Fixxxer®

Сравнение скорости реагирования вирлабов на новые угрозы

В этой теме 101 сообщений

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) VirusBuster ведет Ticket List в котором показано текущее состояния запроса.

2) Кроме страницы отправки образца (на сайте тех.поддержки) есть и специальная персональная страница.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1) VirusBuster ведет Ticket List в котором показано текущее состояния запроса.

2) Кроме страницы отправки образца (на сайте тех.поддержки) есть и специальная персональная страница.

Спасибо за внимание к нашей работе, Дмитрий!

Если Вы читали статью, то заметили, что в нашем исследовании всем предоставлялись абсолютно равные условия. У нас не было ресурсов постоянно мониторить какие-то кабинеты, тем более, что свой e-mail мы честно указали. Как и честно указали, что VirusBuster спустя неделю гарантированно добавляет правильный детект на зловред (а не на пустышку).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Там у вас много опечаток в названиях.

Еще вы написали, что Emsisoft заимствует название у Икаруса, на самом деле они используют их движок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну что можно сказать:

Статья названо немного не корректно, ибо:

1) Тут проверялось не сколько скорость, сколько порядок работы вирлаба (кто отвечает, а кто кладет "болт").

2) Теперь про сам детект: как он проверялся (что его добавили?) по VT? Если да, то это не верно. Если установленной последней версией продукта того или иного вендора с обновленными базами, то это нужно было указать (но этого нет).

Каков вывод:

По сути проверялся пункт 1. Так как наличие детекта проверялось не корректно. Ведь в продуктах используется облако, эвритик и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Danilka, ну если речь о представляемом Вами продукте - то Вы и "положили болт" и не добавили детект. По счастью именно Ваш продукт был установлен у меня на одной из систем (KIS 2010 со всеми обновлениями, W7 Ultimate SP1). На момент окончания тестирования он не засекал ни одной угрозы.

Касательно опечаток - будем благодарны за конкретные замечания. Подобный обзор - своеобразный "почин" (надеемся, что не первый и последний), в дальнейшем постараемся всё учесть и исправить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Fixxxer®, яж специально указал про последнюю версию. 2010 никак не последняя...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®, яж специально указал про последнюю версию. 2010 никак не последняя...

Извините, но она - Ваша и официально поддерживаемая. Исследовались антивирусы - как говорится в обзоре, проактивка эффективно предотвратит эту угрозу. Да и резидент тоже - он перехватит запуск дроппера.

Потому речь - именно о сканере, который в наших образцах ничего не заметил.

Вам виднее, но я сомневаюсь, что в сканерах всех версий продуктов "Лаборатории Касперского", используемых в данный момент, используются различные базы. Что касается KSN - в 2010-м он есть и был включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Fixxxer®, Вы действительно полагаете, что в 2012 и в 2010 один и тот же уровень детекта и принцип работы KSN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fixxxer®, Вы действительно полагаете, что в 2012 и в 2010 один и тот же уровень детекта и принцип работы KSN?

2012? А что это за продукт? У Вас на офсайте о нём ни слова нет! Новая бета-версия? Извините, но в исследовании брали участие только официальные коммерческие релизы.

Только что (вот прямо сейчас!) проверил WKS 6.0.4.1424 a.d.f, поскольку на работе есть и такое - детектов нет. Вы бы уже перед спором как-то подсуетились, что ли :) McAfee вот вчера сразу детект добавил после публикации (да только поздно, мы закрыли приём ответов) - а Вы вот только спорите... Так McAfee хотя бы облаком реагировали до этого, Вы же вообще молчок :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2012? А что это за продукт? У Вас на офсайте о нём ни слова нет! Новая бета-версия? Извините, но в исследовании брали участие только официальные коммерческие релизы.

Только что (вот прямо сейчас!) проверил WKS 6.0.4.1424 a.d.f, поскольку на работе есть и такое - детектов нет. Вы бы уже перед спором как-то подсуетились, что ли :) McAfee вот вчера сразу детект добавил после публикации (да только поздно, мы закрыли приём ответов) - а Вы вот только спорите... Так McAfee хотя бы облаком реагировали до этого, Вы же вообще молчок :)

1) http://www.kaspersky.com/internet-security...hp_kis_sfe_area - это официальный глобальный релиз.

