Сравнение скорости реагирования вирлабов на новые угрозы

[gjf]

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.

[Iron Monk]

Были проблемы и с новыми образцами, и с ложным срабатыванием. Веб - аларм снял за 6 часов, Касперский - за сутки. + пара вендоров - от 3 дней до недели. Икарусу писал - проку нет. Поставил Икарус в игнор...

[gjf]

Ну тут мы попытались максимально исключить внешнее воздействие - потому и возились с заведомо неизвестными образцами. Конечно, таких результатов мы не ожидали....

Понимаю, скажут "многа букаф" - но мы просто попытались максимально раскрыть всю методологию и результаты, чтобы потом не было претензий и недоразумений.

[Iron Monk]

Ну тут мы попытались максимально исключить внешнее воздействие - потому и возились с заведомо неизвестными образцами. Конечно, таких результатов мы не ожидали....

Один в один. Ужасная кривизна детекта. Детектятся пакеры, редкие пакеры + компилеры. Хочется привести ответы вендоров в паблик - да стыдно. Веб и Касперский - плюс пара не нашего языка - молодцы и проверили, и ответили, хотя изначально ошибочно детектировали зловреда в тулзе имеющей обратное назначение.