# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  "Доктор Веб" выпускает бета-версию антивирусного ядра нового поколения

## Shu_b

*"Доктор Веб" выпускает бета-версию антивирусного ядра нового поколения*
_29 декабря 2007 года_ http://info.drweb.com/show/2999/ru

Компания "Доктор Веб" объявляет о начале бета-тестирования нового поколения антивирусного ядра Dr.Web (в бета-версии ему присвоен номер 4.33.44). В новой версии реализован уникальный алгоритм несигнатурного обнаружения вредоносных кодов, который дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web. 

Новая технология, разработка которой велась в компании в течение последних 10 месяцев, дает возможность существенным образом повысить уровень детектирования ранее неизвестных вредоносных программ. "Наши аналитики и разработчики, безусловно, вывели антивирусную технологию на качественно новый уровень развития, - отмечает Борис Шаров, генеральный директор компании "Доктор Веб". - Мы давно изучали возможность использовать наши новые наработки в дополнение к традиционным средствам детектирования вирусов, в том числе неизвестных, так как это позволяет существенно повысить защищенность наших клиентов от новых, еще не известных вирусов. Мы рады, что смогли преподнести такой подарок нашим пользователям в канун Нового года!" 

Бета версия доступна всем желающим. Для скачивания этой версии необходимо зарегистрироваться в качестве участника программы бета-тестирования антивируса Dr.Web в разделе бета-тестирования (http://beta.drweb.com/) интернет-сайта компании "Доктор Веб". 

Внимание! Вредоносные коды, которые обнаруживаются с применением новой технолоии, имеют в названии расширение ".Origin". 

Ваши замечания Вы можете сообщать в систему учета ошибок http://bugs.drweb.com/. Ложные срабатывания просьба высылать на адрес  Службы вирусного мониторинга.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

> Внимание! Вредоносные коды, которые обнаруживаются с применением новой технолоии, имеют в названии расширение ".Origin".


Выглядит это следующим образом:
F:\zzzz\agflwlhs.#xe упакован UPACK
>F:\zzzz\agflwlhs.#xe инфицирован Trojan.Popuper.origin

----------


## Sanja

Не глядя предположу что это аналог Нодовского Генерик детектора..

----------


## borka

> Не глядя предположу что это аналог Нодовского Генерик детектора..


А если глядя?  :Wink:

----------


## Синауридзе Александр

> Не глядя предположу что это аналог Нодовского Генерик детектора..


Догонять всегда тяжело, но надо. :Smiley:

----------


## AndreyKa

В моей свалке недетектируемого DrWeb-ом новая версия движка нашла такие разновидности:
Adware.Coupons.origin
Adware.MySearch.origin
Adware.MyWay.origin
Adware.nCase.origin
Adware.Spysheriff.origin
Dialer.Rasch.origin
Trojan.DownLoader.origin

Да, не плохо. Но новые распаковщики смогли распознать еще примерно столько же заразы. Так что "качественно новый уровень" это явное преувеличение.

----------


## pig

Тем не менее новое качество налицо.

----------


## borka

> В моей свалке недетектируемого DrWeb-ом новая версия движка нашла такие разновидности:


На [email protected] заслали?  :Wink:

----------


## AndreyKa

> На [email protected] заслали?


Нет. Эти уже были частично засланы, остальные отправлю после празников. А туда я заслал пару ложных срабатываний нового движка.

----------


## borka

> Нет. Эти уже были частично засланы, остальные отправлю после празников.


Если были частично засланы ДО выхода беты, то придется перепосылать.




> А туда я заслал пару ложных срабатываний нового движка.


И это тоже... Кстати, а что это было?

----------


## saicat

> уникальный алгоритм несигнатурного обнаружения вредоносных кодов


Интересно было бы узнать подробнее, что скрывается за столь скромным и ничего не говорящим названием? Или это секретное ноу-хау компании?  :Stop:  Под "несигнатурное обнаружение" можно подвести всё, что угодно. К примеру, эвристический анализатор или, скажем, поведенческий...

Или имелось в виду, что продвинутый движок Др.Веб только сейчас эволюционировал до возможности использования generic-записей? Тогда соглашусь с Александром: догонять всегда тяжело, но надо  :Smoke Man:

----------


## borka

> Или это секретное ноу-хау компании?


