Перейти к содержанию
Valdis

Бум вредоносного ПО

Recommended Posts

Valdis

Несколько дней назад промелькнула вот такая новость под названием "AV-Test: Происходит бум вредоносного ПО":

Андреас Маркс (Andreas Marx), эксперт из AV-Test, опубликовал данные статистического исследования вредоносного ПО. Результаты неутешительны. Из них можно увидеть рост объема вирусов за более чем 20 лет. Так, например, в 1985 г. было зафиксировано 564 вида вредоносного ПО, в 1990 г. – 9044, в 2000 г. – уже 176329, а в 2005 г. – 333425. За последние три года число вирусов росло «не по дням, а по часам»: в 2006 г. – зарегистрировано 972606 видов вредоносного кода, в 2007 г. – 5490960. Но самое интересное, что за первые 7 дней 2008 г. зафиксировано 117480 вирусов ... (http://www.securitylab.ru/news/311927.php)

Как то совсем не сходятся цифры. В отчете "Kaspersky Security Bulletin, январь-июнь 2007. Развитие вредоносных программ в первом полугодии 2007 года" приводится совсем другая цифра:

В целом за отчетный период было обнаружено 91753 новых вредоносных программ.

Если грубо умножить полугодовые данные Касперского на два, то все равно это в 30 раз меньше упомянутых 5490960. Следует ли из этого, что AV-Test подсчитывает все варианты, в том числе упакованные разными утилитами, а Касперский только количество сигнатур в своей базе?

Отредактировал Umnik
немного оформил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Не знаю что там считает Маркс (он последнее время что-то совсем странный стал - вирусов у него значит 5 миллионов, а тесты проводит на 93-х самплах, ха ха ах ах), а мы да - по сигнатурам.

Итоговые данные 2007 года - более чем 220 000, рост составил 114%, в среднем за месяц - более 18 000 новых вредоносов.

Об этом и многом другом - читайте в годовом отчете Лаборатории Касперского, в феврале :)

А насчет "бума" все верно. 220 000 за год - это столько же, сколько за предыдущие 15 лет. Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

И мы все умрем...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

Функция, описывающая темпы роста новых вредоносов за предыдущие годы, походила на экспоненту. Экспоненциальная зависимость подразумеват наступление момента, когда рост будет уже не 100%, а гораздо больше. Чтобы привело к тому, что физически все вилабы бы захлебнулись от потока самплов. Warezov в свое время наглядно продемонстрировал, что "задосить" вирусных аналитиков вполне возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Семашко
Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

Функция, описывающая темпы роста новых вредоносов за предыдущие годы, походила на экспоненту.

Удваивание количества вредоносов с каждым годом - это, в принципе, и есть экспонента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Цитата(Сергей Ильин @ 24.01.2008, 11:00) *

Цитата

Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

Функция, описывающая темпы роста новых вредоносов за предыдущие годы, походила на экспоненту.

Удваивание количества вредоносов с каждым годом - это, в принципе, и есть экспонента.

Ну и продолжая математические изыски:

А насчет "бума" все верно. 220 000 за год - это столько же, сколько за предыдущие 15 лет. Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

Если каждый год количество удваивается, то количество зловредов за текущий год примерно равно сумме за все предыдущие для любого года. ;)

2^n - 1 = 2^(n-1) + 2^(n-2) + .... + 8 + 4 + 2 + 1 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valdis
Об этом и многом другом - читайте в годовом отчете Лаборатории Касперского, в феврале

А насчет "бума" все верно. 220 000 за год - это столько же, сколько за предыдущие 15 лет. Если в этом году (а пока предпосылки именно такие) ничего не изменится, то это число снова удвоится.

И мы все умрем...

Ну Лаборатории Касперского это точно не грозит, а вот на счет компаний поменьше неуверен. Вот, что по этому поводу недавно прочитал в блоге компании Sunbelt:

Компания, у которой в лаборатории работает лишь несколько человек и имеется группа хороших программистов, уже не конкурентоспособна. А ведь такие есть – маленькие компании с небольшим коллективом, разрабатывающие средства против шпионских программ и антивирусы; однако это безнадежно. В этой войне нельзя победить маленьким взводом. Тут нужна бригада.

(http://sunbeltblog.blogspot.com/2008/01/gr...of-malware.html)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ну, если традиционные антивирусные средства разрабатывать для лечения уже заражённых машин- то да, нужна бригада. А если только средства защиты от- нет, не нужна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Ну, если традиционные антивирусные средства разрабатывать для лечения уже заражённых машин- то да, нужна бригада. А если только средства защиты от- нет, не нужна.

увы всегда будут юзеры без адекватных средств защиты - а значит будут и зараженные машины, которые надо лечить

кроме того в любом защитном софте есть уязвимости любой защитный софт приложив опеределенные усилия можно обойти - а значит будут зараженные машины

а значит увы нужна комбинация методов, а значит увы нужен большой штат

а проги основанные лишь на одном методе будут умирать, покупаться, оставаться уделом узкой группы профи или фанатов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
а проги основанные лишь на одном методе будут умирать, покупаться, оставаться уделом узкой группы профи или фанатов

Пока что я наблюдаю прямо обратный процесс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Пока что я наблюдаю прямо обратный процесс.

та ладно, было отдельное антиспайварное направление - поскупали, а вебрут наоборот лицензировало софос

есть фаервольное направление, тока вот даже аутпост сделал комбайн и возлагает на него большие надежды

и т.д.

