Сравнение скорости реагирования вирлабов на новые угрозы

[mvs 92]

Ну вот, получается, что только для личного успокоения...

эвристика не ставит точного диагноза,и она только помещает в карантин. а если надо пролечить? все понимаю что от сигнатурного детекта надо уходить, а то от количества записей в базах страдает производительность антивируса. Но эвристика должна давать более точные детекты, ну или по крайней мере я должен знать что файл действительно заражен или чист.

[Umnik 997]

Дык когда ты отправил эвристический детект, то в случае фолсы его бы просто поправили. А в случае верного срабатывания править-то не обязательно, чтобы не плодить сущности в базах. "Лечение" в обычзных случаях сводится к удалению тушки и подчистке пары записей в реестре. Это и HEUR умеет.

[Danilka 678]

mvs, для того чтобы вылечить что то, не обязательно должен быть точный сигнатурный детект. И точный сигнатурный детект, не дает гарантии - что файл будет вылечен, пока не написана сама процедура лечения. (Юра если что поправит).

[mvs 92]

да я то это прекрасно понимаю, а вот например админ по ИБ наш - не очень. . Или начальство, которое видит отчеты по антивирусной статистике. (вопросы из разряда - "а что за вирус?", почему "попал в карантин", и т.д.) А так я кину ссылку на http://www.kaspersky.com/viruswatchlite?hour_offset=2 или http://www.securelist.com и они уже видят что это было.

Вообщем сервис этот либо надо вообще убрать - я про ответ от аналитика, либо улучшать его работу и предоставлять информацию через личный/персональный кабинет все стадии запроса, поступил, передали аналитику, закрыт, ответ.

[Umnik 997]

HEUR:Trojan.Win32.Generic

http://www.securelist.com/ru/threats/detect/trojan-programs

[Valery Ledovskoy 1082]

Дык когда ты отправил эвристический детект, то в случае фолсы его бы просто поправили. А в случае верного срабатывания править-то не обязательно, чтобы не плодить сущности в базах.

(не вдаваясь в основной ход дискуссии, в качестве замечания). Такое заявление не совсем верно. Я всё же считаю, что эвристик служит для определения угроз, не прошедших через вирлаб. А если такой сэмпл был отправлен в вирлаб, должна быть сигнатура. Хотя бы потому что в продуктах (а продукты бывают разные, не только домашние, но и другие на том же самом движке, например, для защиты почтовых серверов) могут быть выставлены более "слабые" настройки на эвристические детекты. Так что отмазка имеет место быть, но слабовата. А для того, чтобы не плодить сущности в базе, существуют записи, направленные на детект целых классов вредоносных программ.

[Umnik 997]

Valery Ledovskoy

Слабее - только вообще выключить эмулятор. А вообще в веб-антивирусах (ну и почтовых, им и т.п.) эмулятор всегда глубже. Просто потому что скорость проверки больше скорости современных интернет подключений.

[Valery Ledovskoy 1082]

Слабее - только вообще выключить эмулятор. А вообще в веб-антивирусах (ну и почтовых, им и т.п.) эмулятор всегда глубже. Просто потому что скорость проверки больше скорости современных интернет подключений.

Не вполне понял, что здесь имеется в виду. Допустим, я настраиваю антивирусную проверку писем, проходящих через почтовый сервер. Для эвристики выставляю "информировать администратора, пользователя и дать копию письма на поглядеть" для того, чтобы избежать ложных срабатываний эвристики и для дальнейших разбирательств. Для сигнатур выбираю "не пущать". И ни с какими скоростями это не связано.

[Юрий Паршин 330]

(не вдаваясь в основной ход дискуссии, в качестве замечания). Такое заявление не совсем верно. Я всё же считаю, что эвристик служит для определения угроз, не прошедших через вирлаб. А если такой сэмпл был отправлен в вирлаб, должна быть сигнатура. Хотя бы потому что в продуктах (а продукты бывают разные, не только домашние, но и другие на том же самом движке, например, для защиты почтовых серверов) могут быть выставлены более "слабые" настройки на эвристические детекты. Так что отмазка имеет место быть, но слабовата. А для того, чтобы не плодить сущности в базе, существуют записи, направленные на детект целых классов вредоносных программ.

Неверно. Сигнатурный движок в перспективе будет необходим лишь для спец. процедур лечения, основной детект - эмуляторный. Потихоньку к этому и идет.

[mvs 92]

Неверно. Сигнатурный движок в перспективе будет необходим лишь для спец. процедур лечения, основной детект - эмуляторный. Потихоньку к этому и идет.