Разумеется, а Вы как думали?  :Wink:  Никто толком ничего не говорит...




> Или имелось в виду, что продвинутый движок Др.Веб только сейчас эволюционировал до возможности использования generic-записей?


Насколько я помню, generic-записи были очень давно.

----------


## Ego1st

мнения разделились кто-то говорит что это, что-то типа нодовского Behaves like...
представитель др.веб говорит что это, что-то типа Софосовского генатипа, только немного реализовано подругому..
может у кого-то более доставерная инфаа есть что это такое?

----------


## borka

> представитель др.веб говорит что это, что-то типа Софосовского генатипа, только немного реализовано подругому..


А где можно ознакомиться с мнением "представителя др.веб"?




> может у кого-то более доставерная инфаа есть что это такое?


У разработчика, разумеется...

----------


## Ego1st

На антималваре.ру можно ознакомиться с мнением Valery Ledovskoy..

----------


## Синауридзе Александр

> мнения разделились кто-то говорит что это, что-то типа нодовского Behaves like...


Это у BitDefender. :Wink: 



> На антималваре.ру можно ознакомиться с мнением Valery Ledovskoy..


Это здесь http://antimalware.ru/phpbb/viewtopic.php?t=1911.

----------


## Ego1st

> Это у BitDefender


и у него тоже, вроде как очень похожие технологии=))

----------


## borka

> Это здесь http://antimalware.ru/phpbb/viewtopic.php?t=1911.


Угу, спасибо за ссылку. Оттуда же цитата того же Валерия: "Но я бы подождал более подробного описания от разработчиков."

----------


## saicat

Из объяснений Valery Ledovskoy в аналогичной ветке на antimalware.ru я понял, что данная технология позволит движку находить новые модификации зловредов, чьи сигнатуры уже есть в базе. Причем речь идет об обычных сигнатурах, а не о generic-подобных записях. Т.е. данная технология позволит автоматически находить модификации всех зверей, известных программе. 

Звучит очень даже неплохо. Вопрос в том, насколько хорошо данная программа будет распознавать модификации и насколько серьезное изменение кода зловреда будет, тем не менее, опознано при помощи новой технологии... Время покажет, насколько данная технология окажется полезной. Ну и тесты, полагаю, тоже.

----------


## borka

> Из объяснений Valery Ledovskoy в аналогичной ветке на antimalware.ru я понял, что данная технология позволит движку находить новые модификации зловредов, чьи сигнатуры уже есть в базе. Причем речь идет об обычных сигнатурах, а не о generic-подобных записях. Т.е. данная технология позволит автоматически находить модификации всех зверей, известных программе.


Странно. В анонсе говорится именно "уникальный алгоритм несигнатурного обнаружения вредоносных кодов..." А то, о чем говорит Валерий, было описано довольно давно, чуть ли не во времена Доси, и называлось "нечеткие" или "размытые" сигнатуры. Суть состояла в том, что на базе существующей сигнатуры строилась другая, измененная, которая меньше исходной по длине, но больше подходящая для нахождения новых модификаций.

----------


## Ego1st

это вы про based говорите, а тут что-то другое..

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Синауридзе Александр

Где-то здесь (на форуме) об этом уже писалось:

>>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.  MSI\stream000\VBAgent.exe , возможно, инфицирован BACKDOOR.Trojan
>>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.  MSI\stream000\VBAgent.exe1 , возможно, инфицирован BACKDOOR.Trojan
>C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.  MSI\stream000 - архив содержит инфицированные объекты
C:\Program Files\Common Files\Wise Installation Wizard\WIS31EE24C0A8804B61A401982B52CA53BF_3_11_1.  MSI - архив содержит инфицированные объекты

Старые ложняки присутствуют и в уникальном алгоритме несигнатурного обнаружения вредоносного кода. :Stick Out Tongue: 

М да. Только зря время потратил - 5 машин прогнал. После NOD32 что-то найти почти нереально. :Smiley:

----------


## pig

Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.

----------


## Синауридзе Александр

> Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.


Возможно, дело обстоит именно так. Спорить не буду. :Smiley:

----------


## AndreyKa

> Кстати, а что это было?


C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavoepl.dll - AdWare.nCase.origin
C:\WIN98\USB-IrDA\regdll.dll - Trojan.Richad.origin
Первый понятно кто, а второй от драйвера ИК-порта Tekram.

