Антивирусный аналитик, работающий по вердиктам от Virustotal - ценный сотрудник. Экономия на обучении?
Printable View
Антивирусный аналитик, работающий по вердиктам от Virustotal - ценный сотрудник. Экономия на обучении?
Отправлял аттач в Dr.Web и получил ответ (на этот раз довольно быстро) от аналитика [B]Igor Daniloff[/B]. Это шутка, однофамилец или в вир. лабе не хватает кадров и поэтому пришлось самому Данилову взяться за дизассемблер? :L
[QUOTE]Отправлял аттач в Dr.Web и получил ответ (на этот раз довольно быстро) от аналитика Igor Daniloff[/QUOTE]
[url]http://live.drweb.com/[/url]
[QUOTE]в вир. лабе не хватает кадров и поэтому пришлось самому Данилову взяться за дизассемблер?[/QUOTE]
Насколько известно, его российский коллега тоже не брезгует своим хобби. :)
Так значит это сам Игорь Данилов?
[QUOTE='icon;121221']Насколько известно, его российский коллега тоже не брезгует своим хобби.[/QUOTE]О ком Вы говорите?
Все бы аналитики были с такими опытом и знаниями.
А вообще - я думаю, это очень хорошо, когда такой специалист находит время и на практику.
Продолжая тему. НОД не ответил, но дня через четыре включил сигнатуру в базы, не знаю мой или ещё чей-то образец. Для справки: я отсылал одну из версий желатина. Трендмикро включил после повторной отправки ~ через неделю, а Семантек прислал любопытный ответ (через два дня), цитата:
"Developer notes: blnq.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis".
Может поэтому сигнатурный детект у них не очень -- слишком много не определяется автоматически и откладывается на потом, а потом дела и поглавнее находятся, либо руки не доходят.
[QUOTE='deus_ex;122175']Может поэтому сигнатурный детект у них не очень -- слишком много не определяется автоматически и откладывается на потом, а потом дела и поглавнее находятся, либо руки не доходят.[/QUOTE]
Доходят, но могут добавить через месяц. Несколько таких случаев было в моей практике. Видимо, после невозможности определить зловреда автоматически, ему присваивается низкий приоритет. Аналитики обрабатывают, но в последнюю очередь. Это мое личное мнение.
Сегодня проверил -- не добавили. Следующий рубеж -- месяц.
Да имхо можете не ждать, на этом форуме почему-то на меня многие ополчились когда я сказал правду.
Что ложняки, что реальное вирьё они игнорят, и это факт.
[QUOTE='Surfer;124326']Что ложняки, что реальное вирьё они игнорят, и это факт.[/QUOTE]
Дабы внести ясность даю два официальных заявления с форума ESET:
[QUOTE][B]Blackspear (Global Moderator)[/B]:Viruses, trojans and other malware are added on a priority basis, and it has to be this way or you would have the analysts breaking their back over the odd single sample sent to them, instead of keeping focus on the spreading samples and adding the rest as they go... [/QUOTE]
[QUOTE]
[B]This is what Anton Zajac head of Eset had to say on the matter.[/B]
[B]anton (Eset Moderator)[/B]
Re: What happend ESET?
Hi Guys,
Eset appreciates (a lot) all and every sample/s sent to its labs ([email protected]). Every sample is logged and examined using various methods. Addition of a sample-signature into the database is made on a need-to basis. Extraction of a signature of a sample is an automated process and could be completed in no time. However, Eset does not want to take part in a 'maximum-size-of-the-database' race and prefers to keep the database clean, i.e. without 'meaningless' benign signatures.
Some of the forum participants may recall the Rosenthal Utilities (RU) tests performed by CNET two years ago. All the 'simulated viruses' generated by the RU were benign (non-viral). 100% detection of the RU samples (achieved by some of the products) meant 100% False Alarm Rate. Detection of non-viral samples may lead to a couple of things: excellent results in some 'tests' combined with a false sense of security, a huge 'virus' signature database and 'dinosaur' update files.
Exponential increase of the number of new malware samples may often lead to a 'path-of-least-resistance' approach: automatic addition of all sample signatures, regardless of their viral nature.
Eset exchanges samples with several av vendors. Opposite statement is incorrect.
