Перейти к содержанию
Anmawe

Как быстро новые трояны попадают в базу ?

Автор Anmawe, в Общий форум по информационной безопасности

Recommended Posts

Anmawe    5

Anmawe
Опубликовано

Допустим, появился новый троян, антивирусы, установленные на комьютерах пользователей, не обнаруживает его. Через сколько часов/дней этот троян попадет в вирусные базы ?

От чего зависит скорость попадания нового трояна в вирусные базы ?

Зависит ли скорость обнаружения от того, сколько пользователей, у которых установлен антивирус, запустили этот троян ? Чем больше пользователей запустят, тем быстрее обнаружат ?

Кто обнаружит этот троян, каким образом и при каких условиях, если антивирусы не обнаруживают ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Скорость обнаружения традиционными технологиями зависит от:

а) степени распространения угрозы (чем она больше, тем больше вероятность попадания угрозы в автоматизированные или "челоеческие" вирусные лаборатории,

б) реакции проактивной защиты разных продуктов на угрозы: чем болдее подозрительным кажется еще неизвестная вредоносная программа тому или иному продукту, тем больше вероятность попадания файла в его вирлаб,

в) зависит и от, если так можно сказать, типичности угрозы: нетипичные, экстраординарные вирусы с большей вероятностью могут быть неопознаны автодятлами (автоматизированными системами анализа поступающего потока программного обеспечения в вирусные лаборатории).

Антивирусы тоже не просто так обнаруживают новую угрозу. В каких-то случаях, как я понимаю, ее присылают им пользователи, в каких-то они ее сами отлавливают в интернете, а в каких-то случаях угрозы попадает на сервисы, где, так сказать, тусуются любители и профессионалы борьбы с вирусами, т.е. Васе Пупкину показался подозрительным какой-то файл, он его загрузил в соответствующую систему, а антивирусные разработчики отслеживают все, что туда попадает.

Такие системы я бы разделил на 3 категории:

1) мультисканеры, самый известный - virustotal.com, где каждый файл проверяется с помощью множества антивирусов. Если какая-то угроза начинает детектироваться как вирус многими продуктами, тр разработчикам остальных антивирусов поступает о ней информация и они либо предают полученый образец предположительного вредосного ПО тщательному анализу, либо неглядя заносят его в свои базы, доверяя "мнению большинства";

2) полулюбительские сообщества на тему компьютерной безопасности, о которых я уже говорил, в которых люди обмениваются образцами вредоносного ПО;

3) системы, занимающиеся сбором вирусов и их продажей разработчикам антивирусов, например VirusSign. Но тут я могу ошибаться, т.к. не до конца разобрался в схеме и целях их работы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано

Anmawe на эту тему тут содержательные комментарии были.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dfg    36

Dfg
Опубликовано

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    20

RuJN
Опубликовано
Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поддерживаю. Но это если пользователь посещает российские источники угроз, т.е. русскоязычные сайты. Если же он вдруг китаец, живущий в России, и посещает сомнительбные китайские ресурсы, то ему не помешало бы использовать китайский антивирус.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Про китайские антивирусы - это еще надо исследовать вообще. Половина (или больше?) китайский аверов используют вполне себе европейские антивирусные движки.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.WA    0

Rustock.WA
Опубликовано
В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Репутация тут не причём. Именно статистика облака фиксирует кол-во юзеров и именно облако собирает инфу для вирлаба и его детектирующих систем, телеметрию. Проблема есть, когда этой телеметрии не было по файлу.

Репутация позволяет оценить файл с пом. тех признаков, которые не могут быть однозначно обмануты злоумышленниками, это ещё один уровень проактивной защиты, созданный для того, чтобы при малом кол-ве юзеров (скорее полном отсутствии таковых), когда облако файл не знает (а значит и вирлаб, коль детекта нет) репутация смогла угадать вредоносен файл или нет. При этом сам факт не популярности или полной неизвестности явл. одним из признаков вредоносности.

Что касается ЛК и Symantec, то у Symantec этот подход развит значительно лучше.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 7-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для macOS были обновлены до версии 7.3.3700.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.14
      ---------------------------------------------------------
       o Исправлена критическая ошибка при разборе параметров в файлах задач.
         Из-за ошибки uVS мог аварийно завершится без создания дампа.  o Каталог по умолчанию теперь каталог Windows.
         (Для окон выбора каталога).
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      NVIDIA Power Management - приложение с открытым исходным кодом... Для управления настройками электропитания приложение использует System Management Interface. Это утилита командной строки NVIDIA, которая позволяет запрашивать и изменять состояния видеокарт. Инструмент поддерживает графические процессоры NVIDIA Tesla, GRID, Quadro и Titan X, а также может работать с ограничениями с другими видеокартами NVIDIA. NVIDIA Power Management имеет графический интерфейс. Пользователям доступны создание ограничений мощности для отдельных приложений, создание профилей мощности для нескольких приложений, базовый мониторинг производительности, адаптивное энергопотребление и другие функции. https://www.comss.ru/page.php?id=11792 Фактически это не только позволит получать информацию и вести мониторинг. Но и добавить в меню\скрипт uVS новые команды.        
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Руководство по расследованию атак с использованием CVE-2022-21894 BlackLotus campaign https://www.microsoft.com/en-us/security/blog/2023/04/11/guidance-for-investigating-attacks-using-cve-2022-21894-the-blacklotus-campaign/    
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Думаю стоит добавить твик: [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" ------------------- https://www.comss.ru/page.php?id=11668 Бывают всякие непонятные неясные случаи - возможно это в ряде случаев поможет.
×