И еще одно нашел:
SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
это файл из состава ZoneAlarm 6.0.631.003
Текущая версия на него не ругается.

----------


## Geser

Написано же, несигнатурный метод. Каким образом несигнатурный метод может давать имя зловреда? По колебаниям астрала?

----------


## незарег

> Из объяснений Valery Ledovskoy в аналогичной ветке на antimalware.ru я понял, что данная технология позволит движку находить новые модификации зловредов, чьи сигнатуры уже есть в базе. Причем речь идет об обычных сигнатурах, а не о generic-подобных записях. Т.е. данная технология позволит автоматически находить модификации всех зверей, известных программе.


по всем высказываниям ответ - нет.

----------


## Casper

> C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavoepl.dll - AdWare.nCase.origin
> C:\WIN98\USB-IrDA\regdll.dll - Trojan.Richad.origin
> Первый понятно кто, а второй от драйвера ИК-порта Tekram.


AndreyKa, было бы не лишним отправить эти файлы в вируслаб Вэбу (уверен, адрес Вы помните), с указанием в теле письма об использовании бета технологии "несигнатурного анализа". Как раз подобные детекты и ждут сейчас от бета тестеров - информацию собирают, видимо, для юстировки технологии!




> И еще одно нашел:
> SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
> это файл из состава ZoneAlarm 6.0.631.003
> Текущая версия на него не ругается.


Как уже выше писАлось, подобные детекты будут часто всплывать с данными базами, т.к. из них исключили уже исправленные ложные срабатывания. Видимо для чистоты эксперимента...

----------


## Зайцев Олег

Регистрироваться у них неохота для получения беты - киньте кто нибудь эту версию на FTP или через службу отправки чистых файлов -  заберу его и погоняю. У меня экспериментальная система на базе ИР ловит зловредов тысячами в день - я просто прогоню их сканер по кешу моей системы и можно объективно сказать, что дает эта технология. 
По туманным описаниям "ноу-хау" я могу предположить, что в базе у них в дефиниции зловреда >1 сигнатуры (типовой подход - 2 сигнатуры - преддект + детект). Выдавать подозрения по совпадению сигнатуры преддетекта опасно - будет куча ложняков. Но предположим, что есть Trojan.Win32.X. Для него известно 100 разновидностей. Анализируем 101-ю - полного детектирования нет, но есть частичный, скажем по дефинициям 7, 24, 46, 67, 89, 95. В этой ситуации можно использовать этот "эффект преддетекта" - в случае множественного частичного совпадения можно использовать это как вариант эвристики - в этом случае на эвристику будет работать вся AV база.

----------


## Casper

> Регистрироваться у них неохота для получения беты - киньте кто нибудь эту версию на FTP или через службу отправки чистых файлов -  заберу его и погоняю.


Сори, не могу залить на http://www.virusinfo.info/upload_virus.php:
Unknown error. File not uploaded...
Может прокся на сервере хулиганит!  :Sad:

----------


## Geser

> Сори, не могу залить на http://www.virusinfo.info/upload_virus.php:
> Unknown error. File not uploaded...
> Может прокся на сервере хулиганит!


Похоже глюк после переезда. Постараюсь глянуть вечером

----------


## Casper

Окей, напомните адрес ftp сервера, куда можно залить архивчик запрашиваемый Олегом?

----------


## borka

> Так из баз специально убрали фиксы ложных подозрений эвристика. Видимо, чтобы не мешали.


Из баз убрали ВСЕ фиксы ложняков, не только эвристика.

----------


## borka

> И еще одно нашел:
> SRESCAN.DLL , возможно, инфицирован DLOADER.Trojan
> это файл из состава ZoneAlarm 6.0.631.003
> Текущая версия на него не ругается.


Ложняк, ИМХО.

----------


## borka

> Похоже глюк после переезда. Постараюсь глянуть вечером


Такое впечатление, что ругань идет ужЕ после аплоуда. Гляньте, не пришел ли случаем betadrweb.rar

----------


## Casper

> Такое впечатление, что ругань идет ужЕ после аплоуда. Гляньте, не пришел ли случаем betadrweb.rar


У Вас, Борис, такая же проблема? У меня тоже сложилось такое же впечатление, т.к. сам файл мирно ушел в сеть. Отправлял 2 раза, так что помимо betadrweb.rar, там должно быть 2 архива DrWeb.rar (теоретически, естественно)...

