Пойманное в сети ITW - статистика от MOCT'а

[quote=Ego1st]Всегда ненавидил такую позицию..[/quote]
Извините, но бред.
Со временем пройдёт. :)
Если люди, которые получают за что то деньги недорабатывают, то это их проблемы и их поклонников и клиентов, которые сделали свой выбор.
Если я отсылаю файлы, то это моё хобби.:)
Если человек не хочет их отсылать, то это его право.
Спасать мир труднее, чем это делает Крепкий Орешек. :)

На подобные темы можно много писАть.;)

[QUOTE=Ego1st]Всегда ненавидил такую позицию..[/QUOTE]
Любители Касперского могут продолжать любить Касперского на его форуме. Лично у меня нет никаких причин помогать людям, которые не любят свою родную страну. Почему KIS для жителей России стоит 79$, а для жителей США - 69$ ? Вот пусть жители США и пополняют антивирусные базы Касперского.

А тут получается такое: мало того, что выискиеваешь недостатки в продукте, так надо еще и образцы заразы просто так высылать, да при этом переплачивать на 10$ больше, чем платит любой американец, зарплата которого больше зарплаты среднестатистического россиянина раз в 10-20!

На Западе поиск недостатков в ПО - это отдельный бизнес, приносящий работникам суммы денег более чем с тремя нулями. Касперский на этом явно экономит.

При этом на Касперского работают сотни людей, в задачу которых входит поиск нового вредоносного ПО, его анализ, добавление в базы и тестирование полученного продукта. Если они не в состоянии отработать получаемые деньги, то это не значит, что за них это должны бесплатно делать другие.

Бытовой пример. Если у меня есть дома коробка с электролампочками, то это не значит, что я должен ходить по городу и вкручивать их вместо перегоревших лампочек в светофорах. Да, я конечно двумя руками за безопасность на дорогах, удобство для водителей и пешеходов, но для этого есть специальные люди и службы.

Неизвестные образцы на меня не сыпятся с неба как манна небесная - их приходится искать, поштучно собирать, выпрашивать в конце концов. После этого нужно разобраться - а действительно ли это зараза, или какой-то мусор, поврежденный файл, крек и т.п. И это не банальная отсылка на virustotal, которая может ничего не дать в случае 0day-заразы. Не зависимо от того - хобби это или служебные дела - в это занятие вложены время и деньги.

[QUOTE=WaterFish]Извините, но бред.
Со временем пройдёт. :)
Если люди, которые получают за что то деньги недорабатывают, то это их проблемы и их поклонников и клиентов, которые сделали свой выбор.
Если я отсылаю файлы, то это моё хобби.:)
Если человек не хочет их отсылать, то это его право.
Спасать мир труднее, чем это делает Крепкий Орешек. :)

На подобные темы можно много писАть.;)[/QUOTE]

не пройдёт поверьте, пока будет такая позиция у людей, будет такое мнение как у вас... о безапасном передвижении в сети с помощью защитного ПО небудет никогда..

To MOST:
Вы передергиваете, сравнивая с лампочками. Давайте сравним с преступниками: У вас в подъезде живут 2 убийцы, но вы не сообщаете ни в милицию, ни в прокуратуру, ни в ФСБ, т.к. они все за это деньги получают. А то, что они бабушку соседку могут убить, так это ее проблемы.
Ну не нравится вам ЛК, шлите всем сразу, так будет чеснее ([email protected]). То, что вы даете образцы Олегу похвально, но авз не антивирус, т.к. нет постоянного монитора, нет поддержки распаковщиков, бессилен против файловых вирусов. одному написать антивирь просто не возможно. АВЗ - утилита только для профессионалов, это именно скальпель в руках опытного хирурга, а не топор в руках пользователей.

Сами много отправили ?
Скажем, в сутки, в среднем за последний месяц ?

[quote=Alexey P.]Сами много отправили ?
Скажем, в сутки, в среднем за последний месяц ?[/quote]
Я не занимаюсь отловом профессионально, мах 2 зверя в сутки отправляю, кроме выходных. за месяц штук 15. Скромно, но как могу..

Потому Вам и легче - труда в это вложено не так много.

[QUOTE=DVi]Я бы сказал просто: сейчас антивирусники стали больше уделять внимание даунлоадерам, не доводя дело до детекта уже скачанного гада.
[/QUOTE]
Да, такое точно есть, и часто.
Смотришь загрузки недавно добавленного загрузчика - тащит недетектящиеся образцы, и не новые совсем - дата примерно совпадает с загрузчиком. Аналитики редко отрабатывают цепочку добросовестно, им бы представленные образцы окучить и ладушки.
[QUOTE]
Ведь сам по себе даунлоадер не страшен - бояться надо того, кого он принесет за собой.[/QUOTE]
Ну, не совсем так, конечно - он способен основательно достать, каждый раз восстанавливая убитую заразу :).

