Перейти к содержанию
Иван

Trend Micro изобретает велосипед

Автор Иван, в Аналитика

Recommended Posts

Иван    290

Иван
Опубликовано

Может Михаил Кондрашин скинет нам презентацию двух зубров, о которой говорится в статье ниже?

Больше всего меня порадовал показательный комент пользователя к этой статье: 21.09.2007 15:49:06, Lena говорит:

То есть, словлю я вирус и - ура! - смогу отнести его к конкретной группе! :D

Trend Micro изобретает велосипед

Опубликовано: 21.09.2007 | 11:08 Автор: Анна Петрова

Два «зубра» компании Trend Micro Дэвид Пэрри (David Perry), директор всемирной службы просвещения, и Энтони Эрротт (Anthony Arrott), старший исследователь вредоносных программ, сообщили, что знают способ изменения антивирусной индустрии к лучшему. Они убеждены, что спасением человечества от компьютерной заразы станет введение новой классификации преступного ПО.

И, разумеется, предлагают свой вариант, который они подробно опишут буквально на днях в своем докладе «Новый взгляд на категоризацию экономически ориентированных кибер-угроз» на конференции в Вене.

Пэрри и Эрротт критикуют нынешнюю классификацию за то, что она, в основном, концентрируется на технической стороне функционирования вредоносных программ и упускает из виду более важный, особенно для рядовых пользователей, показатель – как именно «вредоносец» пытается украсть деньги. «Проблема в том, что мы как будто говорим на разных языках, – сокрушается Пэрри. – Я занимаюсь этим делом 26 лет, и меня порядком утомило, что мы пытаемся защищать людей, а они даже не знаю, от чего именно». Например, термин «вирус». Для неискушенного пользователя «вирус» – это общее наименование всех неприятностей, которые можно «словить». А на самом деле, поясняет Дэвид Пэрри, вирус – это лишь часть программы, которая размножается и прицепляется к другим элементам или программам. К тому же появилась масса других наименований вроде «троян», «dialer» (он же «звонилка», «дозвонщик», способный самостоятельно вступить в порочную модемную связь с нужным ей сервером), «adware» (приложение, загружающее на компьютер рекламную информацию без согласия на то пользователя) и многие другие. Все это провоцирует жуткую мешанину терминов и, как следствие, путаницу, которую порой усугубляют производители антивирусов, относя одну и ту же программу к разным категориям.

Пока что Пэрри и Эрротт не разглашают подробности своей инновационной систематики, однако на кое-каких важных, на их взгляд, параметрах они остановились. По их мнению, главный недостаток существующих классификаций в том, что они не обращают внимания именно на экономическую сторону дела. Ведь бизнес-модель, если можно так выразиться, вредоносных программ ориентирована на получение денег, и определить используемую схему на этом основании гораздо проще, а, главное, полезнее, чем ковыряться в многочисленных вариациях технических средств, которые они используют. Таким образом, категорий должно стать меньше, но они должны иметь более широкой охват – чтобы отчетливей были видны границы между ними.

В идеале категоризация отныне должна не столько исходить из самого действия и природы «вредоносца», сколько учитывать способ установки, экономические цели, то, как он прячется от обнаружения. Также новым критерием станет его устойчивость и «продолжительность жизни», что позволит более точно определить масштаб происшествия. В докладе также осветят и тот факт, что антивирусные компании, как правило, сосредоточиваются на вредоносных программах, встречающихся наиболее часто, в то время как внимание следует обращать на те, что с трудом поддаются излечению, даже если они атакуют гораздо реже. Дэвид Пэрри ожидает плодотворной дискуссии на затронутую тему, однако не преминул отметить, что секьюрити-индустрия в настоящее время пребывает не в лучшей свой форме и, похоже, компании не настроены на сотрудничество. «Как дети малые», – резюмировал он.

По мнению Ольги Кобзаревой, руководителя информационной службы «Лаборатории Касперского», огромное количество всевозможных методик категоризации вызвано тем, что многие производители антивирусов шли не проторенной дорожкой, а пытались изобрести велосипед: «Они развивались по собственному пути, каждая компания придумывала что-то свое. Именно по этой причине мы получили такое многообразие классификаций. У каждой их них есть определенные плюсы. Но и минусы тоже». По ее мнению, то, что происходит сейчас, когда каждый все называет по-своему, лишь добавляет путаницы: «Дело в том, что общепринятой классификации на данный момент не существует. Вредоносные программы систематизируются по тем или иным признакам, и эти наборы признаков у каждой АВ-компании могут быть свои». Недавно «Лаборатория Касперского» сообщила о намерении презентовать собственный вариант, но пока озвучиваются лишь его базовые принципы. Безусловно, было бы гораздо удобнее, если бы, наконец, приняли единую классификацию. «Это хорошо, прежде всего, для пользователя, когда он будет знать, что все антивирусные компании пользуются одной терминологией. Например, у него будет возможность использовать целый ряд сервисов различных АВ-компаний. Другой вопрос, что этого мы в обозримом будущем не получим», - поясняет Ольга Кобзарева.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Иван    290

Иван
Опубликовано

прекрасная презентация, я так себе и представляю автора увлеченно преподносящего ее публике...только вот я может не доглядел, но где конкретные предложения по классификации?

Кстати вот http://www.ixbt.com/cm/kaspersky-summit2k7.shtml наработки по новой классификации касперских, о которых Кобзарева говорила

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

BiTA    15

BiTA
Опубликовано
прекрасная презентация, я так себе и представляю автора увлеченно преподносящего ее публике...только вот я может не доглядел, но где конкретные предложения по классификации?

Верно, конкретики практически нет, особенно, учитывающей "26-летний опыт авторов". Впрочем, в конце презентации написано: "Thank you, please read the paper", видимо, в бумажных материалах конференции представлено несколько больше, иначе вообще не понятно о чем это выступление.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Аналитика

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
×