kvit

Падения качества детекта на VirusInfo

В этой теме 17 сообщений

Исследования антивирусов на VirusInfo (Исследование антивирусов) производится как всем известно на сайте virustotal. И хоть несмотря на то, что данное исследование носит очень субъективный характер, и даже его участники подчеркивают, что ни о каких местах (медалях) разговора быть не может, заметил одну интересную деталь.

Интересовал доктор, поэтому в первую очередь обратил внимание на его состояние. В последнем исследовании "июнь-июль" качество детекта относительно других компаний у Доктора вырос. Причем относительный показатель вырос настолько, что Доктор вошел в пятерку, а если еще откинуть фолсящие Икарусы и братию, то на второе место после MS.

Но в данном случае удивителен не доктор (можно списать на выход версии 5, которая теперь используется на VT), а то что это именно "относительный" показатель, а абсолютный остался на прежнем уровне. И тут как раз режет глаз падение общего детекта, причем почти в разы у многих вендоров (antivir c 80 на 38, касперски с 72 на 29, F-Secure с 60 на 29) (надеюсь в цифрах не ошибся).

Интересно с чем связано такое падение, ну про авиру, ноды еще можно понять, все примерно поняли какую таблицу импорта создать , как обозвать секции и какими упаковщиками не пользоваться, а что же с другими AV?

добавлено... Ха, оказалось ось Y - абсолютные значения, а не относительные, отсюда такие ошеломляющие цифры. но даже в этом случае all-in в обоих случаях достаточно близки и падение общего детекта имеется...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

да в том то и дело, если бы я на доктора ударение ставил, то в другую бы ветку написал... а тут вопрос несколько иной - почему у ВСЕХ детект так сильно упал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

опять 25.... я не про доктор (про него я уже сказал новая версия - детект стал лучше, в следующем месяце, квартале - посмотрим тенденцию).

я больше про остальных интересуюсь... меня просто удивило, что при той же выборке по объему - ухудшился общий детект в разы. то что кто-то специально ищет сэмплы, которые большинство антивирусов не знает - не поверю, а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает.

Может и не качество, а количество, ведь ни для кого не секрет, что с такими темпами виросописательства сигнатурный детект уже начинает уходить на второй план, вынуждая разработчиков АВ-продуктов делать ставку на другие технологии определения новых "зловредов". Возможно поэтому и возникает такая картина.

Вот, например, что на одном из ресурсов опубликовал сотрудник Symantec, цитата:

….Вот проблема. В прошлом году мы обнаружили 1 миллион единиц –из которых является 1 миллион различных вирусов, троянов и других malware. В этом году мы обнаружим 4 миллиона единиц. В следующем году, 10 миллионов.

Теперь представьте, как будет происходить просмотр всех 600 000 объектов при сканировании на компьютере – при выполнении проверки каждого файла по базе данных 10 миллионов «зловредов»…

А вот цитата из описания технологии Symantec - SONAR 2:

…Нельзя сказать, что сигнатурный анализ ”умер” или не полезен — он - все еще очень важная линия защиты в современном продукте безопасности, но он теперь выполняет больше роль поддержки, а не центральную, которую он выполнял прежде…

Вероятно, поэтому и видна такая тенденция....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а может быть, что honeypot, которые используют антивирусные вендоры, точнее скорее всего используют, доподлинно мне об этом неизвестно, и остается только гадать... так вот их honeypot, стали хуже работать, ведь если вирус успевает раньше попасть к пользователю, чем к вирусологу в ловушку, означает не качественную работу последней...

Или вот еще мысль :) пользователи virusinfo, которые постят исследования - единицы, выборка их минимальна, ресурсы получения ими вирусов ограничены, и эти ресурсы не пересекаются (или в какой-то момент разошлись) c антивирусными вендорами...

ну просто не пойму я, почему упал детект (пусть даже на такой мизерной выборке) в разы. что могло такого произойти в мире...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

хммм, очень даже может быть, а раз так то может поэтому так и происходит со статистикой с VT... но это уже только антивирусные разработчики могут ответить, а этого imho они делать не будут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

> Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

ну доктор же установил последнюю версию на VT, кто остольным мешает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Наверное - не считают нужным.

