Тест антивирусов на лечение активного заражения VI (результаты)

[AlexxSun 150]

Неплохо написано, есть пара замечаний:

1)

в том время как с его компьютер будет частью бот-сети, и с него будут собираться конфиденциальные данные.

звучит не совсем по-русски

2)

А как вы относитесь к букве Ё ? За или против?

[Сергей Ильин 1538]

AlexxSun, пропустил этот момент. Ё не привык использовать, просто машинально игнорируется эта буква.

[A. 876]

По следам тестирования написал небольшую статью http://www.anti-malware.ru/analytics/activ..._challenge_2012

Извини, но ниачом.

Как и почему сложилась такая ситуация и пойдет речь в данной статье.

...

Почему постепенно лечению перестало уделяться должное внимание?

Внятного ответа на этот вопрос нет.

[SDA 750]

По следам тестирования написал небольшую статью http://www.anti-malware.ru/analytics/activ..._challenge_2012

А вывод может быть такой:

лечение было актуально, когда у антивирусов кроме сигнатур и эвристики ничего не было. Сигнатуры нет, эвристик пропустил, задетектили, пришла сигнатура,обнаружил,вылечил. Сейчас с совершенствованием проактивных и облачных технологий, актуально не лечение (лечение передается спец.утилитам), а блокировка вредоноса. Пример с того же ВИ http://virusinfo.info/showthread.php?t=125874 по тем же шифровальщикам косвенно это подтверждает, какое лечение в данном случае тут может быть кроме специальной утилиты дешифровщика, если конечно она справиться.

[Kapral 311]

А вывод может быть такой:

1. Блокируем загрузку спецутилит

2. ....

3. PROFIT!!11!

[AlexxSun 150]

.......

Почему постепенно лечению перестало уделяться должное внимание?

Внятного ответа на этот вопрос нет.

Для того, чтобы ответить на этот вопрос в полном объёме, придётся выведывать эту святую тайну у руководящего звена производителей антивирусов, а также у маркетологов этих компаний. Естественно, что они по этому вопросу ничего не скажут. Поэтому и в статье об этом можно написать лишь в предположительной форме. В надежде, что может быть откликнуться и хоть как-то прокомментируют свои провальные результаты.

....... Ё не привык использовать, просто машинально игнорируется эта буква.

Я вот почему уточнил — в начале статьи эта буква не применяется, а в последнем предложении её уже можно увидеть:

Но, несмотря на все обилие механизмов и их совместное применение – сигнатурных, поведенческих, репутационных, – непрекращающийся поток запросов на лечение в службах поддержки антивирусных производителей и на специализированных форумах показывает, что проблема лечения остаётся, по-прежнему, острой.

Законодательно применение буквы Ё ещё вроде бы только собираются закрепить, поэтому формально ошибкой не считается её отсутствие. Но тогда нужно привести в статье к единому порядку: или везде, где она нужна — её проставить, или там где её применили случайно — удалить

[sww 486]

Сейчас с совершенствованием проактивных и облачных технологий, актуально не лечение (лечение передается спец.утилитам), а блокировка вредоноса.

1. Как это ни печально, но факт - детект не поспевает при любых технологиях.

2. Спец. утилиты - бесперспективный шаг. Лучше потратить N-человекочасов на создание универсальной инфраструктуры в самом продукте.

Очевидно же, что "автомат" намного лучше сотен/тысяч запросов в тех.поддержку и на специализированные форумы.

[SDA 750]

1. Блокируем загрузку спецутилит

2. ....

3. PROFIT!!11!

Если перенести в реал, то вырисовывается такая картинка:

активное заражение- антивирус X пропустил, пользователь Вася пытается поставить антивирус Y , зараза блокирует инсталяцию, PROFIT!

Но можно возразить, антивирус X заразу пропустил, а через какое то время задетектил, правда к этому времени все пароли ушли, а файлы оказались зашифрованы, PROFIT! Занимайтесь дроч лечением

[SDA 750]

Лучше потратить N-человекочасов на создание универсальной инфраструктуры в самом продукте.

Где ты золотая середина? Часть вендоров ПРОСТО пошла по пути совершенствования противодействия заражению, оставив лечение на "сухой остаток", посчитав такой путь более перспективным. Пропущенный вредонос это зараженная система, т.е. уже не моя, а чужая. Хоть и временно, а может быть и постоянно.

А ктойто детектирование и лечение делает по пол года и более - и/и плодит баги( и любимые тормоза и ручники ) во ВСЁМ продукте( и лечит старую малварь, 2 штуки). И где эти люди лечатся? А я улитами - всякими , SysRescue вылечу всё и сразу.