Speed of update and reaction time is of essence. Eset is fully aware of that. Advanced Heuristics has been developed and implemented with that in mind. The only acceptable reaction time is equal to zero. NOD32 achieves that often, e.g. it detected the infamous Netsky.A and Bagle.A heuristically.
Once again, I would like to thank you all: for both the samples and your patience :-)
anton
[/QUOTE]
перевод сообщений с форума Eset -
[QUOTE][B]Blackspear[/B] (Global Moderator): Вирусы, Трояны и прочее потенциально опасное ПО добавляется в базы в первую очередь, в противном случае специалисты будут тратить всё своё время на изучение одного нестандартного образца, вместо того, чтобы сфокусироваться на более распространенных видах, постепенно добавляя в базы остальные.[/QUOTE]
[QUOTE]
[B]А это ответ Антона Заяк, главы Eset:
Anton [/B](Eset Moderator):
Re: Что случилось, ESET?
Приветствую всех,
Компания Eset (очень-очень) благодарна вам за каждый присланный в нашу лабораторию ([email protected]) образец. Каждый образец тщательно изучается. Добавление в базы происходит автоматически, но Eset не хочет участвовать в соревнованиях на самый большой объем баз и предпочитает держать свои базы чистыми от всяких ненужных, а также ошибочных сигнатур.
Многие из участников форума наверняка помнят результаты тестирования Rosenthal Utilities (RU) проводимых 2 года назад компанией CNET. Большинство «мнимых вирусов» созданных RU на самом деле вирусами не являлись. 100% детектирование данных образцов означает 100% уровень ложных срабатываний. Детектирование таких файлов приводит к высоким результатам в сомнительных тестах, создающим впечатление высокой защищенности, огромному размеру вирусной базы и большому объему обновлений. Большое количество новых вирусных образцов приводит к тому, что в базы начинают автоматически добавляться все похожие файлы, вне зависимости от того являются они вирусом или потенциально опасным ПО или нет.
Также Eset обменивается образцами с другими антивирусными компаниями.
Скорость выхода обновлений и начало детектирования новых вирусов также очень важны для нас. Наш Расширенный Эвристический Анализ разрабатывался с учетом этого принципа. NOD32 легко с этим справляется – печально известные Netsky.A и Bagle.A сразу же были распознаны эвристиком.
Ещё раз благодарю вас всех за присылаемые образцы и ваше терпение :-)
anton[/QUOTE]
Конечно можно придумать 250 причин что бы оправдать нежелание вкладывать деньги в расширение штата вирусных аналитиков. Однако можно увидеть из нашего тестирования, что даже с учетом эвристика НОД не дотягивает до мало-мальски серьёзных антивирусов. А чистые детекты вообще смех. Даже ниже чем у Майкрософтовской поделки. Фактически я бы на сегодня внёс НОД в черный список антивирусов которые устанавливать не рекомендуется.
[QUOTE=Geser;124450]Фактически я бы на сегодня внёс НОД в черный список антивирусов которые устанавливать не рекомендуется.[/QUOTE]
Очень странно это слышать, тем более от Вас.:(
Не вижу ничего странного. НОД я ругал еще года 2 назад за незнание даже элементарных пакеров/криптеров. Потом они это поправили, но скорость сканирования в результате упала, и пользователи начали жаловаться на тормоза. Судя по всему они решили сейчас повысить быстродействие путём добавления в базы только наиболее распространённых зловредов(видимо исключительно из коллекции VB :)), в остальном полагаясь на эвристик. Считаю данный путь тупиковым и опасным для конечного пользователя.
Честно говоря больше похоже на детский лепет и отмазку, нежели на аргументированный ответ. Соглашусь с Geser'ом, имхо кроме эвристика у него ничего полезного и интересного нет. И мне кажется это не только нежелание расширять штат, но и неправильно сформулированная политика развития.
Что до M$ - мне кажется не стоит недооценивать дефендер, ему есть куда развиваться, особенно если такая могущественная компания всерьёз займётся сетевой безопасностью :)))
[QUOTE='Geser;124450']Однако можно увидеть из нашего тестирования, что даже с учетом эвристика НОД не дотягивает до мало-мальски серьёзных антивирусов[/QUOTE]
В последние полгода, как мне кажется, одним из самых больших недостатком этого тестирования стал личный фактор. :)
В смысле форум наводнили ненавистники НОДа и выискивают только троянов которых он не знает?
