Перейти к содержанию
Сергей Ильин

Время анализа вирусов в лаборатории

Recommended Posts

Сергей Ильин

Друзья, нашел очень интересную ссылку

http://www.kaspersky.com/viruswatchlite

Это монитор деятельности вирусной лабориатории Касперского.

Видно время выпуска сигнатуры (изменено С.И.) и время выпуска в обновления (каждый час). В среднем я прикинул у аналитиков на анализ одного вируса уходит минут 15.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, у нас конечно не так прикольно, но что то похожее. Реально аналитику на добавление вируса/червя/трояна требуется от 5 минут до ... много часов (в зависимости от сложности заразы). Основная масса приходящей сейчас заразы трояны (95%), всё остальое это "черви пятиминутки" и "вирусы пятнадцати минутки" (крайне редко что то сложное, заслуживающее отдельного внимания).

Проблема не в сложности вирусов, а в их объёме (при большой нагрузке вирус/червь/троян может сутки/другие пролежать в очереди и это решается только уровнем автоматизации и количеством аналитиков).

Профи, которые в "военное время" занимаются сложными вирями, в относительно спокойное время занимаются реверсивным программированием (вскрывают всякие упаковщики, криптовщики и т.п.).

В день небольшой АВ-лаб с помощью различных средств автоматизации анализа, аЦкой работы и неудержимого энтузиазма добавляют в базы от 200 до 700 записей (это статистика последних 3-х месяцев). Конечно, если это всё разделить на количество рабочих часов АВ-лаб, запонение получается плотненькое, но помните старое выражение:

" Есть три вида лжи: ложь, наглая ложь с статистика"

Это я к тому, что цифры все верные, но расчёт среднего времени добавления не совсем точный ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вирусным аналитикам не позавидуешь, эдакий конвеер получается, сидишь долбишь вирусы дни на пролет.

У меня появилсь одна интересная мысль. Ведь мощности любой вирусной лаборатории ограничены, т.е. реально за час они могут проанализировать N вирусов. Поэтому если создать волну из большего количества новых вирусов и их модификаций, то часть из них получит больше времени на распространение, а значит эффективность атаки будет больше.

Интересно, предусмотрен ли в вирлабах запас прочности для такого рода ситуаций и возможно ли такое в принципе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych

Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну, не совсем так.

Каждый попадающий в лабораторию сэмпл автоматически получает приоритет. Черви, вирусы и прочие самоходные экземпляры автоматически получают приоритет выше. Сэмплы полученные от реальных пользователей ("Вот, нашёл в своей системе") также получают более высокия приоритет. Высокий приоритет также имеют сэмплы полученные от других антивирусных компаний с пометкой ITW.

Далее на анализ они подаются согласно приоритету. Кроме того не забывайте, что самоходное ПО (черви, вирусы) поступят в лабораторию из нескольких источников (от нескольких пользователей, компаний, АВ-компаний), что автоматически акцентирует на нём внимание лаборатории.

Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Если не секрет, какие компании участвуют в обмене экземплярами вирусов? Многие об этом говорят, но толком никто ничего не знает.

Вот тут уже эта тема поднималась http://www.anti-malware.ru/phpbb/viewtopic.php?t=75

Участвуют более-менее все. Вопрос только в том, сколько контактов с коллегами у той или иной компании. Нет как такового одного узла, в котором обмениваются все-все, хотя несколько специализироющихся на этом организация и ассоциаций таки есть.

С наименованиями вирусов, насколько я знаю, ситуация такая, кто первый обнаружит - тот и придумывает имя, остальные его как-правило принимают. Это действительно так?

Почти, но не всегда. Есть компании который предпочитают давать своё имя (или политика такая, или аналитикам лень смотреть как конкуретны именуют этот вирь). Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Хотя у нас конечно стараются смотреть кто как именует тот или иной вирь (если он кем то уже детектируется) и давать название близкое или аналогичное. Вообще придумывание названий для вирей, это тоже своеобразная проблема.

Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegSych
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

В мире этим уже занимаются: http://cme.mitre.org/

Проблема в том, что имя в виде номера не информативно. Такие имена будут сложнозапоминаемыми и ориентироваться в мире информационной безопасности будет ещё сложнее (особенно рядовым пользователям).. Скорее всего такая система нумерации в будущем появистя, но будет существовать параллельно с именованием вирусов различными АВ-компаниями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Количество вирья растет такими темпами, что скоро вообще имя будет придумать сложно :-) Придется номера давать, кстати для внутреннего пользования не самый влохой вариант, а для PR можно отдельным вирусам имена придумывать.

А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
А McAfee насколько я помню уже бакдоры года два как буквами обзывает, типа AAA, AAB, AAC и т.д.

А как подбираются названия для разной заразы у вас в Proantivirus Lab?

В основном мы следуем классификации KAV потому как лично мне она кажется наиболее логичной и правильной.

Сами же имена придумываются или берутся у других если уже кто-то дал имя.

придумываются совершенно разными способами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У вирусных аналитиков есть уникальная возможность. Они могут называть новые, только что детектированные вирусы, в честь кого-нить из своих знакомых или родствеников.

По аналогии, как в штатах ураганы называют :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В среднем я прикинул у дятлов на нализ одного вируса уходит минут 15.

На приведенном сайте нет информации, которая бы позволила такой вывод. Там две колонки цифр: время, когда сигнатура добавлена и время, когда обновление опубликовано в Инетрнете. Каждый вмрус при этом может анализироваться и 5 мин. и 5 недель.

Интересно, как обстоят дела в других вирлабах? Кто-нибудь видел что-то подобное у других производителей?

На американском сайе Trend Micro когда-то создали систему, которая в on-line позволяля посмотреть, что в данный момент делается с отправленным на анализ образцом. Крисивая графическая схема (граф) с мигающими узлами.

Она так и не заработала! У нее мигал первый узел "Pending" и через некоторое время последний "Pattern released". Верятно, что свести работу 700 сотрудников TrendLabs (распределенных по всему миру!) в прокрустово ложе единой схемы не получилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Там по идее должен быть еще один столбец - время обнаружения заразы, но думаю, его добавлять никто не будет, данные могут быть слишком противиречивые :-)

Это не данные будут противоречивые, суждения всякого встречного и поперечного, который будет строить на их основе нездоровые спекуляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил, да, действительно, 15 минут - это интервал между выпуском сигнатуры и выпуском ее в релиз. Т.е. это не время реакции, а скорость выпуска апдейтов.

Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Есть два существенных момента

1. Что гарантирует, что обновления дойдут до пользователей в корпоративной сети?

2. Утверждается, что проверка обновления (на корректность, ложные срабатывания) требует всего 15 мин?

Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Сейчас по всех новых продуктах Лаборатории Касперского частота обновления по умолчанию стоит - каждый час. Т.е. после релиза апдейта оно попадет к клиенту в диапазоне от 1 до 59 минут. Еще какое-то время уйдет на обновление всех компов в сети, там тоже это по какому-то расписанию делается (займет еще N минут/часов)

Это не "гарантирует". Может ли администратор убедиться, что все обновлено? (это наверное вопрос для другого треда)

По второму пункту, очевидно, это именно так. Зарезили - так зарелизила, внутренне тестирование сигнатуры не входит в эти 15 минут :-)

Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Я полагал, что тестироваться должно собственно "обновление", то есть непосредственно то, что в последствии выкладывается на сервера обновлений. Мало ли какой сочетанный эффект может обнаружиться после добавления сигнатуры в базу!

Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Ты не прав. Были. Правда не в ЛК, а почти год назад было у Dr Web. После очередного обновления их корпоратив просто отказался работать ВООБЩЕ! Соответственно мне пришлось разговаривать со службой поддержки, ругался долго, почти неделю.

Сразил наповал их ответ! Через неделю (после длинной ругани) мне предложили ВРУЧНУЮ снести их антивирусы, потом поставить заново и проапдейтить, а это обновление пропустить! Здорово было 300 компов в трех разных зданиях! Долго заказчики ругались!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
karimovru
Насколько я знаю, сигнатуры проходят внутренне тестирование, которое, как заявляют в ЛК, практически полностью исключает фалсы.

По крайней мере, это факт, каких-то крупных проколов или скандалов в связи с дефективными апдейтами не было.

Были, но очень быстро исправлялись.

Фолсы бывают у всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×