Как быстро новые трояны попадают в базу ? - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
Anmawe

Как быстро новые трояны попадают в базу ?

Автор Anmawe, в Общий форум по информационной безопасности

Recommended Posts

Anmawe    5

Anmawe
Опубликовано

Допустим, появился новый троян, антивирусы, установленные на комьютерах пользователей, не обнаруживает его. Через сколько часов/дней этот троян попадет в вирусные базы ?

От чего зависит скорость попадания нового трояна в вирусные базы ?

Зависит ли скорость обнаружения от того, сколько пользователей, у которых установлен антивирус, запустили этот троян ? Чем больше пользователей запустят, тем быстрее обнаружат ?

Кто обнаружит этот троян, каким образом и при каких условиях, если антивирусы не обнаруживают ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    21

RuJN
Опубликовано

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Скорость обнаружения традиционными технологиями зависит от:

а) степени распространения угрозы (чем она больше, тем больше вероятность попадания угрозы в автоматизированные или "челоеческие" вирусные лаборатории,

б) реакции проактивной защиты разных продуктов на угрозы: чем болдее подозрительным кажется еще неизвестная вредоносная программа тому или иному продукту, тем больше вероятность попадания файла в его вирлаб,

в) зависит и от, если так можно сказать, типичности угрозы: нетипичные, экстраординарные вирусы с большей вероятностью могут быть неопознаны автодятлами (автоматизированными системами анализа поступающего потока программного обеспечения в вирусные лаборатории).

Антивирусы тоже не просто так обнаруживают новую угрозу. В каких-то случаях, как я понимаю, ее присылают им пользователи, в каких-то они ее сами отлавливают в интернете, а в каких-то случаях угрозы попадает на сервисы, где, так сказать, тусуются любители и профессионалы борьбы с вирусами, т.е. Васе Пупкину показался подозрительным какой-то файл, он его загрузил в соответствующую систему, а антивирусные разработчики отслеживают все, что туда попадает.

Такие системы я бы разделил на 3 категории:

1) мультисканеры, самый известный - virustotal.com, где каждый файл проверяется с помощью множества антивирусов. Если какая-то угроза начинает детектироваться как вирус многими продуктами, тр разработчикам остальных антивирусов поступает о ней информация и они либо предают полученый образец предположительного вредосного ПО тщательному анализу, либо неглядя заносят его в свои базы, доверяя "мнению большинства";

2) полулюбительские сообщества на тему компьютерной безопасности, о которых я уже говорил, в которых люди обмениваются образцами вредоносного ПО;

3) системы, занимающиеся сбором вирусов и их продажей разработчикам антивирусов, например VirusSign. Но тут я могу ошибаться, т.к. не до конца разобрался в схеме и целях их работы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

alamor    69

alamor
Опубликовано

Anmawe на эту тему тут содержательные комментарии были.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dfg    36

Dfg
Опубликовано

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RuJN    21

RuJN
Опубликовано
Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей ;)

Поддерживаю. Но это если пользователь посещает российские источники угроз, т.е. русскоязычные сайты. Если же он вдруг китаец, живущий в России, и посещает сомнительбные китайские ресурсы, то ему не помешало бы использовать китайский антивирус.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Про китайские антивирусы - это еще надо исследовать вообще. Половина (или больше?) китайский аверов используют вполне себе европейские антивирусные движки.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rustock.WA    0

Rustock.WA
Опубликовано
В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Репутация тут не причём. Именно статистика облака фиксирует кол-во юзеров и именно облако собирает инфу для вирлаба и его детектирующих систем, телеметрию. Проблема есть, когда этой телеметрии не было по файлу.

Репутация позволяет оценить файл с пом. тех признаков, которые не могут быть однозначно обмануты злоумышленниками, это ещё один уровень проактивной защиты, созданный для того, чтобы при малом кол-ве юзеров (скорее полном отсутствии таковых), когда облако файл не знает (а значит и вирлаб, коль детекта нет) репутация смогла угадать вредоносен файл или нет. При этом сам факт не популярности или полной неизвестности явл. одним из признаков вредоносности.

Что касается ЛК и Symantec, то у Symantec этот подход развит значительно лучше.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×