это все понятно, о будущем интересно говорить, но пока у нас есть wks MP4 и есть запрос через персональный кабинет в вирлаб на исследование файла, а ответа нет - об этом сейчас речь и о том что кроме уведомления по почте никак нельзя проследить за судьбой этого запроса. Слышал что в персональном кабинете будут большие перемены - надеюсь эти перемены будут в лучшую сторону и направлены на большее информирование клиентов (хотя бы корпоративных) подающих эти запросы.

[Valery Ledovskoy 1082]

Сигнатурный движок в перспективе будет необходим лишь для спец. процедур лечения, основной детект - эмуляторный. Потихоньку к этому и идет.

Забыли добавить в "маркетинге/разработке ЛК". А для описываемых случаев антивируса для почтовых серверов и прочих шлюзовых решений необходимость делать более жёсткие настройки для эвристика будет означать уменьшение гибкости в настройке таких продуктов и проблемы с обработкой потенциальных ложных срабатываний эвристики (которые подчас в масштабах предприятий совсем себе реальные).

Кстати, да, есть движение к более общим вирусным записям. Например, таким, как Origins Tracing у Dr.Web, когда точность таких детектов (количество ложных срабатываний) находится на уровне чётких вирусных записей. Но тогда вендор берёт на себя ответственность и переводит такие детекты в стан чётких детектов. Если ЛК свою будущую "основную эвристику, которая заменит чёткие вирусные записи" будет наделять такими же свойствами, то есть смысл переводить эту часть эвристики в раздёл чёткого детектирования. Те же эвристические технологии, где вероятность ложных срабатываний выше, нужно иметь возможность обрабатывать средствами продуктов всё же отдельно.

Т.е. внедрение новых технологий нечёткого детекта не должно приводить к снижению гибкости управления проверкой и возможной головной боли для администраторов. Чтобы не звонили и не говорили "у нас тут письма от заказчиков не приходят", ибо ответ "это эвристика у вендора N сработала, ничего страшного" обычно никому непонятен.

[Юрий Паршин 330]

Забыли добавить в "маркетинге/разработке ЛК". А для описываемых случаев антивируса для почтовых серверов и прочих шлюзовых решений необходимость делать более жёсткие настройки для эвристика будет означать уменьшение гибкости в настройке таких продуктов и проблемы с обработкой потенциальных ложных срабатываний эвристики (которые подчас в масштабах предприятий совсем себе реальные).

Кстати, да, есть движение к более общим вирусным записям. Например, таким, как Origins Tracing у Dr.Web, когда точность таких детектов (количество ложных срабатываний) находится на уровне чётких вирусных записей. Но тогда вендор берёт на себя ответственность и переводит такие детекты в стан чётких детектов. Если ЛК свою будущую "основную эвристику, которая заменит чёткие вирусные записи" будет наделять такими же свойствами, то есть смысл переводить эту часть эвристики в раздёл чёткого детектирования. Те же эвристические технологии, где вероятность ложных срабатываний выше, нужно иметь возможность обрабатывать средствами продуктов всё же отдельно.

Т.е. внедрение новых технологий нечёткого детекта не должно приводить к снижению гибкости управления проверкой и возможной головной боли для администраторов. Чтобы не звонили и не говорили "у нас тут письма от заказчиков не приходят", ибо ответ "это эвристика у вендора N сработала, ничего страшного" обычно никому непонятен.

Проблемы с ложными срабатываниями эвристики пусть решают те компании, у которых она на каждый чих срабатывает. У них это действительно - головная боль.

[Fixxxer® 65]

О чем я и говорил.... Тестеры...

Никто не забыл, детект в базы добавлен сегодня днем.

Внимательно читаем, да?

[Valery Ledovskoy 1082]

Проблемы с ложными срабатываниями эвристики пусть решают те компании, у которых она на каждый чих срабатывает. У них это действительно - головная боль.

Давайте, не будем сейчас искать примеры, у кого и на что срабатывало Эвристика по определению обладает повышенным уровнем ложных срабатываний относительно чёткого детекта. Если у вас это не так - приравнивайте эвристику сигнатурам, и закрываем разговор

[Fixxxer® 65]

эвристика не ставит точного диагноза,и она только помещает в карантин. а если надо пролечить? все понимаю что от сигнатурного детекта надо уходить, а то от количества записей в базах страдает производительность антивируса. Но эвристика должна давать более точные детекты, ну или по крайней мере я должен знать что файл действительно заражен или чист.

Помнится мне замечательный случай с Trojan.Win32.Cosmu.jwn. Это - файловый инфектор. Детект на него был добавлен (сигнатурный), да только процедуры лечения не было. И не было месяца четыре, пока я Юре лично на него не указал. Потом, конечно, поправили.

