Давай статьюСообщение от Andrey
Давай статью
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отправлено на [email protected]Давай статью
PDF ~ 4 MB.
Статья бессистемная. Единственно правильно данное сравнение это сравнение времени реагирования антивирусов, да и то не понятно что такое бета-сигнатура, что делает результаты не совсем понятными.
Бета-сигнатура - предварительная сигнатура (вирус обнаруживается, но лечение невозможно), служит для предотвращения заражения еще чистых (незараженных машин) и распространения (размножения) на уже зараженных. Бета-сигнатуры выпускают многие AV компании (в т.ч. и "любимый всеми" Касперский), но официально об этом особо не распространяются. Косвенную информацию можно найти на сайте AV программы (характерно для KAV, NAV). И т.д и т.п.
Оригинал статьи о скорости реакции известных AV компаний на вирус MyDoom.A смотри на http://antivirus.about.com/cs/allabo...doomddos_p.htm . Там более интересные и полные результаты.
Я не совсем понимаю каким образом Symantec начал детектировать его в 3 ночи, если даже обновления которые устанавливаются вручную выкладываются раз в день?
a) Либо через Live-Update оперативность обновления у Symantec выше.
в) Либо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
На сайте заявлено что Live-Update обновляется раз в неделю. С пол года назад Symantec ещё стоял у меня на работе, и я могу сказать что обновлялся он не чаще чем раз в пару дней.
Вот это уже ближе к истинеЛибо такая скорость реакции обусловлена тем, что вирус был получен напрямую от компании MessageLabs. Соответственно приоритет обработки сообщения выше.
Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.Вот это уже ближе к истине
Согласен. Но например от ЛК лично я получал в 4 ночи ответ что добавили трояна которого я прислал. А так же не редко ответ приходит в течении 2 чсов с момента отправки нового трояна.Тогда тоже самое можно сказать обо всех антивирусах представленных в обзоре.
Очень сомниваюсь что вирусные аналитики Symantec работают с такой-же оперативностью.
Добавлен-то, добавлен. А когда ты фактически получил готовую сигнатуру от Касперского (причем не бета, а нормальную - наверняка в течении суток)?
Не проверял, но типа того. Но я ничего эпидемиологического не посылал. Думаю нового червя добавили бы за несколько часов. Ведь создать сигнатуру дело не долгое. Просто скорее всего новые базы сначала тестируют.
В той статье не эти ли цифры использованы:
Andreas Marx
09.11.2004 15:21
Test: Reaktionszeiten von Antiviren-Herstellern
Оригинал:
http://www.pcwelt.de/news/sicherheit/104653/index2.html
Перевод мой.
Тест: Время реакции производителей антивирусов.
Время реакции: Win32/Bagle.BB
----------------------------------------------------------------------
BB-вариант впервые получен Messagelabs 29 октября 2004 года вскоре после 6:00 часов (GMT)
К этому времени его определяли Bitdefender (Win32.Bagle.10.Gen@mm), F-Prot ('возможно, неизвестный вирус'
и Sophos (W32/Bagle-Gen). McAfee также распознавала и удаляла характерные для Bagle письма.
Собственно червь стал определяться лишь после выпуска обновления.
В пик эпидемии Messagelabs останавливала около 170.000 зараженных писем в час.
У других антивирусов обычные обновления были выпущены в следующее время:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Ikarus, 29.10.2004, 07:04, I-Worm.GEN
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
Clam-AV, 29.10.2004, 07:34, Worm.Bagle.AT
Panda, 29.10.2004, 08:04, W32/Bagle.BC.worm
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AQ
Avast, 29.10.2004, 08:47, Win32:Beagle-AQ [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AX
Antivir, 29.10.2004, 09:20, Worm/Bagle.AQ.2
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AY
Norman, 29.10.2004, 09:38, Bagle.AQ@mm
Quickheal, 29.10.2004, 09:47, W32.Bagle.AT
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:57, W32/Bagle.bb@MM
Command, 29.10.2004, 11:14, W32/Bagle.AP@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AV@mm
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AQ@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.AX-mm
Загружаемые вручную бета-сигнатуры были готовы и раньше:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 08:20, W32/Bagle.BC.worm
Trend Micro, 29.10.2004, 09:51, WORM_BAGLE.AT
McAfee, 29.10.2004, 10:11, W32/Bagle.bb@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AV@mm
Время реакции: Win32/Bagle.BC
----------------------------------------------------------------------
Червь Bagle.BC стартовал явно позже. По данным Messagelabs первые экземпляры были перехвачены около 14:50 часов (GMT).
О большом массовом вбросе говорить нельзя, т.к. нами было зафиксировано "только" до пяти тысяч вирусных писем в час.
