Перейти к содержанию
Anmawe

Как быстро новые трояны попадают в базу ?

Recommended Posts

Anmawe

Допустим, появился новый троян, антивирусы, установленные на комьютерах пользователей, не обнаруживает его. Через сколько часов/дней этот троян попадет в вирусные базы ?

От чего зависит скорость попадания нового трояна в вирусные базы ?

Зависит ли скорость обнаружения от того, сколько пользователей, у которых установлен антивирус, запустили этот троян ? Чем больше пользователей запустят, тем быстрее обнаружат ?

Кто обнаружит этот троян, каким образом и при каких условиях, если антивирусы не обнаруживают ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Скорость обнаружения традиционными технологиями зависит от:

а) степени распространения угрозы (чем она больше, тем больше вероятность попадания угрозы в автоматизированные или "челоеческие" вирусные лаборатории,

б) реакции проактивной защиты разных продуктов на угрозы: чем болдее подозрительным кажется еще неизвестная вредоносная программа тому или иному продукту, тем больше вероятность попадания файла в его вирлаб,

в) зависит и от, если так можно сказать, типичности угрозы: нетипичные, экстраординарные вирусы с большей вероятностью могут быть неопознаны автодятлами (автоматизированными системами анализа поступающего потока программного обеспечения в вирусные лаборатории).

Антивирусы тоже не просто так обнаруживают новую угрозу. В каких-то случаях, как я понимаю, ее присылают им пользователи, в каких-то они ее сами отлавливают в интернете, а в каких-то случаях угрозы попадает на сервисы, где, так сказать, тусуются любители и профессионалы борьбы с вирусами, т.е. Васе Пупкину показался подозрительным какой-то файл, он его загрузил в соответствующую систему, а антивирусные разработчики отслеживают все, что туда попадает.

Такие системы я бы разделил на 3 категории:

1) мультисканеры, самый известный - virustotal.com, где каждый файл проверяется с помощью множества антивирусов. Если какая-то угроза начинает детектироваться как вирус многими продуктами, тр разработчикам остальных антивирусов поступает о ней информация и они либо предают полученый образец предположительного вредосного ПО тщательному анализу, либо неглядя заносят его в свои базы, доверяя "мнению большинства";

2) полулюбительские сообщества на тему компьютерной безопасности, о которых я уже говорил, в которых люди обмениваются образцами вредоносного ПО;

3) системы, занимающиеся сбором вирусов и их продажей разработчикам антивирусов, например VirusSign. Но тут я могу ошибаться, т.к. не до конца разобрался в схеме и целях их работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor

Anmawe на эту тему тут содержательные комментарии были.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dfg

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поддерживаю. Но это если пользователь посещает российские источники угроз, т.е. русскоязычные сайты. Если же он вдруг китаец, живущий в России, и посещает сомнительбные китайские ресурсы, то ему не помешало бы использовать китайский антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Про китайские антивирусы - это еще надо исследовать вообще. Половина (или больше?) китайский аверов используют вполне себе европейские антивирусные движки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA
В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Репутация тут не причём. Именно статистика облака фиксирует кол-во юзеров и именно облако собирает инфу для вирлаба и его детектирующих систем, телеметрию. Проблема есть, когда этой телеметрии не было по файлу.

Репутация позволяет оценить файл с пом. тех признаков, которые не могут быть однозначно обмануты злоумышленниками, это ещё один уровень проактивной защиты, созданный для того, чтобы при малом кол-ве юзеров (скорее полном отсутствии таковых), когда облако файл не знает (а значит и вирлаб, коль детекта нет) репутация смогла угадать вредоносен файл или нет. При этом сам факт не популярности или полной неизвестности явл. одним из признаков вредоносности.

Что касается ЛК и Symantec, то у Symantec этот подход развит значительно лучше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×