Вероятно потому, что основной упор сделан на другие способы защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о новичках и любителях, профессионал туда не будет отправлять)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о любителях, профессиоал туда не будет отправлять)

Философия на самом деле немного иная:

...вирмейкер не будет отправлять на Вирустотал свою поделку чтобы посмотреть как и кем она детектится - ведь это будет означать, что он своими руками отправил свое творение всем 41 вендору для добавления в базу. Т.е отправить что-то на ВТ - означает "спалить по полной" то, что отправили.

Но ведь необходимо узнать хакеру-кодеру какие аверы палят его поделку сигнатурами и эвристиками? Необходимо. Для этого есть аналогичные ресурсы, но хакерские - они не отправляют загружаемый софт антивирусам, но они платные (от 20 центов до 2 долларов за проверку одного файла).

Также есть программы, позволяющие создавать нечто ВТ у себя на компьютере - штук 10 антивирусов вполне можно поставить.

Для просмотра того, как на новый зловред реагирует эмулятор, проактивка и т.д используются виртуальные машины - другого пути нет.

Так что антивирусам было бы очень выгодно если бы вирмейкеры весь зеро-дей набор малваре проверяли на ВТ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Философия на самом деле немного иная...

И это тоже.. Отправить на ВТ - спалить вирус.. Но я же писал о любителях и новичках, которые этих премудростей могут не знать.. Естественно профи даже думать о том что бы отправить вирус на ВТ не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но я же писал о любителях и новичках, которые этих премудростей могут не знать..

Зайдите в любую тему на хак. форуме в которой выложен криптор или троян - везде огромным шрифтом написано, что заливать на ВТ нельзя ;)

Лично мне трудно представить такого новичка, который бы это не знал, но сумел как-то написать трояна...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Это просто невозможно сделать для некоторых. Допустим, VT все равно имеет дело с антивирусными движками и только. Допустим вы обновили версию, стала там новая эвристика и эмулятор, может быть как McAfee с Altiris сможете запихнуть туда какие облачные технологии. Но проблема в том, что на данном этапе это по сути будет тест шлюзовых антивирусов. На рабочих станциях и домашних компьютерах работает куча других технологий, их просто нельзя адаптировать (HIPS) для шлюза или это дело будущего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Kaela Mensha Khaine
      Всем привет! 

      В системе (Windows 7 SP1) завелся подозрительный процесс, называется себя Swstem, в Process Explorer никаких данных по нему нет(вот тут https://drive.google.com/drive/folders/1v3mwDtdKzv-DvM4Qg_LR_H5BziUxEO7C?usp=sharing скрин, называется System), периодически пытается использовать сеть. Сильно подозреваю, что вирус или шпион, Spybot'ом сканировал, ничего, убиваю его, он снова возвращается. Антивирус (Avira) молчит. Как мне все таки найти, откуда запускается этот процесс и что это вообще такое? И как его удалить?
    • krovlime
      Строительство домов в Томске – это основное направление нашей компании. На нашем счету более сотни деревянных домов, в которых живут наши клиенты. И это не удивительно, ведь мы занимаемся строительством домов в Томске для вас уже с 2009 года. За это время мы накопили огромный опыт и наладили основные бизнес-процессы компании. Каждый этап строительства выполняется профессионалами и проходит под пристальным контролем ответственных лиц. Так мы добиваемся высоких показателей качества. Для строительства мы используем качественные строительные материалы от наших партнеров, что также положительно влияет на конечный результат – дом вашей мечты. Наша компания предлагает строительство домов в Томске под ключ и под усадку. Очень удобно на протяжении всего строительства работать с одним и тем же подрядчиком. Помимо непосредственно строительства домов в Томске мы выполняем множество других работ, такие как: строительство бань, веранд, беседок; устройство свайного и ленточного фундамента; кровельные, фасадные, отделочные работы; монтаж заборов, выгребных ям и септиков. Разные виды работ у нас выполняют разные специалисты, так что каждый занимается своим делом, тем, что он умеет делать лучше всего. Мы работаем с такими материалами как: нестроганый брус, профилированный брус, оцилиндрованное бревно и каркасное строительство. Строительство домов в Томске из нестроганого бруса – самый дешевый способ строительства своего жилища. Такой материал обладает рядом преимуществ, это: уже упомянутая дешевизна, а также экологичность и отличная звуко и теплоизоляция (хотя стоит отметить, что без дополнительных работ по утеплению комфортных показателей теплоизоляции добиться не удастся). Строительство домов в Томске из профилированного бруса – более дорогой вариант, но и плюсов у него больше. Например, наличие замков положительно влияет на уровень теплоизоляции. Стены из профилированного бруса не требуют дополнительной отделки с внутренней стороны, а с наружней достаточно хорошенько отшлифовать, обработать огне-биозащитой и покрыть слоем лака или краски, выглядеть дом при этом будет отлично. Дома из оцилиндрованного бревна обладают презентабельным и даже шикарным внешним видом, а строительство домов в Томске по каркасной технологии подойдет для реализации самых сложных архитектурных решений. Строительство домов в Томске ооорост70.рф
    • krovlime
      Как утеплить мансарду своими руками: 

