Перейти к содержанию
Anmawe

Как быстро новые трояны попадают в базу ?

Recommended Posts

Anmawe

Допустим, появился новый троян, антивирусы, установленные на комьютерах пользователей, не обнаруживает его. Через сколько часов/дней этот троян попадет в вирусные базы ?

От чего зависит скорость попадания нового трояна в вирусные базы ?

Зависит ли скорость обнаружения от того, сколько пользователей, у которых установлен антивирус, запустили этот троян ? Чем больше пользователей запустят, тем быстрее обнаружат ?

Кто обнаружит этот троян, каким образом и при каких условиях, если антивирусы не обнаруживают ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Скорость обнаружения традиционными технологиями зависит от:

а) степени распространения угрозы (чем она больше, тем больше вероятность попадания угрозы в автоматизированные или "челоеческие" вирусные лаборатории,

б) реакции проактивной защиты разных продуктов на угрозы: чем болдее подозрительным кажется еще неизвестная вредоносная программа тому или иному продукту, тем больше вероятность попадания файла в его вирлаб,

в) зависит и от, если так можно сказать, типичности угрозы: нетипичные, экстраординарные вирусы с большей вероятностью могут быть неопознаны автодятлами (автоматизированными системами анализа поступающего потока программного обеспечения в вирусные лаборатории).

Антивирусы тоже не просто так обнаруживают новую угрозу. В каких-то случаях, как я понимаю, ее присылают им пользователи, в каких-то они ее сами отлавливают в интернете, а в каких-то случаях угрозы попадает на сервисы, где, так сказать, тусуются любители и профессионалы борьбы с вирусами, т.е. Васе Пупкину показался подозрительным какой-то файл, он его загрузил в соответствующую систему, а антивирусные разработчики отслеживают все, что туда попадает.

Такие системы я бы разделил на 3 категории:

1) мультисканеры, самый известный - virustotal.com, где каждый файл проверяется с помощью множества антивирусов. Если какая-то угроза начинает детектироваться как вирус многими продуктами, тр разработчикам остальных антивирусов поступает о ней информация и они либо предают полученый образец предположительного вредосного ПО тщательному анализу, либо неглядя заносят его в свои базы, доверяя "мнению большинства";

2) полулюбительские сообщества на тему компьютерной безопасности, о которых я уже говорил, в которых люди обмениваются образцами вредоносного ПО;

3) системы, занимающиеся сбором вирусов и их продажей разработчикам антивирусов, например VirusSign. Но тут я могу ошибаться, т.к. не до конца разобрался в схеме и целях их работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Anmawe на эту тему тут содержательные комментарии были.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поддерживаю. Но это если пользователь посещает российские источники угроз, т.е. русскоязычные сайты. Если же он вдруг китаец, живущий в России, и посещает сомнительбные китайские ресурсы, то ему не помешало бы использовать китайский антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Про китайские антивирусы - это еще надо исследовать вообще. Половина (или больше?) китайский аверов используют вполне себе европейские антивирусные движки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Репутация тут не причём. Именно статистика облака фиксирует кол-во юзеров и именно облако собирает инфу для вирлаба и его детектирующих систем, телеметрию. Проблема есть, когда этой телеметрии не было по файлу.

Репутация позволяет оценить файл с пом. тех признаков, которые не могут быть однозначно обмануты злоумышленниками, это ещё один уровень проактивной защиты, созданный для того, чтобы при малом кол-ве юзеров (скорее полном отсутствии таковых), когда облако файл не знает (а значит и вирлаб, коль детекта нет) репутация смогла угадать вредоносен файл или нет. При этом сам факт не популярности или полной неизвестности явл. одним из признаков вредоносности.

Что касается ЛК и Symantec, то у Symantec этот подход развит значительно лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×