что KSN или MS SmartScreen Application Reputation может сильно помочь в этом плане по интерпретации статистики - нельзя. Такие сервисы - это репутационные больше технологии. Они призваны, чтобы про каждый файл, который им отдаётся, говорить - вредоносный он или нет. И этот функционал такие сервисы отрабатывают к настоящему времени уже достаточно хорошо. Но не создание хорошей статистики для обзоров или какого-либо анализа.

Ну, в общем, это к тому, чтобы вы понимали, что по названиям детектов и топам из них сейчас практически невозможно строить обзоры. Интересные обзоры смещаются в сторону описания новых схем, интересных семплов, часто без привязки к статистике.

А чтобы снова создать статистику, которая была бы интересна для обзоров, мне кажется, нужно сделать какую-то систему флагов (тэгов) для каждого сэмпла, находящегося в таких облаках, как KSN. Без привязки к названию детекта. И следить за количеством сэмплов, имеющих определённые (интересные для обзоров) флаги, которые проходят по определённым каналам или определяются на компьютерах пользователей. И по динамике количества детектов с такими флагами что-то пытаться анализировать. Ну, это так, на пальцах. Названия детектов - это по сути тоже флаги/тэги, но для определения тенденций совершенно не подходят на сегодняшний момент.

И получается непонятно что. Посмотрите обзоры вирусной обстановки у разных вендоров. Общего из них обычно только то, что в течение отчётного месяца проходило крупными заголовками в "общих" новостях.

Такие вот у нас сейчас времена (с) ВВП, но который не Путин

[alexgr 556]

Коллеги, можно свои 5 копеек? Все же это первый обзор (публичный) молодой украингской компании. Не ошибается тот, кто ничего не делает. Поэтому - Олег, с почином!

[Valery Ledovskoy 1082]

alexgr, в общем-то, мой последний пост - это больше в поддержку Я показал, что идеала нет нигде. И поделился некоторым опытом. Возможно, он поможет.

Понятное дело, что сразу что-то кардинально в обзорах не изменится (ни у кого). Но иногда указывать на существующие проблемы стоит. А тут появился как раз хороший повод для дискуссии

[alexgr 556]

я согласен, что сложно написать идеальный обзор. И с замечаниями в этой теме согласен. В целом приятно, что появляются новые игроки, которые расширяют свое информационное присутствие, за которым должен подойти период узнаваемости продукта

[OlegSych 40]

Valery Ledovskoy, alexgr - спасибо за поддержку.

Valery Ledovskoy - спасибо за конструктивную критику. Да, всё верно, я сам отлично понимаю несостоятельность топов в общем виде. Хотя какую то минимальную картину о тенденциях (популярности тех или иных видов угроз) они дают. Ведь надо же людям, которые не в теме, отталкиваться хоть от каких то данных.

Дело в том, так уж историчеси сложилось, что аудитория нашего продукта - это пользователи с уровнем компьютерной грамотности от "отсутствующий" до "ниже среднего" (не все, но подавляющее большинство). Отсюда и многие аспекты продукта, сайта, подачи материалов. Этот материал создан в поисках удобно-перевариваемого стиля для нашей аудитории. То есть, для технарей и профессионалов ничего мало-мальски полезного тут нет, а рассчитан он на людей, которые не варятся постоянно в IT-security, которые понятия не имеют что тут сечас акутально, что "в моде" и т.п.

Ну в общем будем искать свою стезю.

Ещё раз спасибо всем за оказанное внимание и поддержку.

[Valery Ledovskoy 1082]

аудитория нашего продукта - это пользователи с уровнем компьютерной грамотности от "отсутствующий" до "ниже среднего" (не все, но подавляющее большинство)

Тем Вам, Олег, сложнее популяризировать сложные специфические мысли, донести их до пользователя. Но, что важнее, эта популяризация не должна являться при этом дезинформацией. И на этом фоне возникают такого вот рода дилеммы, которые мы здесь обсуждаем.

Удачи Вам на этом непростом пути!