а с хипсами тоже будет так ровно с того момента как в комбайнах крупняка не появятся вменяемые хипсы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
та ладно, было отдельное антиспайварное направление - поскупали, а вебрут наоборот лицензировало софос

есть фаервольное направление, тока вот даже аутпост сделал комбайн и возлагает на него большие надежды

и т.д.

а с хипсами тоже будет так ровно с того момента как в комбайнах крупняка не появятся вменяемые хипсы

Да, всё совершенно верно. Я тоже так думаю. Вот только тут стоит вспомнить одну очень интересную вещь- как развивались те инновационные на тот момент технологии, которые на данный момент практически сдулись как самостоятельные направления.

Сначала- слабое понимание рынком самих базовх идей, на которых базировались эти продукты. Особенно- антивирусной индустрией, кстати, которая существовала уже с десяток лет. Затем- принятие рынком идей и продуктов, гиперболический рост доходов и формирование бренда. Ну а дальше- да, процесс укркпнения и поглощения. Рынок HIPS стоит лишь в самом начале пути. Нет даже точной методологии сравнительных тестов подобных систем, о чём тут говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Да, всё совершенно верно. Я тоже так думаю. Вот только тут стоит вспомнить одну очень интересную вещь- как развивались те инновационные на тот момент технологии, которые на данный момент практически сдулись как самостоятельные направления.

Сначала- слабое понимание рынком самих базовх идей, на которых базировались эти продукты. Особенно- антивирусной индустрией, кстати, которая существовала уже с десяток лет. Затем- принятие рынком идей и продуктов, гиперболический рост доходов и формирование бренда. Ну а дальше- да, процесс укркпнения и поглощения. Рынок HIPS стоит лишь в самом начале пути. Нет даже точной методологии сравнительных тестов подобных систем, о чём тут говорить.

согласен, но жизнь все динамичней и динамичней, все бегут быстрее, конкуренция жестче - как итог цикл прокрутится существенно быстрее на мой взгляд

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Да, цикл прокрутится _значительно_ быстрее, чем это было раньше, в течение ближайших двух лет всё будет завершено. Значит, моя задача- успеть в его начало и зацепиться там!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Зависимость числа новых вредоносов от времени описывается функций f(x)=f(x0)x2^x

Поэтому критический момент, при котором поток новых угроз будет таким большим, что большинство работающих "по старинке" вирлабов захлебнуться неизбежен. Если к этому моменту повсеместно начнут применяться новые технологии, то шансы есть :-)

Интересно было бы прикинуть, какие методы будут использоваться в антивирусной защите на среднестатистическом компьютере через лет 5.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

что-то я сомневаюсь что увеличение произойдет до критической цифры, тогда должно и увеличиваться количество вирмейкеров..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
что-то я сомневаюсь что увеличение произойдет до критической цифры, тогда должно и увеличиваться количество вирмейкеров..

Уже происходит. Вспомним, например, DDOS многих аверных контор последними массовыми рассылками желатина- тогда семпл менялся буквально через несколько часов, и каждый был недетекттируем предыдущими сигнатурами. Да и увеличить количество людей, которые будут перепаковывать семплы- а в чём проблема? Что, мало безработных скрипткиддисов, который за $400-$500 в месяц сделают всё, что надо при условии, что туторы по перепаковке уже давно свободно ходят по сети (я лично читал в рипе журнала Хакер)?

Тут нужно учесть ещё и то, что для того, чтобы стать профессиональным вирусным аналитиком, нужно очень много сил и времени, особый склад ума плюс много мотивации. То есть, потенциальных аналитиков _на порядки_ меньше, чем скрипткиддисов- ломать не строить!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

каков смысл платить толпе скрипткиддисов, если элементарно это не окупаеться?

либо появиться что-то более интересное, либо поголовное вирмейкерство погибнет..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Не окупается ?

кхе-кхе...

:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

либо поголовное вирмейкерство погибнет..
Погибнет вряд ли, но хотелось бы, чтобы значительно сократилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
каков смысл платить толпе скрипткиддисов, если элементарно это не окупаеться?

Если бы оно не окупалось- не существовало бы фирм, специализирующихся в этом виде бизнеса. Тут много факторов, безусловно, но оно таки окупается.

либо появиться что-то более интересное

Интересное что именно и где именно?

либо поголовное вирмейкерство погибнет..

Ну, социальную инженерию в любом случае никто не отменял...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Интересное что именно и где именно?

хм на этот вопрос пожалуй не мне стоит отвечать..

Если бы оно не окупалось- не существовало бы фирм, специализирующихся в этом виде бизнеса. Тут много факторов, безусловно, но оно таки окупается.

почему тот же желатин перестал в таком количестве рассылаться?

Ну, социальную инженерию в любом случае никто не отменял...

социальная инженерию не отменял уже никто кучу лет, и не отменит никогда..=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
почему тот же желатин перестал в таком количестве рассылаться?

А зачем- ботнет уже успешно построен и продан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
каков смысл платить толпе скрипткиддисов, если элементарно это не окупаеться?

Очень даже хорошо окупается, по уровню доходности киберпреступность уже давно обогнала наркомафию.

Свыше 1000% годовых - не проблема. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А зачем- ботнет уже успешно построен и продан.

Это откуда такая информация ?

Или импортных "экспертов" начитались ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Это откуда такая информация ?

Или импортных "экспертов" начитались ?

Я так думаю- это логично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×