Bagle.BB и Bagle.BC сходны, многие антивирусы детектировали оба варианта одним обновлением.
Вообще без обновления определяли его Bitdefender
(BehavesLike:Win32.AV-Killer), F-Prot ('возможно, неизвестный вирус'и Sophos (W32/Bagle-Gen)
Как и для Bagle.BB, McAfee распознавал и блокировал характерные для Bagle письма. Собственно червь стал определяться лишь после выпуска обновления.
Clam-AV на время выхода статьи (09.11.2004 15:21) еще не распознавал этот вирус.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Dr. Web, 29.10.2004, 06:21, Win32.HLLM.Beagle.18848
Kaspersky, 29.10.2004, 07:15, I-Worm.Bagle.at
F-Secure, 29.10.2004, 07:31, I-Worm.Bagle.at
E-Trust (VET Engine), 29.10.2004, 08:26, Win32.Bagle.AP
Avast, 29.10.2004, 08:47, Win32:Beagle-AR [Wrm]
AVG, 29.10.2004, 09:17, I-Worm/Bagle.AY
Antivir, 29.10.2004, 09:20, Worm/Bagle.AP
Virusbuster, 29.10.2004, 09:26, I-Worm.Bagle.AZ
Norman, 29.10.2004, 09:38, Bagle.AR@mm
Panda, 29.10.2004, 10:08, W32/Bagle.BD.worm
Command, 29.10.2004, 11:14, W32/Bagle.AO@mm
Symantec, 29.10.2004, 12:39, W32.Beagle.AU@mm
E-Trust, (CA Engine) 29.10.2004, 13:16, Win32/Bagle.AP.Worm
RAV, 29.10.2004, 16:06, Win32/Bagle.AP@mm
Fortinet, 29.10.2004, 16:11, W32/Bagle.BB-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bc@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AN
Ikarus, 30.10.2004, 00:15, I-Worm.Bagle.AV
Quickheal, 30.10.2004, 01:42, W32.Bagle.AN
Загружаемые вручную бета-сигнатуры были готовы в следующее время:
Производитель, Дата, Время, Hазвание
F-Secure, 29.10.2004, 07:15, I-Worm.Bagle.at
Panda, 29.10.2004, 09:48, W32/Bagle.BD.worm
McAfee, 29.10.2004, 10:11, W32/Bagle.bc@MM
Symantec, 29.10.2004, 10:34, W32.Beagle.AU@mm
Trend Micro, 29.10.2004, 15:00, WORM_BAGLE.AN
Время реакции: Win32/Bagle.BD
----------------------------------------------------------------------
Messagelabs сообщила о распространении Bagle.BD около 12:00 часов. В пике
зафиксировано около 24 000 копий червя в час.
Bitdefender (Win32.Bagle.10.Gen@mm) и Sophos (W32/Bagle-Gen) также
разпознавали червя без обновления.
Так же мог распознавать вирусные письма и блокировать заражение через е-мейл McAfee.
Hами было измерено следующее время реакции:
Производитель, Дата, Время, Hазвание
Kaspersky, 29.10.2004, 09:45 I-Worm.Bagle.au
Panda, 29.10.2004, 10:08, W32/Bagle.BE.worm
Dr. Web, 29.10.2004, 10:21, Win32.HLLM.Beagle.18848
Clam-AV, 29.10.2004, 10:27, Worm.Bagle.AX
F-Prot, 29.10.2004, 10:40, W32/Bagle.AQ@mm
Avast, 29.10.2004, 10:52, Win32:Beagle-AS [Wrm]
Ikarus, 29.10.2004, 10:58, I-Worm.Bagle.AU
AVG, 29.10.2004, 11:09, I-Worm/Bagle.AZ
Command, 29.10.2004, 11:53, W32/Bagle.AQ@mm
Antivir, 29.10.2004, 12:08, Worm/Bagle.AT
Virusbuster, 29.10.2004, 12:14, I-Worm.Bagle.BA
E-Trust (VET Engine), 29.10.2004, 12:46, Win32.Bagle.AR
E-Trust (CA Engine), 29.10.2004, 13:16, Win32/Bagle.AQ.Worm
Norman, 29.10.2004, 13:18, Bagle.AR@mm
F-Secure, 29.10.2004, 14:31, I-Worm.Bagle.au
Fortinet, 29.10.2004, 16:11, W32/Bagle.AW-mm
McAfee, 29.10.2004, 16:11, W32/Bagle.bd@MM
Trend Micro, 29.10.2004, 17:26, WORM_BAGLE.AU
Quickheal, 29.10.2004, 19:04, W32.Bagle.AU
Symantec, 29.10.2004, 20:34, W32.Beagle.AW@mm
RAV, 31.10.2004, 23:11, Win32/Bagle.BD@mm
Бета-сигнатуры были готовы так:
Hersteller, Datum, Uhrzeit, Name
Panda, 29.10.2004, 10:06, W32/Bagle.BE.worm
McAfee, 29.10.2004, 11:30, W32/Bagle.bd@MM
Symantec, 29.10.2004, 11:39, W32.Beagle.AW@mm
F-Secure, 29.10.2004, 14:00, I-Worm.Bagle.au
Trend Micro, 29.10.2004, 17:26 WORM_BAGLE.AU
Да. Из неофициального интервью одного из работников Касперски Лаб (оригинал здесь ):
-----------------------------------------------------------------------
Докладываю. (Это бyдет пpочитать интеpесно многим. Здесь и о дpyгих
антивиpyсных компаниях).
