Перейти к содержанию
kvit

Падения качества детекта на VirusInfo

Recommended Posts

kvit

Исследования антивирусов на VirusInfo (Исследование антивирусов) производится как всем известно на сайте virustotal. И хоть несмотря на то, что данное исследование носит очень субъективный характер, и даже его участники подчеркивают, что ни о каких местах (медалях) разговора быть не может, заметил одну интересную деталь.

Интересовал доктор, поэтому в первую очередь обратил внимание на его состояние. В последнем исследовании "июнь-июль" качество детекта относительно других компаний у Доктора вырос. Причем относительный показатель вырос настолько, что Доктор вошел в пятерку, а если еще откинуть фолсящие Икарусы и братию, то на второе место после MS.

Но в данном случае удивителен не доктор (можно списать на выход версии 5, которая теперь используется на VT), а то что это именно "относительный" показатель, а абсолютный остался на прежнем уровне. И тут как раз режет глаз падение общего детекта, причем почти в разы у многих вендоров (antivir c 80 на 38, касперски с 72 на 29, F-Secure с 60 на 29) (надеюсь в цифрах не ошибся).

Интересно с чем связано такое падение, ну про авиру, ноды еще можно понять, все примерно поняли какую таблицу импорта создать , как обозвать секции и какими упаковщиками не пользоваться, а что же с другими AV?

добавлено... Ха, оказалось ось Y - абсолютные значения, а не относительные, отсюда такие ошеломляющие цифры. но даже в этом случае all-in в обоих случаях достаточно близки и падение общего детекта имеется...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

да в том то и дело, если бы я на доктора ударение ставил, то в другую бы ветку написал... а тут вопрос несколько иной - почему у ВСЕХ детект так сильно упал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

опять 25.... я не про доктор (про него я уже сказал новая версия - детект стал лучше, в следующем месяце, квартале - посмотрим тенденцию).

я больше про остальных интересуюсь... меня просто удивило, что при той же выборке по объему - ухудшился общий детект в разы. то что кто-то специально ищет сэмплы, которые большинство антивирусов не знает - не поверю, а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает.

Может и не качество, а количество, ведь ни для кого не секрет, что с такими темпами виросописательства сигнатурный детект уже начинает уходить на второй план, вынуждая разработчиков АВ-продуктов делать ставку на другие технологии определения новых "зловредов". Возможно поэтому и возникает такая картина.

Вот, например, что на одном из ресурсов опубликовал сотрудник Symantec, цитата:

….Вот проблема. В прошлом году мы обнаружили 1 миллион единиц –из которых является 1 миллион различных вирусов, троянов и других malware. В этом году мы обнаружим 4 миллиона единиц. В следующем году, 10 миллионов.

Теперь представьте, как будет происходить просмотр всех 600 000 объектов при сканировании на компьютере – при выполнении проверки каждого файла по базе данных 10 миллионов «зловредов»…

А вот цитата из описания технологии Symantec - SONAR 2:

…Нельзя сказать, что сигнатурный анализ ”умер” или не полезен — он - все еще очень важная линия защиты в современном продукте безопасности, но он теперь выполняет больше роль поддержки, а не центральную, которую он выполнял прежде…

Вероятно, поэтому и видна такая тенденция....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

а может быть, что honeypot, которые используют антивирусные вендоры, точнее скорее всего используют, доподлинно мне об этом неизвестно, и остается только гадать... так вот их honeypot, стали хуже работать, ведь если вирус успевает раньше попасть к пользователю, чем к вирусологу в ловушку, означает не качественную работу последней...

Или вот еще мысль :) пользователи virusinfo, которые постят исследования - единицы, выборка их минимальна, ресурсы получения ими вирусов ограничены, и эти ресурсы не пересекаются (или в какой-то момент разошлись) c антивирусными вендорами...

ну просто не пойму я, почему упал детект (пусть даже на такой мизерной выборке) в разы. что могло такого произойти в мире...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь

ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

хммм, очень даже может быть, а раз так то может поэтому так и происходит со статистикой с VT... но это уже только антивирусные разработчики могут ответить, а этого imho они делать не будут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

ну доктор же установил последнюю версию на VT, кто остольным мешает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Наверное - не считают нужным.

Вероятно потому, что основной упор сделан на другие способы защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о новичках и любителях, профессионал туда не будет отправлять)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о любителях, профессиоал туда не будет отправлять)

Философия на самом деле немного иная:

...вирмейкер не будет отправлять на Вирустотал свою поделку чтобы посмотреть как и кем она детектится - ведь это будет означать, что он своими руками отправил свое творение всем 41 вендору для добавления в базу. Т.е отправить что-то на ВТ - означает "спалить по полной" то, что отправили.

Но ведь необходимо узнать хакеру-кодеру какие аверы палят его поделку сигнатурами и эвристиками? Необходимо. Для этого есть аналогичные ресурсы, но хакерские - они не отправляют загружаемый софт антивирусам, но они платные (от 20 центов до 2 долларов за проверку одного файла).

Также есть программы, позволяющие создавать нечто ВТ у себя на компьютере - штук 10 антивирусов вполне можно поставить.

Для просмотра того, как на новый зловред реагирует эмулятор, проактивка и т.д используются виртуальные машины - другого пути нет.

Так что антивирусам было бы очень выгодно если бы вирмейкеры весь зеро-дей набор малваре проверяли на ВТ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Философия на самом деле немного иная...

И это тоже.. Отправить на ВТ - спалить вирус.. Но я же писал о любителях и новичках, которые этих премудростей могут не знать.. Естественно профи даже думать о том что бы отправить вирус на ВТ не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Но я же писал о любителях и новичках, которые этих премудростей могут не знать..

Зайдите в любую тему на хак. форуме в которой выложен криптор или троян - везде огромным шрифтом написано, что заливать на ВТ нельзя ;)

Лично мне трудно представить такого новичка, который бы это не знал, но сумел как-то написать трояна...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Это просто невозможно сделать для некоторых. Допустим, VT все равно имеет дело с антивирусными движками и только. Допустим вы обновили версию, стала там новая эвристика и эмулятор, может быть как McAfee с Altiris сможете запихнуть туда какие облачные технологии. Но проблема в том, что на данном этапе это по сути будет тест шлюзовых антивирусов. На рабочих станциях и домашних компьютерах работает куча других технологий, их просто нельзя адаптировать (HIPS) для шлюза или это дело будущего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×