2) С Вами никто не спорит, я уже написал свое личное мнение выше. А то, что вирлаб не ответил\не добавил сигнатуру - это уже их компетенция и я за них комментировать не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1) http://www.kaspersky.com/internet-security...hp_kis_sfe_area - это официальный глобальный релиз.

Там я вижу ссылку на непонятном мне языке и цены в непонятных мне деньгах. Если глобальный - то почему тут вот так:

37761854.th.jpg

А то, что вирлаб не ответил\не добавил сигнатуру - это уже их компетенция и я за них комментировать не могу.

Ну раз это не Ваша компетенция - тогда действительно, разговор не о чём :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А Вы можете спокойно перейти по ссылкам окончательных отчётов VT :) Файл один и тот же - но одни считают его вредоносным, а другие - нет? ;)

Могу прямо сейчас выложить лог анализа Anubis, там будет та же md5 и Вы увидите механизм заражения. Сами файлы выкладывать не буду - они только для компетентных специалистов, мы не занимаемся распространением новых зловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Там я вижу ссылку на непонятном мне языке и цены в непонятных мне деньгах. Если глобальный - то почему тут вот так:

37761854.th.jpg

Потому что русская локализация не продается пока. А раз Вы взялись тестировать все продукты, то извольте брать их на официальном международном языке - английском. Тем более у некоторых вендоров вообще нет русскоязычного продукта.

Ну раз это не Ваша компетенция - тогда действительно, разговор не о чём :)

Если Вы подразумевали проверить скорость реакции вирлабов разных компаний таким образом, то Ваша задумка не удалась, так как проверять по ВТ скорость вирлаба это :facepalm: Если у Вас стоял каждый из проверяемых продуктов на тест стенде, то тогда не понятны претензии к языку. Хотя что говорить, тест стендов со всеми тестируемыми продуктами у Вас не было.

Единственное, что Вы "проверили" - это ответы вирлабов в данный промежуток времени (период тестирования) на Ваши запросы, созданные по нескольким каналам. Это ОЧЕНЬ ценно! :lol: Спасибо за Ваш труд!!!

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Могу прямо сейчас выложить лог анализа Anubis, там будет та же md5 и Вы увидите механизм заражения. Сами файлы выкладывать не буду - они только для компетентных специалистов, мы не занимаемся распространением новых зловредов.

Пошлите их "киберу", если не жалко - это можно сделать, поместив семплы в карантин AVZ и отправив через формочку http://z-oleg.com/secur/avz/upload_qr.php (или через форму загрузки чистых на VI http://virusinfo.info/index.php?page=uploadclean (разницы никакой, в первом случае результат не публикуется, во втором - в теме VI будет размещен ответ с краткой статистикой по файлам).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

NT7, прошу: раз и два. Всё работает.

Danilka, простите, но с Вами я в виду некомпетентности спорить не стану. Техрелизы нами не тестировались. ЛК ранее новые версии для Японии прежде Европы и СНГ - нам что, японский учить? :)

Подведём итоги и не будем уходить от темы. Ваш работодатель соизволил зарегистрировать два обращения - и не обработать их. Посмотрите по базам: KLAN-135199576, KLAN-135200440, я уже не говорю про KLAN-135213608, который пошёл через [email protected] Прошла неделя - ни один из них обработан не был. Прошло больше недели - и два актуальных, поддерживаемых продукта Вашей организации с актуальными базами не находят вирусы. О чём спор?

Олег, совершенно нежалко - я указал номера "кланов", можете экспериментировать. Вы же, надеюсь, представляете аналитиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А раз Вы взялись тестировать все продукты, то извольте брать их на официальном международном языке - английском.

Немножко подменили понятия. Основой для тестирования бралась работа вирлаба, а не продукта.