[QUOTE=icon;124495]В последние полгода, как мне кажется, одним из самых больших недостатком этого тестирования стал личный фактор. :)[/QUOTE]
Угу. Именно из-за этого я практически перестал постить в этой теме.:(
[QUOTE=Geser;124496]В смысле форум наводнили ненавистники НОДа и выискивают только троянов которых он не знает?[/QUOTE]
Я бы сказал наоборот.
Появилось очень много любителей другого антивируса. :)
Чтобы не быть голословным, для сравнения:
4. [url]http://virusinfo.info/attachment.php?attachmentid=5600&d=1168259251[/url]
5. [url]http://virusinfo.info/attachment.php?attachmentid=14422&d=1185195975[/url]
Хотя, конечно, это не может быть доказательством, но я просто очень давно, с момента её появления наблюдаю за этой темой и ощущеньице некоторой подтасовки появилось.
Это может быть отличным доказательством. Доказательством того что НОД не был лидером никогда.
[QUOTE=Geser;124504]Это может быть отличным доказательством. Доказательством того что НОД не был лидером никогда.[/QUOTE]
А как же моё ощущение? :)
В соответствии с этими графиками нет [B]никакого[/B] лидера.
30-60% - это очень мало.
[QUOTE=Geser;124504]Это может быть отличным доказательством. Доказательством того что НОД не был лидером никогда.[/QUOTE]
Может лидером и не был. Дело не в этом. По предыдущему посту все видно не вооруженным глазом.
А знаете ли Вы, что средняя продолжительность жизни танка в бою составляет считанные минуты. Это очень мало. Потому делаем выводы, что броня это фигня. Всех на мотоциклы и вперёд за родину :)
Не знаю сколько Вам лет, но пора бы уже понять что в мире нет ничего идеального. Если нельзя выбрать лучших из лучших, то нужно выбирать лучших из худших :)
[size="1"][color="#666686"][B]Добавлено через 6 минут[/B][/color][/size]
[QUOTE=Синауридзе Александр;124507]Может лидером и не был. Дело не в этом. По предыдущему посту все видно не вооруженным глазом.[/QUOTE]
Мне лично видно что время реакции ЛК на новый присланный файл в среднем менее суток. Тогда как про время реакции НОД в написано выше. Графики постверждают что НОД сильно уступает не только КАВ, но и другим антивирусам. БД, ДрВеб, бесплатному Антивиру и т.д. Как сейчас так и раньше. Если кому-то это не видно, то могу только предложить посещение окулиста :)
[QUOTE=Geser;124508]Не знаю сколько Вам лет, но пора бы уже понять что в мире нет ничего идеального. Если нельзя выбрать лучших из лучших, то нужно выбирать лучших из худших :)[/QUOTE]
Можете посмотреть, если интересно. Я не считаю что NOD32 - идеал, и про это ни где не говорил. Давайте каждый останется при своем мнении, а то мы уже перешли в злостный offtopic.:)
Позвольте чуть ещё поофтопить :)
Так что же должно показать/доказать указанные промежуточные результаты ?
Вижу только значительное увеличение Ikarus'а, небольшой рост M$ и Symantec
Остальные практически без изменений.
[QUOTE='Surfer;124517']Вижу только значительное увеличение Ikarus'а[/QUOTE]
Вы бы выбрали Ikarus в качестве основной защиты на работе?
[size="1"][color="#666686"][B]Добавлено через 9 минут[/B][/color][/size]
Если отсылать образцы, используя встроенные средства НОД (ThreatSense.Net), то время от отправки (в логах видно) до детекта может составлять 1 час. Они работают по приоритетам, то что отправлено с помощью ThreatSense.Net или от больших корпоративных клиентов они рассматривают в первую очередь. ИМХО, тема "Исследование анивирусов" малообъективна, логичнее было бы выкладывать результаты проверок файлов собранных в разделе "Помогите".
[quote=ALEX(XX);124519]Вы бы выбрали Ikarus в качестве основной защиты на работе?[/quote]
К сожалению незнаком с этим продуктом совершенно.
