Перейти к содержанию
kvit

Падения качества детекта на VirusInfo

Recommended Posts

kvit

Исследования антивирусов на VirusInfo (Исследование антивирусов) производится как всем известно на сайте virustotal. И хоть несмотря на то, что данное исследование носит очень субъективный характер, и даже его участники подчеркивают, что ни о каких местах (медалях) разговора быть не может, заметил одну интересную деталь.

Интересовал доктор, поэтому в первую очередь обратил внимание на его состояние. В последнем исследовании "июнь-июль" качество детекта относительно других компаний у Доктора вырос. Причем относительный показатель вырос настолько, что Доктор вошел в пятерку, а если еще откинуть фолсящие Икарусы и братию, то на второе место после MS.

Но в данном случае удивителен не доктор (можно списать на выход версии 5, которая теперь используется на VT), а то что это именно "относительный" показатель, а абсолютный остался на прежнем уровне. И тут как раз режет глаз падение общего детекта, причем почти в разы у многих вендоров (antivir c 80 на 38, касперски с 72 на 29, F-Secure с 60 на 29) (надеюсь в цифрах не ошибся).

Интересно с чем связано такое падение, ну про авиру, ноды еще можно понять, все примерно поняли какую таблицу импорта создать , как обозвать секции и какими упаковщиками не пользоваться, а что же с другими AV?

добавлено... Ха, оказалось ось Y - абсолютные значения, а не относительные, отсюда такие ошеломляющие цифры. но даже в этом случае all-in в обоих случаях достаточно близки и падение общего детекта имеется...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Всё зависит от того какие вирусы заливают на VT и отписывают в той теме.. В том месяце вышло так, что больше детекта было у доктора.. Да и версии тоже.. У Доктора последняя 5-ка, а у, например, касперского 2х летняя 7-ка.. А в 9-ке ещё и хипс который критично повлиял бы на график этот..

да в том то и дело, если бы я на доктора ударение ставил, то в другую бы ветку написал... а тут вопрос несколько иной - почему у ВСЕХ детект так сильно упал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Ну я никак не связан с VI, но по моему всё зависит от семплов и только.. Не исключено что это чья-то инициатива, опустить конкурентов и поднять Доктора или кого-то ещё.. Например те, кто в той теме постят таблицы специально отбирают такие результаты, в которых одни продукты не детектят, а другие детектят =)

Вообще график - пустышка, не стоит на него обращать внимания вообще..

опять 25.... я не про доктор (про него я уже сказал новая версия - детект стал лучше, в следующем месяце, квартале - посмотрим тенденцию).

я больше про остальных интересуюсь... меня просто удивило, что при той же выборке по объему - ухудшился общий детект в разы. то что кто-то специально ищет сэмплы, которые большинство антивирусов не знает - не поверю, а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
а вот то, что "качество вирусов" (если так можно сказать) растёт - вполне может быть, что график и показывает... хотя тоже помоему на бред смахивает.

Может и не качество, а количество, ведь ни для кого не секрет, что с такими темпами виросописательства сигнатурный детект уже начинает уходить на второй план, вынуждая разработчиков АВ-продуктов делать ставку на другие технологии определения новых "зловредов". Возможно поэтому и возникает такая картина.

Вот, например, что на одном из ресурсов опубликовал сотрудник Symantec, цитата:

….Вот проблема. В прошлом году мы обнаружили 1 миллион единиц –из которых является 1 миллион различных вирусов, троянов и других malware. В этом году мы обнаружим 4 миллиона единиц. В следующем году, 10 миллионов.

Теперь представьте, как будет происходить просмотр всех 600 000 объектов при сканировании на компьютере – при выполнении проверки каждого файла по базе данных 10 миллионов «зловредов»…

А вот цитата из описания технологии Symantec - SONAR 2:

…Нельзя сказать, что сигнатурный анализ ”умер” или не полезен — он - все еще очень важная линия защиты в современном продукте безопасности, но он теперь выполняет больше роль поддержки, а не центральную, которую он выполнял прежде…

Вероятно, поэтому и видна такая тенденция....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

а может быть, что honeypot, которые используют антивирусные вендоры, точнее скорее всего используют, доподлинно мне об этом неизвестно, и остается только гадать... так вот их honeypot, стали хуже работать, ведь если вирус успевает раньше попасть к пользователю, чем к вирусологу в ловушку, означает не качественную работу последней...