Виталек, у тебя штаны антивирус пуленепробиваемый

[sww 486]

Где ты золотая середина? Часть вендоров ПРОСТО пошла по пути совершенствования противодействия заражению, оставив лечение на "сухой остаток", посчитав такой путь более перспективным. Пропущенный вредонос это зараженная система, т.е. уже не моя, а чужая. Хоть и временно, а может быть и постоянно.

Золотая середина заключается в том, чтобы развивать все направления в той или иной степени. Я как одепт лечения прекрасно осознаю, что важнее не допустить заражения, чем лечить после.

[A. 876]

Для того, чтобы ответить на этот вопрос в полном объёме, придётся выведывать эту святую тайну у руководящего звена производителей антивирусов, а также у маркетологов этих компаний

Ты заблуждаешься если считаешь что перечисленные круги вообще в курсе таких особенностей их продуктов.

[mvs 92]

со стороны это выглядит тупо как нехватка ресурсов, и если платят деньги за антивирус зачем напрягаться...

а по факту на той стороне злодейской люди тоже хотят кушать и квалификация и бездействие со стороны госудраства им это позволяет делать.

[SDA 750]

Золотая середина заключается в том, чтобы развивать все направления в той или иной степени.

Хорошо, если принять эту точку зрения, то сразу же возникают вопросы:

вендоры которые обладают соответствующим потенциалом и ресурсами, почему то к этому не стремятся? Они этого не понимают?

а есть ли смысл и возможность развивать все направления в равной степени не в ущерб простоте и эргономичности для конечного пользователя (баги, тормоза и т.д.)?

Ну можно еще вопросов "вагон и маленькую тележку", но хватит двух.

[MORDRED 80]

Я зарегистрировался на этом сомнительном сайте..

[Сергей Ильин 1538]

Почему постепенно лечению перестало уделяться должное внимание?

Внятного ответа на этот вопрос нет.

Почему не уделяется я написал. Сделана ставка не предотвращение попадания вредоносного кода в систему и связанные с этим технологии. Кроме этого изменился и ланшафт угроз в том смысле, что пропуск чего-либо на день в систему уже сам по себе может быть критичен и лечить уже может не быть смысла (проще убить скомпрометированную систему). Это первое. А второе - да посто тырить детект проще, чем разрабатывать процедуры лечения. Это все есть в статье, кстати.

Что-то я упустил из виду?

2. Спец. утилиты - бесперспективный шаг. Лучше потратить N-человекочасов на создание универсальной инфраструктуры в самом продукте.

Судя по всему многие делают ставку именно на утилиты: Microsoft, Symantec, Eset .. даже Каспрерский и DrWeb тоже в этом же тренде в некотором смысле (TDSSKiller, CureIT).

[AlexxSun 150]

Ты заблуждаешься если считаешь что перечисленные круги вообще в курсе таких особенностей их продуктов.

Не это ли и есть одна из основных целей данного теста — проинформировать виноватых о том, что их продукт по данному вопросу находится в положении "на пол шестого"?

[Сергей Ильин 1538]

со стороны это выглядит тупо как нехватка ресурсов, и если платят деньги за антивирус зачем напрягаться...

а есть ли смысл и возможность развивать все направления в равной степени не в ущерб простоте и эргономичности для конечного пользователя (баги, тормоза и т.д.)?

Бизнес - это всегда ограниченные ресурсы. Не бывает бизнеса с неограниченными ресурсами. Поэтому и получается, что лучше сделать хлопушку какую-то и выиграть тесты на детект (профит), чем тратить ресурсы на лечение, которое замятят и оценят проценты пользователей.

[A. 876]

Не это ли и есть одна из основных целей данного теста — проинформировать виноватых о том, что их продукт по данному вопросу находится в положении "на пол шестого"?

Я не знаю ставили ли перед собой такую задачу авторы теста. Но думаю, что при продолжающемся отсутствии перевода на английский язык - эти все "цели" - просто пук в воду.

[AlexxSun 150]

Бизнес - это всегда ограниченные ресурсы.

Компанию Симантек с её оборотом в 6 млд. долларов и чистой ежегодной прибылью более чем в 700 млн. очень сложно заподозрить в нехватке ресурсов )

Компании Лаборатория Касперского и Доктор Веб (с куда более скромными оборотами и прибылью) почему-то могут сделать достойную процедуру лечения, а такой монстр, как Симантек — нет

Но думаю, что при продолжающемся отсутствии перевода на английский язык

Да, меня раньше всегда удивляло (и даже раздражало ) , почему на Securelist статьи сначала выходят на английском языке, сейчас уже нет ))

[Сергей Ильин 1538]

Да, меня раньше всегда удивляло (и даже раздражало ) , почему на Securelist статьи сначала выходят на английском языке, сейчас уже нет ))

Переведем все, обязательно, у нас новая анг. версия в процессе. "Сейчас я буду переводить все тесты!"