На работе порой качество детекта стоит не на первых местах.
Надо смотреть :
1) Насколько хорошо работает корпоративная версия
2) Качество и оперативность ТП
3) Цена
4) Пропиаренность марки (хотя это несёт в себе много негатива, например Symantec, думаю все знают)
[quote=ALEX(XX);124519]Если отсылать образцы, используя встроенные средства НОД (ThreatSense.Net), то время от отправки (в логах видно) до детекта может составлять 1 час. Они работают по приоритетам, то что отправлено с помощью ThreatSense.Net или от больших корпоративных клиентов они рассматривают в первую очередь.[/quote]
То есть они установили рамки, в которых они работают и всё что не входит в них имеет низкий или никакой приоритет ?
Абсолютно нелогично. Эвристик не панацея, следуя их логике
зверь не имеющий большой распространённости не попадёт в сигнатуры до тех пор, пока не случится эпидемии.
[QUOTE='ALEX(XX);124519']Они работают по приоритетам, то что отправлено с помощью ThreatSense.Net или от больших корпоративных клиентов они рассматривают в первую очередь.[/QUOTE]
Если есть две антивирусных фирмы. Одна обрабатывает только файлы от крупных корпоративных клиентов, а другая от всех приславших, то, лично у меня, не возникает сомнений антивирус какой фирмы я поставлю себе на компьютер.
[QUOTE='Geser;124508']А знаете ли Вы, что средняя продолжительность жизни танка в бою составляет считанные минуты. Это очень мало.[/QUOTE]
Был в третьем рейхе танкист, подбивший 300 с лишним танков за карьеру. За минуты он явно не успел бы. :)
Но и его, конечно, в конце-концов подбили. Насмерть.
[QUOTE='Geser;124508'] Если нельзя выбрать лучших из лучших, то нужно выбирать лучших из худших[/QUOTE]
А что же нам грешным остается делать? :)
[QUOTE='Geser;124508']Если кому-то это не видно, то могу только предложить посещение окулиста[/QUOTE]
Спасибо, не надо. :)
Но видно ещё и то, что иногда явно свежеотправленный и свежедобавленный троян, размещается в теме "исследование.."
Мне лично всё-равно. Но слегка коробит.
Отличную идею теста легко опошлить.
[QUOTE='ALEX(XX);124519'] ИМХО, тема "Исследование анивирусов" малообъективна, логичнее было бы выкладывать результаты проверок файлов собранных в разделе "Помогите".[/QUOTE]
Мне в этом случае доктора жалко будет.
Просядет он не по-детски.
Ведь одним из пунктов правил является проверка куреитом.
И как я думаю, часто она проводится.
Соответственно, после его чистки останутся только неизвестные доктору файлы (к сожалению, иногда они возвращаются:))
Кстати, и сейчас публикуются файлы из "помогите" и доктор теряет свои проценты.
[QUOTE='ALEX(XX);124519']Вы бы выбрали Ikarus в качестве основной защиты на работе?[/QUOTE]
Кто-нибудь смотрел сей агрегат?
Поделитесь впечатлениями.
Мне же почему-то кажется, что доля ложняков будет немалой как и у фортинета, с антивиром, несмотря на сигнатурный детект.
P.S. За сим умолкаю. :)
Не знаю как, у кого и зачем, но у меня на работе стоит НОД уже 2 года. Никаких эпидемий в сети не было. Всё что заразное, замечательно прибивается.
[size="1"][color="#666686"][B]Добавлено через 1 минуту[/B][/color][/size]
[QUOTE='Geser;124525']а другая от всех приславших, то, лично у меня, не возникает сомнений антивирус какой фирмы я поставлю себе на компьютер.[/QUOTE]
По такой логике Symantec самое оно :)
[B]Webwasher-Gateway[/B] - это что за чудо, погуглил - не нашёл :\
Как я понял что-то вроде прокси с этим фильтром.
И интересно, много ли у него ложняков.
Немецкий антивирус. На мой взгляд, довольно хороший, в детектах очень много общего с AntiVir. Сайт - [url]www.webwasher.com[/url]
Судя по редиректу на securecomputing.com, их приобрела Secure Computing GmbH
Ложные срабатывания наверняка будут, у кого их нет, но, имхо, для веб-гейта параноидальность не повредит.