      Утепление крыши и стен мансарды очень важный момент в ее строительстве и последующей эксплуатации. Утепленная мансарда увеличит полезную жилую площадь, защитит основные помещения дома от холода и жары при разных погодных условиях. 

      Выбор материала для утепления 

      Утепление мансарды можно выполнить искусственными или природными материалами. Теплоизоляция экологически чистыми натуральными материалами имеет свои недостатки – горючесть. Поэтому, используя в качестве утеплителя камыш, солому, гранулированную бумагу, трапы из морских водорослей и другие материалы, необходимо учитывать их пожароопасность, сравнительно небольшой срок службы и навыков по их монтажу.Наряду с натуральными, рынок стройматериалов предлагает огромный выбор искусственных утеплителей, обладающих рядом преимуществ по сравнению с природными теплоизоляциями.Самыми распространенными являются стекловата, минеральная вата из горных пород базальтов и искусственные плиты полистирольной группы материалов. 

      Минеральная вата относится к экологически чистому негорючему материалу, не влияет на здоровье человека и окружающую среду. Минвата обладает низкой теплопроводностью, то есть зимой хранит тепло, а летом противостоит перегреву. Имеет длительный эксплуатационный период. Выпускается в виде плит и матов, которые легко пропускают пары влаги. Утепление пенополистирольными материалами имеет свои положительные стороны. Они не бояться воды, отличные теплоизоляции, не поддерживают горения. Выпускаются в виде плит, легко монтируются. К недостаткам можно отнести плавление при высокой температуре с выделением ядовитого газа и высокую цену. 

      Технология утепления 

      Необходимость утепления крыши или мансарды необходимо учитывать еще при возведении дома. Поэтому стропила при монтаже крыши устанавливают на расстоянии ширины теплоизоляционных плит или матов. Сама технология утепления зависит от материала. 
      При применении минеральной или стекловаты на стропила набивается решетка или обрешетка, на не настилается гидроизолирующая пленка. Изолят противостоит поглощению влаги «ватой». На слое гидроизоляционной пленки с внешней стороны закрепляется контро обрешетка. Образующийся зазор выполняет функцию вентиляции. Между стропилами укладываются «ватные маты», которые с внутренней стороны помещения покрываются пароизоляционным материалом. 

      При утеплении полистирольными плитами гидро– и пароизоляционные слои пленки не нужны, так как сами плиты обладают гидрофобными свойствами. Плиты укладываются в два слоя. Первый, толщиной 8 см размещается между стропилами, а второй толщиной 5 см закрывает полностью стропила с основным слоем утеплителя, изолируя дом от проникновения извне холодного или горячего воздуха. 

      После укладки утеплителей стены и потолок мансарды отделываются гипсокартонными листами с последующей оклейкой обоями или вагонкой. Кровельные работы в томске krovlime.ru
    • Ego Dekker
      Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
    • Ego Dekker