Или вот еще мысль :) пользователи virusinfo, которые постят исследования - единицы, выборка их минимальна, ресурсы получения ими вирусов ограничены, и эти ресурсы не пересекаются (или в какой-то момент разошлись) c антивирусными вендорами...

ну просто не пойму я, почему упал детект (пусть даже на такой мизерной выборке) в разы. что могло такого произойти в мире...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь

ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
ИМХО - honeypot все менее и менее эффективны...

Я сталкивался со случаем, когда на фишинговом сайте каждый час новую сборку зловреда выкладывали. Rustock, судя по исследованиям - для каждого случая индивидуально собирался...

Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

хммм, очень даже может быть, а раз так то может поэтому так и происходит со статистикой с VT... но это уже только антивирусные разработчики могут ответить, а этого imho они делать не будут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Итого: я считаю, что в скором времени зловреды распространяющиеся через инет всегда будут уникальными...

Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Так оно уже есть, и прекрасно сразу ловится эвристиками, о которых VT с движком прошлого тысячелетия ничего не знает =)

ну доктор же установил последнюю версию на VT, кто остольным мешает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
пользователь
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Наверное - не считают нужным.

Вероятно потому, что основной упор сделан на другие способы защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о новичках и любителях, профессионал туда не будет отправлять)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Думаю для того что бы вирусописатели не проверяли на VT на новых версиях антивирусов своих зверьков(естественно идёт речь о любителях, профессиоал туда не будет отправлять)

Философия на самом деле немного иная:

...вирмейкер не будет отправлять на Вирустотал свою поделку чтобы посмотреть как и кем она детектится - ведь это будет означать, что он своими руками отправил свое творение всем 41 вендору для добавления в базу. Т.е отправить что-то на ВТ - означает "спалить по полной" то, что отправили.

Но ведь необходимо узнать хакеру-кодеру какие аверы палят его поделку сигнатурами и эвристиками? Необходимо. Для этого есть аналогичные ресурсы, но хакерские - они не отправляют загружаемый софт антивирусам, но они платные (от 20 центов до 2 долларов за проверку одного файла).

Также есть программы, позволяющие создавать нечто ВТ у себя на компьютере - штук 10 антивирусов вполне можно поставить.

Для просмотра того, как на новый зловред реагирует эмулятор, проактивка и т.д используются виртуальные машины - другого пути нет.

Так что антивирусам было бы очень выгодно если бы вирмейкеры весь зеро-дей набор малваре проверяли на ВТ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Философия на самом деле немного иная...

И это тоже.. Отправить на ВТ - спалить вирус.. Но я же писал о любителях и новичках, которые этих премудростей могут не знать.. Естественно профи даже думать о том что бы отправить вирус на ВТ не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Но я же писал о любителях и новичках, которые этих премудростей могут не знать..

Зайдите в любую тему на хак. форуме в которой выложен криптор или троян - везде огромным шрифтом написано, что заливать на ВТ нельзя ;)

Лично мне трудно представить такого новичка, который бы это не знал, но сумел как-то написать трояна...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ну доктор же установил последнюю версию на VT, кто остольным мешает?

Это просто невозможно сделать для некоторых. Допустим, VT все равно имеет дело с антивирусными движками и только. Допустим вы обновили версию, стала там новая эвристика и эмулятор, может быть как McAfee с Altiris сможете запихнуть туда какие облачные технологии. Но проблема в том, что на данном этапе это по сути будет тест шлюзовых антивирусов. На рабочих станциях и домашних компьютерах работает куча других технологий, их просто нельзя адаптировать (HIPS) для шлюза или это дело будущего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×