ак как проверять по ВТ скорость вирлаба это...

Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka, простите, но с Вами я в виду некомпетентности спорить не стану. Техрелизы нами не тестировались. ЛК ранее новые версии для Японии прежде Европы и СНГ - нам что, японский учить? :)

Отговорка не принята.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

В отчётах видно даты обновлений баз каждого движка. Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ. Я уже не говорю про актуальную корпоративную версию WKS. Интересно, знают ли корпоративные пользователи продуктов ЛК об этой особенности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну почему, вредоносные образцы от нас VT получил уже в конце тестирования. Или срок с 15-22 июня недостаточен для попадания данных на VT?

А как Вы проверяли, что добавили детект? Если тест стендов не было.. Ждали ответ от вирлаба? :facepalm:

Немножко подменили понятия. Основой для тестирования бралась работа вирлаба, а не продукта.

Я уже написал, что именно "проверили":

Единственное, что Вы "проверили" - это ответы вирлабов в данный промежуток времени (период тестирования) на Ваши запросы, созданные по нескольким каналам. Это ОЧЕНЬ ценно! :lol: Спасибо за Ваш труд!!!
В отчётах видно даты обновлений баз каждого движка. Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ. Я уже не говорю про актуальную корпоративную версию WKS. Интересно, знают ли корпоративные пользователи продуктов ЛК об этой особенности?

Для Вас это новость? Да и 2010 активно не продается в СНГ, продается 2011 в СНГ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ждали ответ от вирлаба?

:facepalm:

По счастью именно Ваш продукт был установлен у меня на одной из систем (KIS 2010 со всеми обновлениями, W7 Ultimate SP1). На момент окончания тестирования он не засекал ни одной угрозы.

Я не знаю как и ответить :)

Я уже написал, что именно "проверили":

Если мы проверяли только письма, то почему еще нет детекта? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итог:

Тест - хрень!

Если мы проверяли только письма, то почему еще нет детекта? ;)

Вам уже все расписали по полочкам, если не понятно - то извиняйте, помочь не смогу. Может другие объяснят "доступнее".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Danilka, итак, подведём итоги

1. WKS сигнатурно не определяет ряд вирусов, которые сигнатурно определяет KIS 2012.

2. Обработки явно вредоносных KLAN-135199576, KLAN-135200440, KLAN-135213608 не было в течение 10 дней с момента подачи, и судя по Вашим ответам - и не будет.

3. Вы не относитесь к подразделению вирусных аналитиков и не компетентны в этих вопросах.

Ну и пункт от Вас - всё, что мы пишем, это - хрень.

Извините, напрашивается вот такая картинка:

troll4648633.jpg

Годы идут, а Вы не меняетесь... Ладно, не буду тратить время и подожду представителей Ваших вирлабов.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Fixxxer®

Отзываюсь на твой призыв осилить выводы. Пожалуйста, убеди меня их осилить после фразы

5. ВЫВОДЫ.

После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов.

Извини, но эта фраза является ключевой (вольно или невольно это было сделано или нет, но, со стороны авторов, именно так и получилось) для всей статьи. После неё можно вообще ничего не читать, ибо все дальнейшие выкладки попросту нивелированы.

На счёт скорости обработки (буду говорить только за VBA32, Dr.Web и KL, потому как в эти конторы я отправляю семплы).

1. На счёт отправки семплов через веб-фейс KL: там в явном виде пишется "Если у вас нет кода активации, файла ключа, или срок ответа вам не важен, воспользуйтесь формой ниже. ". Иными словами, когда приходит от робота номер KLAN-а с информацией о проверке присланного файла и уведомлением о том, что файл передан на анализ аналитику. В том же заголовке присутствует маркер [L:0], обозначающий, что у тебя лицензии нет, приоритет обработки -- низкий. Если [L:1] -- приоритет высокий. Можно долго спорить на счёт того, насколько хорош\удобен\демократичен такой способ со стороны пользователя, пожелавшего отправить семпл на добавление в KL, но, каждый производитель сам для себя выбирает схему взаимодействия с людьми. Как я понимаю, у авторов исследования L=0. Но этот момент в исследовании не указан. Верно?