Так вот - там детект сигнатурный. Есть надежда, что аналитик, добавивший сигнатуру, когда-нибудь вспомнит и добавит лечение. хотя как показал опыт - это не факт.

Но на эвристик никто и никогда лечение не добавит - потому как кроме дятла про него никто не знает.

А, ну да, мне сейчас будут рассказывать о том, что поинфекченные файлы лучше сразу удалить и восстанавливать из бэкапа, потому как лечение никогда не даст исходный вариант. Ну тогда вообще антивирь не нужен! Да здравствует Acronis и Norton Ghost!

[Danilka 678]

Внимательно читаем, да?

Еще раз:

Итак, релизный KIS2011 с базами от 14 числа. Все детектировалось на момент получения (сработала связка эмулятора с сигнатурами). Разумеется, детектируется и сейчас.

[Fixxxer® 65]

Неверно. Сигнатурный движок в перспективе будет необходим лишь для спец. процедур лечения, основной детект - эмуляторный. Потихоньку к этому и идет.

Юра, будущее - это хорошо, но у нас настоящее. И в настоящем корпоративные пользователи негодуют

[Юрий Паршин 330]

Помнится мне замечательный случай с Trojan.Win32.Cosmu.jwn. Это - файловый инфектор. Детект на него был добавлен (сигнатурный), да только процедуры лечения не было. И не было месяца четыре, пока я Юре лично на него не указал. Потом, конечно, поправили.

Так вот - там детект сигнатурный. Есть надежда, что аналитик, добавивший сигнатуру, когда-нибудь вспомнит и добавит лечение. хотя как показал опыт - это не факт.

Но на эвристик никто и никогда лечение не добавит - потому как кроме дятла про него никто не знает.

А, ну да, мне сейчас будут рассказывать о том, что поинфекченные файлы лучше сразу удалить и восстанавливать из бэкапа, потому как лечение никогда не даст исходный вариант. Ну тогда вообще антивирь не нужен! Да здравствует Acronis и Norton Ghost!

Опять же неверно. Вероятность добавления лечения на эвристический детект выше.

[Fixxxer® 65]

Мда, ребята, проигрывать надо уметь.... Проехали, пусть каждый останется при своём мнении.

Мне, например, дико, почему из всей линейки продуктов на угрозу отозвался только один, при чём не корпоративный. Вы правы - проверять все продукты каждого вендора в нашем тесте не предполагалось. Если это было необходимо - хорошо, учтём и в мемориз, дабы все знали, как правильно жить согласно политики ЛК!

[Юрий Паршин 330]

Мда, ребята, проигрывать надо уметь.... Проехали, пусть каждый останется при своём мнении.

Мне, например, дико, почему из всей линейки продуктов на угрозу отозвался только один, при чём не корпоративный. Вы правы - проверять все продукты каждого вендора в нашем тесте не предполагалось. Если это было необходимо - хорошо, учтём и в мемориз, дабы все знали, как правильно жить согласно политики ЛК!

Это не проигрыш, это - некорректный тест.

[Fixxxer® 65]

Это не проигрыш, это - некорректный тест.

Ну да, с точки зрения ЛК. И Виталега. Остальные как-то сильно активно не сопротивляются

Видимо, в следующий раз, перед проведением теста, надо обязательно обсудить его с ЛК и получить чёткие инструкции о проведении. Тогда результаты будут самыми объективными

[Danilka 678]

А его кроме как тут на ресурсе и кроме сотрудников ЛК, которые присутствуют тут, еще кто то видел\обратил внимание (из вендоров)?

[Valery Ledovskoy 1082]

Вероятность добавления лечения на эвристический детект выше.

Потому что резонанс на эвристический детект, когда необходимо лечение, громче?

[Umnik 997]

Видимо, в следующий раз, перед проведением теста, надо обязательно обсудить его с ЛК и получить чёткие инструкции о проведении.

Достаточно просто создать тему с предложением провести тест и обсудить методологию. Возможно кто-то не заметил, но на АМ только так и делается. И не нужно обижаться.

[Fixxxer® 65]

А его кроме как тут на ресурсе и кроме сотрудников ЛК, которые присутствуют тут, еще кто то видел\обратил внимание (из вендоров)?

В личку писали с уточнениями от VirusBuster. Сергей из VBA тоже общался в Jabber. То же - относительно Веба. McAfee написали в почту с извинениями и добавлением детекта в дополнительные базы.

А вообще - погуглите, тест засвечен не только тут.