Перейти к содержанию
alamor

Сравнение скорости реагирования вирлабов

Recommended Posts

OlegAndr

Что [исету] файл пришел через обмен коллекциями из [симантека] а сам тикет еще висит в обработке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Предположим, Нортон добавил детект через сутки, а Исет через 2 суток. Какой вывод мы сделаем?

Сергей Ильин, согласен что разница сутки и двое суток для такого теста наверно не большая, но как показывает тест активного заражения у некоторых вендоров детект не добавляется и через месяц, а у некоторых не детектировались и прошлогодние сэмплы несмотря на то что все сэмплы были взяты из "живой природы".

В чем его ценность для пользователя?

пользователь увидит насколько быстро вендор может отреагировать на свежую угрозу, а какой вендор станет реагировать на эту угрозу только когда она уже широко распространиться.

Если взять частный случай пользователей рунета, то не секрет что многие пользователи не доверяют своему антивирусу и периодически сканируют свой компьютер одноразовой утилитой другого вендора. В данном случае тест покажет предпочтение утилите какого вендора надо отдавать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Пример, с чем сам сталкивался.

###

Шифровальщик "Нимибийских пиратов."

Неделя после заражения

https://www.virustotal.com/ru/file/39450f4c...b2ec7/analysis/

Шифровальщик "Евромайдан"

Неделя после заражения.

https://www.virustotal.com/ru/file/1e3f4e32...3b13e/analysis/

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Пример, с чем сам сталкивался.

Предлагал подобный тест в теме Сравнение скорости реагирования вирлабов, в итоге забраковали :(.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Мне нравится идея проведения такого теста именно для шифровальщиков. Тема очень горячая и такой тест будет востребован. Но проводить его нужно все равно в режиме реального времени. Получили ссылку/email - тут же проверяем.

Давайте подумаем, какая выборка нам для этого понадобится и какие каналы получения самплов для тесты мы можем использовать.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Давайте подумаем, какая выборка нам для этого понадобится и какие каналы получения самплов для тесты мы можем использовать.

Как вариант.

Те шифровальщики, которые попадались, рассылались по базе мыльников (mail.ru, yandex.ru...).

Если идет сработка и шифрация, юзер в панике бежит на популярные сайты помощи)

Есть сайт

http://virusinfo.info/showthread.php?t=156048

По моему, вы там админ, можно просить пострадавших прислать письмо с телом вируса в личку.

Ну а дальше берем тело и закидываем на вирустотал.

Обнаружение в течении 24 часов - золото.

В течении 3-х дней - серебро.

В течении недели - бронза.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну а дальше берем тело и закидываем на вирустотал.

Вот это не пойдет, хотя подкупает простотой подхода. Нужно ставить все антивирусы и пытаться файлы запускать. Иначе мы получим результаты работы без поведенческого анализа, песочниц, репутации и т.п. Такой тест сразу все опустят.

По моему, вы там админ, можно просить пострадавших прислать письмо с телом вируса в личку.

Там идет сейчас большой поток, не с оперативным сбором могут быть все равно проблемы. Сколько нам нужно набрать? Ну хотя бы штук 50 шифровальщиков. Значит, нужно будет перелопатить не менее 100 обращений. Весьма ресурсоемко, но задача подъемная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Вот это не пойдет, хотя подкупает простотой подхода. Нужно ставить все антивирусы и пытаться файлы запускать. Иначе мы получим результаты работы без поведенческого анализа, песочниц, репутации и т.п.

Какой-то смысл в ваших словах есть.

Но не забываем и про корпоративный сектор. Там желательно что-бы вирь убивался еще на подлете.

Идет анализ проходящей почты, траффа и файлопомоек.

Там основная надежда на сигнатурки, поэтому вариант с Тоталом я бы не сбрасывал со счетов.

Можно поделить тест по классам.

Типа за сигнатурки двоечка, а за поведенческий анализ пятерка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg
Сколько нам нужно набрать? Ну хотя бы штук 50 шифровальщиков. Значит, нужно будет перелопатить не менее 100 обращений. Весьма ресурсоемко, но задача подъемная.

Трудность наверное, чтобы определять самые "ранние" жалобы на шифровальщика из заданной серии, остальные из той-же серии отбрасывать. Это будет точкой отсчета.

Можно прогонять "тела" через MD5 хешер. Сделать микробазу таких хэшей, чтоб не путаться, с датами обнаружения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но не забываем и про корпоративный сектор. Там желательно что-бы вирь убивался еще на подлете.

Идет анализ проходящей почты, траффа и файлопомоек.

Там основная надежда на сигнатурки, поэтому вариант с Тоталом я бы не сбрасывал со счетов.

Можно поделить тест по классам.

Типа за сигнатурки двоечка, а за поведенческий анализ пятерка.

Это вариант! За одно корп. сектор можно зацепить. :)

Трудность наверное, чтобы определять самые "ранние" жалобы на шифровальщика из заданной серии, остальные из той-же серии отбрасывать. Это будет точкой отсчета.

Можно прогонять "тела" через MD5 хешер. Сделать микробазу таких хэшей, чтоб не путаться, с датами обнаружения.

Сейчас проще все. Шифровальщики идентифицируются по расширениям, дописывают какой-то emai и код. Следовательно первый запрос по такому email и коду может быть точно отсчета. В других случаях, где это не так, можно смотреть по хешу.

Потом я бы отбрасывал сразу варианты, которые по VT детектят больше 60-70% антивирусов. Будет говорить о залежалости товара.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×