Локальный P.S. Такая схема, используемая в KL, ранее (много ранее) применялась в Dr.Web, когда он развивался "под крылом" "Диалог-Науки" -- для получения отзыва на свою отправку необходимо было обладать валидной лицензией. Пользователи ознакомительной версии и просто желающие помочь вируслабу семплом -- "варились" в общей очереди.

2. Dr.Web в его нонешнем состоянии. При отправке семпла в вируслаб происходит, как и в случае KL, его попадание на исследование роботу, который проверяет хеш файла по базе заведомо чистых файлов. Если такой хеш обнаруживается -- пользователю возвращается уведомление о том, что файл не представляет угрозы. Далее следует анализ файла и, в рез-те могут возникнуть следующие варианты: 1) Файл был обработан, но робот не добавил детект -- семпл остаётся на совести аналитиков. 2) Файл не был обработан по превышению лимита времени на анализ файла роботом. Файл остаётся на совести аналитиков или робот повторно его будет анализировать спустя некоторое время. 3) Файл обработан роботом, детект добавлен. Вариант 3) может произойти как спустя, допустим, 10 минут, так и спустя (с учётом 2) ) длительное время. На случай того, если тикет оказался необработанным, на оф.форуме Dr.Web есть отдельная ветка "Необработанные тикеты", куда может написать любой зарегистрировавшийся на форуме дрвебкома пользователь. Другое дело, что написание туда номера тикета не всегда помогает, но пользователь, во всяком случае, имеет возможность об этом сказать.

3. VBA32. Веб-форма отправки отсутствует, есть два почтовых адреса [email protected] и [email protected] На [email protected] отправляются файлы, которые точно являются вредоносными, и этот адрес обрабатывается роботом. Никаких уведомлений пользователь не получает. [email protected] обрабатывают люди, которые в ответ пишут вердикт на проанализированный файл.

Но тут прозвучало довольно сенсационное заявление, что база сигнатур вирусов на каждом продукте у ЛК различная, а потому зачастую некая новая версия 2012, которая поставляется зарубежом, ловит то, что не видит русская 2010, которая активно продаётся в странах СНГ.

Это вполне нормальная ситуация для того производителя, который ведёт собственную разработку ядра. У того же Dr.Web-а в более новом ядре, чем сейчас наличествует в релизе, также может быть, что детектируется тот файл, который не детектируется релизным ядром. Встречается ситуация и обратная (тоже может быть из-за реорганизации вирусных баз, которую я упомяну чуть позже о тексту). Это связано исправлением каких-то ошибок распаковки, с добавлением поддержки новых упаковщиков и, как следствие всего этого, реорганизацией вирусных баз. В том числе, зачастую вместо 100 (к примеру сказал) записей, сделанных роботом, делают одну-две, которые будут детектировать всю сотню.

Как-то так... Поэтому, для подобного исследования необходимо знать определённые особенности работы каждого производителя по приёму и анализу вредоносных объектов. Какие я знаю -- я рассказал. Надеюсь, это не оказалось лишним для общей картины дискуссии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Посмотрите по базам: KLAN-135199576, KLAN-135200440, я уже не говорю про KLAN-135213608

Посмотрел. Даже специально поднял архив баз за 14-го июня. Напомню, что семплы были присланы в вирлаб 15-го июня.

Итак, релизный KIS2011 с базами от 14 числа. Все детектировалось на момент получения (сработала связка эмулятора с сигнатурами). Разумеется, детектируется и сейчас.

Ну какие тут еще могут быть комментарии :facepalm:

П.С. Что касается WKS - это продукт на старом движке, тем более который будет скоро заменен KES 8. Детекты для старого движка сейчас добавил.

KIS_1.PNG

KIS_2.PNG

KIS_3.PNG

KIS_4.PNG

post-5690-1309007761_thumb.png

post-5690-1309007765_thumb.png

post-5690-1309007768_thumb.png

post-5690-1309007772_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!