[sww 486]

вендоры которые обладают соответствующим потенциалом и ресурсами, почему то к этому не стремятся? Они этого не понимают?

Это не ко мне вопрос, это вопрос к вендорам.

а есть ли смысл и возможность развивать все направления в равной степени не в ущерб простоте и эргономичности для конечного пользователя (баги, тормоза и т.д.)?

Да. Не обязательно в равной степени.

И я не вижу никакой связи между наличием компонента анти-руткит и простотой/эргономичностью.

[santy 153]

Золотая середина заключается в том, чтобы развивать все направления в той или иной степени. Я как одепт лечения прекрасно осознаю, что важнее не допустить заражения, чем лечить после.

имхо, это верная мысль: развивать как технологии предупреждения заражения, так и технологии лечения. Причем и техники и технологии лечения должны быть разнообразными. Для пользователя актуально время восстановления системы в нормальное рабочее состояние: чтобы процессы не загружались по 100%, что браузеры не перебрасывало на непонятные страницы, чтобы рабочие окна не перекрывались банерами и прочими левыми окнами, чтобы антивирус не прерывал работу всплывающими окнами угроз и т.д.

------------

каким способом это будет сделано: или запуском специализированной утилиты, или полным сканированием системы (в нормальном или безопасном режиме), или загрузкой с Live.CD и тем же сканом. Или обращением на специализированный форум за лечением с помощью скриптов (точечное лечение). Неважно. Важно время восстановление системы в рабочее состояние.

Для антивирусной компании актуально с одной стороны минимальная нагрузка на специалистов, связанная с незапланированными пропусками угроз, с другой стороны наличие в арсенале служб компании инструментов и методов (в том числе и с расчетом на квалификацию юзера на "той стороне") которые могут избавить систему (и пользователей) от максимального количества угроз.

Наверное, и прибыть компании будет в немалой степени зависеть от этого.

пример. лечим заражение по локальной сети на удаленном хосте.

бутовый карберп с защитой от перезаписи загрузчиков. Ждать выпуска сигнатур для лечения антивирусом (Не Касперский) из активной системы бесполезно. Не лечит. А что есть в арсенале. Утилиты и загрузочный диск. (образ которого еще надо переписать на удаленную машину). Проверяем утилитой. Нет детекта еще. Не добавлен. Пробуем записать загрузочный диск. Юзер не уверен в том, что сможет сделать все по инструкции - загрузиться с него, менять какие то настройки в БИОС. К тому же оказывается, что carberp вообще блокирует запись в загрузчики на всех устройствах. Подключаемся к другой чистой машине (из того же офиса). Там менеджеру некогда ждать, ему надо срочно делать свою работу. Машешь рукой. До свидания. Ждите, пока утилита обновит детект и вылечит загрузчик из активной системы. Благо, что разработчик утилиты оперативно откликается на необходимость добавить новый детект. Не прошло и дня.

-----------

выводы:

1. Неплохо бы штатному антивирусу поддерживать локальный защищенный репозитарий из небольших утилит лечения. чтобы при обновлении данных утилит, происходило бы их автоматическое обновление вместе с базами. (или хотя бы опционально через настройки).

2. строгое следование заповеди - "не навреди пользователю и системе", если один из методов лечения содержит риски повреждения системы, значит должны развиваться (и применяться) другие методы с меньшими рисками.

[Milord 55]

О странном вы тут говорите, если сценарий предполагает ситуацию лечения, что стоят все заявленные технологии защиты, и тем более в автоматическом режиме (которые более менее реализованы у Bitdefender), а?

[_Stout 131]

Не это ли и есть одна из основных целей данного теста — проинформировать виноватых о том, что их продукт по данному вопросу находится в положении "на пол шестого"?

Важно знать ответ на еще один вопрос -- а нужно ли это лечение? Насколько оно востребовано клиентом? Может быть для тех бедолаг, что заразились, проще позвонить в (иногда) бесплатную службу поддержки и (иногда) получить спец утилиту (или рекомендачию все переставить)? Не будет ли это дешевле для вендора, чем вкладываться в создание супер продукта, который все лечит? Я не утверждаю, что этот подход лучше или хуже, я лишь призываю посмотреть на проблему под разными углами и с разных точек зрения.

[AlexxSun 150]

Слава Богу, что врачи пока не встают в такую позу, как производители антивирусных программ А то страшно себе представить, что было бы с нами, с больными.

Заболел? Сам виноват, мы тебе сейчас органы переустановим, так как лечить их от заразы уже бесполезно

P.S. Сегодня к нам приезжала наша местная министр минздрава, так вот до сих пор нахожусь под впечатлением. Заявила, что скрининг — это ужасно дорого, и затраты на него будут сокращать (