Ну да, видно что движок авиры, но иногда ловит больше :)
Только я так и не понял, он есть в виде готового продукта, который можно установить себе на компьютер ? :)
[QUOTE=Surfer;127178]Ну да, видно что движок авиры, но иногда ловит больше :)
[/QUOTE]
Не думаю, что именно так. Скорее просто тесно сотрудничают. Имена часто похожи, но всё же отличаются, да и детекты тоже.
Явно не боятся детектить упаковщики. Для веб-гейта, повторюсь, ложняки - не очень большая проблема, страшнее что-то пропустить. Т.е. могут себе позволить то, на что у обычных антивирусов духу не хватит :).
Насчет "ловит больше" - согласен, у меня тоже сложилось такое впечатление.
[QUOTE]
Только я так и не понял, он есть в виде готового продукта, который можно установить себе на компьютер ? :)[/QUOTE]
Точно не знаю, думаю, это корпоративное решение, вряд ли оно доступно обычному индивидуальному пользователю. Веб-гейт - обычно недешевая игрушка.
Насколько я помню, WebWasher первым начал использовать icap, я пробовал squid-icap с их сайта с дрвебовским гейтом. Уже намного позже юниксоиды дрвеба довели поддержку ICAP в сквиде до ума.
Хочу отметить, что работа лаборатории Dr.Web за последние пару месяцев заметно улучшилась. Абсолютное большинство запросов обрабатывается в тот же день (в выходные последнее время ничего не отправляю).
То ли это на мой e-mail так стали реагировать, то ли произошло чудесное преображение :)
Подсчитал среднее время обработки крайних 28 тикитов: 2 часа 20 мин!
[QUOTE=AndreyKa;127253]Хочу отметить, что работа лаборатории Dr.Web за последние пару месяцев заметно улучшилась.[/QUOTE]
Я бы так не сказал. У меня два запроса [drweb.com #317359] от Sun, 12 Aug 2007 06:27:23 и [drweb.com #317368] от Sun, 12 Aug 2007 07:06:40 так и остались без ответа.:(
[QUOTE=AndreyKa;127253]То ли это на мой e-mail так стали реагировать, то ли произошло чудесное преображение :)[/QUOTE]
Просто иногда начинают усиленно работать.:) Вот например [drweb.com #312057] от Sat, 28 Jul 2007 17:23:47 был обработан достаточно быстро:
От кого: Aleksey Olendar - Virus Monitoring Service Doctor Web Ltd.
Кому:
Дата: Sat, 28 Jul 2007 17:42:04 +0400
Тема: [drweb.com #312057] Обработано:
Уважаемый Александр Синауридзе,
Ваш запрос был проанализирован. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.DownLoader.28831.
Время обработки 19 минут. Нормально.;)
[QUOTE='Синауридзе Александр;127260'] У меня два запроса [drweb.com #317359] от Sun, 12 Aug 2007 06:27:23 и [drweb.com #317368] от Sun, 12 Aug 2007 07:06:40 так и остались без ответа.[/QUOTE] Так это же выходной был, неудивительно. :)
А вот ответы спецов из "ВирусБлокАды":
============================================================================
This is REPLY to the letter
----------------------------------------------------------------------------
From : Александр Синауридзе
To : [email][email protected][/email] <[email protected]>
Date : Thursday, August 16, 2007, 16:11:39
Subject : ""
----------------------------------------------------------------------------
> ATTACHMENTS = ecard.exe.tar.gz
> Здравствуйте!
> Отправляю Вам зараженный файл. Заранее спасибо за ответ.
----------------------------------------------------------------------------
============================================================================
Worm.Win32.Nuwar.Gen, добавлен в антивирусные базы 16.08.2007. Спасибо
за сотрудничество.
--
VirusBlokAda Ltd., Minsk, Belarus
E-mail: [email][email protected][/email]
WWW: [url]http://www.anti-virus.by/en/[/url]
============================================================================
This is REPLY to the letter
----------------------------------------------------------------------------
From : Александр Синауридзе
To : [email][email protected][/email] <[email protected]>
Date : Thursday, August 16, 2007, 16:18:02
Subject : ""
----------------------------------------------------------------------------
> ATTACHMENTS = realfoto.exe.tar.gz
> Здравствуйте!