----------


## borka

> У Вас, Борис, такая же проблема? У меня тоже сложилось такое же впечатление, т.к. сам файл мирно ушел в сеть.


Ага, то же самое.  :Sad:

----------


## Casper

Олег, по идее можно на ftp слить, вот только адресочек бы...  :Wink:

----------


## Зайцев Олег

> Олег, по идее можно на ftp слить, вот только адресочек бы...


У меня на сайте FTP не настроен, можно на ftp virusinfo.info - параметры в закрытом разделе, в теме про FTP. Но еще лучше и проще - положить его на rapidshare.ru или rapidshare.com

----------


## Iceman

> У меня на сайте FTP не настроен, можно на ftp virusinfo.info - параметры в закрытом разделе, в теме про FTP. Но еще лучше и проще - положить его на rapidshare.ru или rapidshare.com


В личку.

----------


## Зайцев Олег

> В личку.


Ага - файл получил, спасибо. сейчас его погоняю

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Iceman

Как обычно - результаты ждём с большим интересом ;-)).

----------


## _HEKTO_

> М да. Только зря время потратил - 5 машин прогнал. После NOD32 что-то найти почти нереально.


Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать  :Smiley:

----------


## ValeryLedovskoy

> представитель др.веб говорит что это, что-то типа Софосовского генатипа, только немного реализовано подругому..


"Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет  :Smiley:

----------


## Ego1st

> "Немного" я не говорил. Вполне возможно, в реализации вообще ничего общего нет


я описал, то как сам эт понял..)) ссылку на тему кинули, я думаю кому интересно из первого источника всё-таки прочитали.. 

надо было имхо поставить=)))

----------


## Зайцев Олег

> Как обычно - результаты ждём с большим интересом ;-)).


Ну, собственно, вот и результаты:
1. Кеш системы с ИР - всякий мусор, явные зловреды оттуда почти все отфильтрованы на 80%. По отчету DrWeb проверено 219361 файлов (файлы без повторов, это то, что ожидает классификацию - реально файлов порядка 27 тыс, там примерно 2 тыс зверей. многие файлы являются дистрибуциями, инсталлами и т.п. - DrWeb работал с опцией "проверять все файлы", что видимо повлияло на его счетчики), так вот из них 90 - "Возможно ..."  и 258 - "xxxx.origin". Чаще всего мелькает "Trojan.Resun.origin", "Trojan.DownLoader.origin", "Trojan.Fakealert.origin", "Trojan.Spambot.origin", "Trojan.PWS.GoldSpy.origin", "Dialer.Riprova.origin", "Adware.Shopper.origin", "Dialer.Hot.origin", "Adware.Cdn.origin". Вероятность "попадания в зловред" по ним - порядка 70%. Еще примерно 800-1000 DrWeb детектировал как зловреды сигнатурами
2. Тест по базе чистых объектов - проверил он 280 тыс, из них порядка 60 тыс - исполняемые файлы. 20 ложняков, досталось компонентам ZoneAlarm, NOD, KAV. Срабытываний "Origin" две штуки - на Panda и Ulead DVD Movie Factory 2.
3. Другой кеш ИР анализатора - гарантировано зловреды, без повторов, ITW за последние 2 месяца, 24 тыс штук. Из них примерно 700 он не детектировал, много детектов вида "xxx.based" и *906* зверей детектированы именно как "xxx.origin". 
Вот такие вот цифры ...

----------


## Geser

Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.

----------


## Зайцев Олег

> Интересно было бы в процентах. Сколько процентов из того что не находит нынешняя версия находит бета.


Насколько я понимаю, получается примерно +4..5%. Точнее подсчитать трудно ... но особого расхождения я думаю не будет. Причем пока видно, что origin детект эффективен не для всех зловредов, а для ряда характерных семейств, например зловредов класса Zlob и некоторых порнозвонилок.

----------


## Geser

> Насколько я понимаю, получается примерно +4..5%


Не густо...

----------


## Зайцев Олег

> Не густо...


