Сравнение скорости реагирования вирлабов

[OlegAndr 236]

Что [исету] файл пришел через обмен коллекциями из [симантека] а сам тикет еще висит в обработке?

[alamor 69]

Предположим, Нортон добавил детект через сутки, а Исет через 2 суток. Какой вывод мы сделаем?

Сергей Ильин, согласен что разница сутки и двое суток для такого теста наверно не большая, но как показывает тест активного заражения у некоторых вендоров детект не добавляется и через месяц, а у некоторых не детектировались и прошлогодние сэмплы несмотря на то что все сэмплы были взяты из "живой природы".

В чем его ценность для пользователя?

пользователь увидит насколько быстро вендор может отреагировать на свежую угрозу, а какой вендор станет реагировать на эту угрозу только когда она уже широко распространиться.

Если взять частный случай пользователей рунета, то не секрет что многие пользователи не доверяют своему антивирусу и периодически сканируют свой компьютер одноразовой утилитой другого вендора. В данном случае тест покажет предпочтение утилите какого вендора надо отдавать.

[Dfg 36]

Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Пример, с чем сам сталкивался.

###

Шифровальщик "Нимибийских пиратов."

Неделя после заражения

https://www.virustotal.com/ru/file/39450f4c...b2ec7/analysis/

Шифровальщик "Евромайдан"

Неделя после заражения.

https://www.virustotal.com/ru/file/1e3f4e32...3b13e/analysis/

[alamor 69]

Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Пример, с чем сам сталкивался.

Предлагал подобный тест в теме Сравнение скорости реагирования вирлабов, в итоге забраковали .

[Сергей Ильин 1538]

Проведите анализ на скорость добавления актуальных вирусов.

Толку от какого-нибуть штатовского антивируса, если он по вирустоталу не видит и через неделю чисто рассейский блокер или шифровальщик.

Мне нравится идея проведения такого теста именно для шифровальщиков. Тема очень горячая и такой тест будет востребован. Но проводить его нужно все равно в режиме реального времени. Получили ссылку/email - тут же проверяем.

Давайте подумаем, какая выборка нам для этого понадобится и какие каналы получения самплов для тесты мы можем использовать.

[Dfg 36]

Давайте подумаем, какая выборка нам для этого понадобится и какие каналы получения самплов для тесты мы можем использовать.

Как вариант.

Те шифровальщики, которые попадались, рассылались по базе мыльников (mail.ru, yandex.ru...).

Если идет сработка и шифрация, юзер в панике бежит на популярные сайты помощи)

Есть сайт

http://virusinfo.info/showthread.php?t=156048

По моему, вы там админ, можно просить пострадавших прислать письмо с телом вируса в личку.

Ну а дальше берем тело и закидываем на вирустотал.

Обнаружение в течении 24 часов - золото.

В течении 3-х дней - серебро.

В течении недели - бронза.

[Сергей Ильин 1538]

Ну а дальше берем тело и закидываем на вирустотал.

Вот это не пойдет, хотя подкупает простотой подхода. Нужно ставить все антивирусы и пытаться файлы запускать. Иначе мы получим результаты работы без поведенческого анализа, песочниц, репутации и т.п. Такой тест сразу все опустят.

По моему, вы там админ, можно просить пострадавших прислать письмо с телом вируса в личку.

Там идет сейчас большой поток, не с оперативным сбором могут быть все равно проблемы. Сколько нам нужно набрать? Ну хотя бы штук 50 шифровальщиков. Значит, нужно будет перелопатить не менее 100 обращений. Весьма ресурсоемко, но задача подъемная.

[Dfg 36]

Вот это не пойдет, хотя подкупает простотой подхода. Нужно ставить все антивирусы и пытаться файлы запускать. Иначе мы получим результаты работы без поведенческого анализа, песочниц, репутации и т.п.

Какой-то смысл в ваших словах есть.

Но не забываем и про корпоративный сектор. Там желательно что-бы вирь убивался еще на подлете.

Идет анализ проходящей почты, траффа и файлопомоек.

Там основная надежда на сигнатурки, поэтому вариант с Тоталом я бы не сбрасывал со счетов.

Можно поделить тест по классам.

Типа за сигнатурки двоечка, а за поведенческий анализ пятерка.

[Dfg 36]

Сколько нам нужно набрать? Ну хотя бы штук 50 шифровальщиков. Значит, нужно будет перелопатить не менее 100 обращений. Весьма ресурсоемко, но задача подъемная.

Трудность наверное, чтобы определять самые "ранние" жалобы на шифровальщика из заданной серии, остальные из той-же серии отбрасывать. Это будет точкой отсчета.

Можно прогонять "тела" через MD5 хешер. Сделать микробазу таких хэшей, чтоб не путаться, с датами обнаружения.

[Сергей Ильин 1538]

Но не забываем и про корпоративный сектор. Там желательно что-бы вирь убивался еще на подлете.

Идет анализ проходящей почты, траффа и файлопомоек.

Там основная надежда на сигнатурки, поэтому вариант с Тоталом я бы не сбрасывал со счетов.

Можно поделить тест по классам.

Типа за сигнатурки двоечка, а за поведенческий анализ пятерка.

Это вариант! За одно корп. сектор можно зацепить.

Трудность наверное, чтобы определять самые "ранние" жалобы на шифровальщика из заданной серии, остальные из той-же серии отбрасывать. Это будет точкой отсчета.

Можно прогонять "тела" через MD5 хешер. Сделать микробазу таких хэшей, чтоб не путаться, с датами обнаружения.

Сейчас проще все. Шифровальщики идентифицируются по расширениям, дописывают какой-то emai и код. Следовательно первый запрос по такому email и коду может быть точно отсчета. В других случаях, где это не так, можно смотреть по хешу.

Потом я бы отбрасывал сразу варианты, которые по VT детектят больше 60-70% антивирусов. Будет говорить о залежалости товара.