> Отправляю Вам зараженный файл. Заранее спасибо за ответ.
----------------------------------------------------------------------------
============================================================================
Trojan-Downloader.Win32.Small.ehu, добавлен в базы 16.08.2007. Спасибо
за сотрудничество.
--
VirusBlokAda Ltd., Minsk, Belarus
E-mail: [email][email protected][/email]
WWW: [url]http://www.anti-virus.by/en/[/url]
============================================================================
This is REPLY to the letter
----------------------------------------------------------------------------
From : Александр Синауридзе
To : [email][email protected][/email] <[email protected]>
Date : Thursday, August 16, 2007, 16:01:44
Subject : ""
----------------------------------------------------------------------------
> ATTACHMENTS = win32.exe.tar.gz
> Здравствуйте!
> Отправляю Вам зараженный файл. Заранее спасибо за ответ.
----------------------------------------------------------------------------
============================================================================
Email-Worm.Win32.Zhelatin.gv, добавлен в базы 17.08.2007. Спасибо за
сотрудничество.
--
VirusBlokAda Ltd., Minsk, Belarus
E-mail: [email][email protected][/email]
WWW: [url]http://www.anti-virus.by/en/[/url]
============================================================================
This is REPLY to the letter
----------------------------------------------------------------------------
From : Александр Синауридзе
To : [email][email protected][/email] <[email protected]>
Date : Thursday, August 16, 2007, 15:35:57
Subject : ""
----------------------------------------------------------------------------
> ATTACHMENTS = msdataaccess.exe.tar.gz
> Здравствуйте!
> Отправляю Вам зараженный файл. Заранее спасибо за ответ.
----------------------------------------------------------------------------
============================================================================
Email-Worm.Win32.Zhelatin.Gen, будет добавлен в антивирусные базы.
Спасибо за сотрудничество.
--
VirusBlokAda Ltd., Minsk, Belarus
E-mail: [email][email protected][/email]
WWW: [url]http://www.anti-virus.by/en/[/url]
Из этого поста [url]http://virusinfo.info/showpost.php?p=127460&postcount=256[/url]
============================================================================
This is REPLY to the letter
----------------------------------------------------------------------------
From : Александр Синауридзе
To : [email][email protected][/email] <[email protected]>
Date : Thursday, August 16, 2007, 15:46:57
Subject : ""
----------------------------------------------------------------------------
> ATTACHMENTS = update.exe.tar.gz
> Здравствуйте!
> Отправляю Вам зараженный файл. Заранее спасибо за ответ.
----------------------------------------------------------------------------
============================================================================
Trojan-Dropper.Win32.Agent.bpc, добавлен в базы 17.08.2007. Спасибо за
сотрудничество.
--
VirusBlokAda Ltd., Minsk, Belarus
E-mail: [email][email protected][/email]
WWW: [url]http://www.anti-virus.by/en/[/url]
Так что они тоже работают, и очень даже. Просто, физически времени не хватает всем отвечать.:)
Может я не нашёл такой темы .
Если мы не можем создать единую базу вирусов для всех антивирусов.
Нужно создать тему где будет пополняемый список с адрессами для посылки новых вирусов
([email protected] Company)
А затем единой строкой список через точку с запятой.
(для быстрого копирования в почтовик)
Нужно сформитовать требования к письму.
1. ОС
2. Антивирус + версия баз (либо отчёт с онлайн -сервиса)
3. Что вы думаете это такое (подозрение на вирус или ложное срабатывание)
4. Пароль к посылаемым файлам
Варианты требований нужно перевести на английский.
Язык сообщения по минимуму должен быть двойной(русский и английский, или родной и английский)
Вот это и будет более свободный инет.
[quote=stopka2top;138125]Может я не нашёл такой темы .
Если мы не можем создать единую базу вирусов для всех антивирусов.
Нужно создать тему где будет пополняемый список с адрессами для посылки новых вирусов
([email protected] Company)
Вот это и будет более свободный инет.[/quote]
А [URL="http://virusinfo.info/showthread.php?t=5287&page=2"]это[/URL] не то? :)