А я большего и не ожидал ... фокус с в том, что сигнатурная база продолжает работать - порядка 90-92% ITW зверей он детектит именно сигнатурами ... а сигнатурный детект (по моим опытам по крайней мере) имеет приоритет. Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.

----------


## Iceman

У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
Детект-детектом, а лечить не получается. проверьте, может я ошибся.

----------


## незарег

> У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
> Детект-детектом, а лечить не получается. проверьте, может я ошибся.


С чего вы решили?
С какой заразой воспроизводится?

----------


## AndreyKa

> У Веба, ИМХО, опять отвалилась возможность лечения активной заразы.
> Детект-детектом, а лечить не получается. проверьте, может я ошибся.


В то время, когда был уже запущен троян sys32.exe, я запустил сканер. Вот результат: (файл трояна был действительно удален)

[Проверяемый путь] e:\virus\collection\trojan\downloader\sys32.exe
e:\virus\collection\trojan\downloader\sys32.exe инфицирован Trojan.DownLoader.11402

[Проверяемый путь] e:\winproxy\winproxy.exe
...

e:\virus\collection\trojan\downloader\sys32.exe - удален

----------


## AndreyKa

> Сколько процентов из того что не находит нынешняя версия находит бета.


Олег привел долю детектирования новым эвристиком - 4..5% из общей массы детектов.
Я понял вопрос Geser иначе. Если судить по цифрам Олега, то новый движок пропускает как минимум в 2 раза меньше. Точную цифру можно получить только, проверив эти же файлы движком нынешней версии.

PS. Слабо верится в такие хорошие результаты. Может я ошибся?

----------


## _aver_

> Вот если бы сигнатурный поиск как-то отключался и работал только "Origin" - тогда цифры были бы намного интереснее и показательнее.


очень верный ход мысли.

----------


## Casper

Если кто еще захочет потестить новую бету Вэба, то вот ссылка на неё:
http://rapidshare.com/files/10125140/BetaDrWeb.rar.html
Архив без пароля.

----------


## Surfer

Такой вопрос , в CureIt она(технология) встроена или нет ?
А то особо желания нет качать 6 метров  :Smiley:

----------


## MakRos-78

*Surfer*
Нет ... это пока бетта ... идет тестирование.

----------


## Синауридзе Александр

> Как раз не зря. Ложные срабатывания как раз на чистых машинах и надо искать


У меня на работе других дел хватает. :Stick Out Tongue: 



> Насколько я понимаю, получается примерно +4..5%.


А больше и не следовало ожидать. :Smiley:

----------


## _HEKTO_

> У меня на работе других дел хватает.


А я-то думал, что бета версия для тестирования предназначена...

----------


## borka

> А я-то думал, что бета версия для тестирования предназначена...


Это для тех, кто участвует в тестировании, наверное...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## userr

> Ну, собственно, вот и результаты:
> 3. Другой кеш ИР анализатора - гарантировано зловреды, без повторов, ITW за последние 2 месяца, 24 тыс штук. Из них примерно 700 он не детектировал, много детектов вида "xxx.based" и *906* зверей детектированы именно как "xxx.origin". 
> Вот такие вот цифры ...


Как уже говорили, запусти, пожалуйста, текущий cureit на эту коллекцию. Сколько поймает зверей? Что будет с теми, что бета ловит как  "xxx.based" и "xxx.origin" ?

----------


## Shu_b

*UP*

Обновлена версия Origin'ального движка.

----------


## Ilya_K

> Как уже говорили, запусти, пожалуйста, текущий cureit на эту коллекцию. Сколько поймает зверей? Что будет с теми, что бета ловит как  "xxx.based" и "xxx.origin" ?


xxx.based так и останеться xxx.based.
То, что определяется как xxx.origin CureIt! (а точнее релизный движок) не определит - это связано с тем, что чёткий детект по сигнатурам - есть чёткий детект по сигнатурам (и такой детект даёт чёткий вердикт). А уже после недетекта по сигнатурам работает всё остальное.

----------


## ВодкуГлыть

Однако, говорят антиспам в этой бэте к SpiderMail прикрутили?

----------


## borka

> Однако, говорят антиспам в этой бэте к SpiderMail прикрутили?


Скажем так, бета получилась достаточно объемной: новое ядро и новые базы, антиспам со спайдерМылом...

----------