Мною был задан следyющий вопpос: "Если вам пpишлют некий виpyс (он может быть пpостым, сложным - неизвестно, абстpактный). Чеpез какой пеpиод он ГАРАHТИРОВАHО должен быть добавлен в новый апдейт? То есть 3 часа, 6 часов, 9 часов, несколько сyток? Есть y вас такой гаpантиpованный сpок. Виpyс вам пpислали, а его неделю не добавляют, напpимеp. Расскажи, пожалyйста, пpо политикy".
Ответ: "Все очень пpосто: если письмо от пользователя, то оно добавится в течении тpех часов. Иначе дежypного дятла/дятлов взъе#yт. Если это обмен коллекциями, то может и тpи месяца пpолежать. Hо и за это деpyт сильно".
Вопpос: "А если виpyс очень сложный? За тpи часа не пpоанализиpовать".
Ответ: "А никто и не анализиpyет полностью. Главное задетектить. А потом pазбеpемся. Апдейты с сегодняшнего дня выходят pаз в час"
(Подчеpкнy: *ВHИМАHИЕ* ! Апдейты с сегодняшнего дня выходят РАЗ В ЧАС!)
Вопpос: "Hy а лечить? В базе может отсyтствовать алго лечения? Главное - детект? А лечилкy добавить чеpез несколько часов, когда все yже полностью pазобpано бyдет?".
Ответ: "Лечение вообще pедко пишyт. Только когда эпидемии... Сейчас же в основном чеpви, да тpояны. Там одно лечение - delete. И лечение можно добавлять когда yгодно. Как пpавило это делается по запpосy".
-----------------------------------------------------------------------
О добавлении одного из червей (AVP - I-Worm.Moodown.b
DrWeb - HLLM.Foo.41984) ДрВебом можно посмотреть, например, здесь .
Сигнатура червяка была добавлена в этом дополнении:
drwtoday.vdb (2004-02-18 13:45:00)
... Win32.HLLM.Foo.41984, ...
В последнее время дрвебовцы увеличили число вирус-аналитиков. Это чувствуется.
Вот данные выше ближе к истине. В основном лидируют КАВ и ДрВеб, как и предпологалось. Семантек как и предпологалось один из последних.
Все-таки верно подметил Андреас Маркс, сотрудник AV-Test, что компания первой проанализировавшая конкретный вирус, не обязательно будет первой в следующий раз.
Geser твоя любовь к Касперскому, просто не скрываема. Фирма, в которой ты работаешь, случайно не является представителем ЛК на территории Израиля? В Израиле так много IT компаний, неужели нет своего родного антивируса?
Выше дали не один пример, а 3.
Любовь здесь ни при чём. Лично у меня стоит ДрВеб. Но во многом ЛК действительно стоят на первом месте.Geser твоя любовь к Касперскому, просто не скрываема.
Проверил то же на _http://onlinescan.avast.com
-------------------------------------------------------
calc_asp.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 10.5 kB
Scan time: 0s 36ms
Scanned speed: 287.2 kB/s
------------------------------------------------------
calc_pesh.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 18.0 kB
Scan time: 0s 15ms
Scanned speed: 1.1 MB/s
------------------------------------------------------
calc_pkl.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 11.5 kB
Scan time: 0s 29ms
Scanned speed: 386.8 kB/s
-----------------------------------------------------
calc_upx.exe clear
VPS version: VPS 0452-1 22.12.2004
Scaner version: 1.0.8 beta4
Scanned files: 1
Scanned directories: 0
Archives count: 0
Infected files: 0
Errors: 0
File count: 6.0 kB
Scan time: 0s 23ms
Scanned speed: 258.3 kB/s
--------------------------------------------------------
Лапшу вешают...
Да у них там совсем глючный сканер какой-то! ;D
Даже не упакованные вирусы, имеющиеся у них в базе, не видит! ;D
Ваши права в разделе
