Как быстро новые трояны попадают в базу ?

[Anmawe 5]

Допустим, появился новый троян, антивирусы, установленные на комьютерах пользователей, не обнаруживает его. Через сколько часов/дней этот троян попадет в вирусные базы ?

От чего зависит скорость попадания нового трояна в вирусные базы ?

Зависит ли скорость обнаружения от того, сколько пользователей, у которых установлен антивирус, запустили этот троян ? Чем больше пользователей запустят, тем быстрее обнаружат ?

Кто обнаружит этот троян, каким образом и при каких условиях, если антивирусы не обнаруживают ?

[RuJN 21]

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Скорость обнаружения традиционными технологиями зависит от:

а) степени распространения угрозы (чем она больше, тем больше вероятность попадания угрозы в автоматизированные или "челоеческие" вирусные лаборатории,

б) реакции проактивной защиты разных продуктов на угрозы: чем болдее подозрительным кажется еще неизвестная вредоносная программа тому или иному продукту, тем больше вероятность попадания файла в его вирлаб,

в) зависит и от, если так можно сказать, типичности угрозы: нетипичные, экстраординарные вирусы с большей вероятностью могут быть неопознаны автодятлами (автоматизированными системами анализа поступающего потока программного обеспечения в вирусные лаборатории).

Антивирусы тоже не просто так обнаруживают новую угрозу. В каких-то случаях, как я понимаю, ее присылают им пользователи, в каких-то они ее сами отлавливают в интернете, а в каких-то случаях угрозы попадает на сервисы, где, так сказать, тусуются любители и профессионалы борьбы с вирусами, т.е. Васе Пупкину показался подозрительным какой-то файл, он его загрузил в соответствующую систему, а антивирусные разработчики отслеживают все, что туда попадает.

Такие системы я бы разделил на 3 категории:

1) мультисканеры, самый известный - virustotal.com, где каждый файл проверяется с помощью множества антивирусов. Если какая-то угроза начинает детектироваться как вирус многими продуктами, тр разработчикам остальных антивирусов поступает о ней информация и они либо предают полученый образец предположительного вредосного ПО тщательному анализу, либо неглядя заносят его в свои базы, доверяя "мнению большинства";

2) полулюбительские сообщества на тему компьютерной безопасности, о которых я уже говорил, в которых люди обмениваются образцами вредоносного ПО;

3) системы, занимающиеся сбором вирусов и их продажей разработчикам антивирусов, например VirusSign. Но тут я могу ошибаться, т.к. не до конца разобрался в схеме и целях их работы.

[alamor 69]

Anmawe на эту тему тут содержательные комментарии были.

[Dfg 36]

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей

[RuJN 21]

Тот вариант теста так и не провели.

По опыту, на модификации специфических вирусов российского сегмента типа keybtc (уже сталкивался) быстрее реакцию у российских же антивирусов.

Западники сильно тормозят. Поддерживайте отечественных производителей

Поддерживаю. Но это если пользователь посещает российские источники угроз, т.е. русскоязычные сайты. Если же он вдруг китаец, живущий в России, и посещает сомнительбные китайские ресурсы, то ему не помешало бы использовать китайский антивирус.

[priv8v 960]

Про китайские антивирусы - это еще надо исследовать вообще. Половина (или больше?) китайский аверов используют вполне себе европейские антивирусные движки.

[Rustock.WA 0]

В случае продуктов, использующих систему репутации файлов (Касперский, Симантек), то да, чем у большего числа пользователь появился выирус, тем быстрее наступит детект.

Репутация тут не причём. Именно статистика облака фиксирует кол-во юзеров и именно облако собирает инфу для вирлаба и его детектирующих систем, телеметрию. Проблема есть, когда этой телеметрии не было по файлу.

Репутация позволяет оценить файл с пом. тех признаков, которые не могут быть однозначно обмануты злоумышленниками, это ещё один уровень проактивной защиты, созданный для того, чтобы при малом кол-ве юзеров (скорее полном отсутствии таковых), когда облако файл не знает (а значит и вирлаб, коль детекта нет) репутация смогла угадать вредоносен файл или нет. При этом сам факт не популярности или полной неизвестности явл. одним из признаков вредоносности.

Что касается ЛК и Symantec, то у Symantec этот подход развит значительно лучше.