[QUOTE=Ego1st]не пройдёт поверьте, пока будет такая позиция у людей, будет такое мнение как у вас... о безапасном передвижении в сети с помощью защитного ПО небудет никогда..[/QUOTE]
Позиция MOCT вполне понятна - если посмотреть на нее без эмоций, с чисто практической стороны. Человек вкладывает свой интеллект и свободное время, машинное время техники, трафик и т.п. в проведение мониторинга и отлов экспонатов. Возникает резонный вопрос - зачем ему в одностороннем порядке делиться образцами, которые от отловил с большим трудом ... тем более с производителями коммерческих продуктов ? Ведь AV вирлабы ни с кем не делятся отловленными экспонатами (исключения есть - существует внутренний закрытый обмен ITW, но это отдельная песня). Причем WEB-бот ("охотник") - это удовольствие недешевое, на единицу ITW зверья он изведет приличное количество трафика, а трафик как известно денег стоит ...

Поймано в минувшие выходные. Только разновидности по CRC, без учета частоты встречаемости. 104 разных наименования вредоносных программ (по "Антивирусу Касперского") в 190 различных бинарных файлах.

Trojan-Dropper.Win32.Agent.azk - 5
Trojan-Dropper.Win32.Agent.ata
Trojan-Dropper.Win32.Agent.ays
Trojan-Dropper.Win32.Small.auc
Trojan-Dropper.Win32.Pakes
Trojan-Downloader.Win32.Small.cwq - 2
Trojan-Downloader.Win32.Small.on
Trojan-Downloader.Win32.Small.ddy
Trojan-Downloader.Win32.Small.ddp - 4
Trojan-Downloader.Win32.Small.crc
Trojan-Downloader.Win32.Small.cib
Trojan-Downloader.Win32.Small.bkg
Trojan-Downloader.Win32.Small.dht
Trojan-Downloader.Win32.Small.cpt
Trojan-Downloader.Win32.Small.coy
Trojan-Downloader.Win32.Small.dzd
Trojan-Downloader.Win32.Small.dzd
Trojan-Downloader.Win32.Small.cxx
Trojan-Downloader.Win32.Small.bmm
Trojan-Downloader.Win32.Small.ccm
Trojan-Downloader.Win32.Small.awa - 2
Trojan-Downloader.Win32.Small.dgk
Trojan-Downloader.Win32.Small.dex
Trojan-Downloader.Win32.Small.ctf
Trojan-Downloader.Win32.Small.dhj
Trojan-Downloader.Win32.Small.cxz
Trojan-Downloader.Win32.Tiny.eo - 4
Trojan-Downloader.Win32.Tiny.bm - 2
Trojan-Downloader.Win32.INService.gen - 14
Trojan-Downloader.Win32.Zlob.aui
Trojan-Downloader.Win32.Zlob.axr - 3
Trojan-Downloader.Win32.Zlob.ada
Trojan-Downloader.Win32.Zlob.axl
Trojan-Downloader.Win32.Zlob.axj - 8
Trojan-Downloader.Win32.Zlob.axo - 17
Trojan-Downloader.Win32.Zlob.axt
Trojan-Downloader.Win32.Harnig.dk - 2
Trojan-Downloader.Win32.Bagle.y
Trojan-Downloader.Win32.Obfuscated.n - 3
Trojan-Downloader.Win32.Agent.bbn
Trojan-Downloader.Win32.Agent.ip
Trojan-Downloader.Win32.Agent.aqk
Trojan-Downloader.Win32.Delf.awg - 8
Trojan-Downloader.Win32.Delf.bci
Trojan-Downloader.Win32.Delf.aco
Trojan-Downloader.Win32.PurityScan.co
Trojan-Downloader.Win32.CWS.af
Trojan-Spy.Win32.BZub.eh - 2
Trojan-Spy.Win32.BZub.fz - 3
Trojan-Spy.Win32.BZub.fh
Trojan-Spy.Win32.Goldun.nr
Trojan-Spy.Win32.Iespy.ad
Trojan-Proxy.Win32.Cimuz.bw
Trojan-Proxy.Win32.Wopla.ac
Trojan-Proxy.Win32.Agent.ji
Trojan-Proxy.Win32.Agent.jl
Trojan-Proxy.Win32.Small.bo
Trojan-Proxy.Win32.Xorpix.ar - 3
Trojan-Proxy.Win32.Horst.nm
Trojan-Proxy.Win32.Horst.ns
Trojan-Proxy.Win32.Dlena.al
Trojan-Proxy.Win32.Dlena.ai
Email-Worm.Win32.Warezov.et
Email-Worm.Win32.Bagle.gi
Email-Worm.Win32.Scano.bk
Email-Worm.Win32.Scano.bd
IM-Worm.Win32.Qucan.h
IM-Worm.Win32.Qucan.l
Packed.Win32.Klone.g
not-a-virus.AdWare.Win32.SurfSide.ax
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.Softomate.u
not-a-virus.AdWare.Win32.Virtumonde.dr
not-a-virus.AdWare.Win32.FunWeb.e - 2
not-a-virus.AdWare.Win32.HotBar.bj
not-a-virus.AdWare.Win32.DownloadWare.a
not-a-virus.Downloader.Win32.WinFixer.o - 7
not-a-virus.Downloader.Win32.PopCap.a
not-a-virus.RiskTool.Win32.PsKill.j
not-virus.Hoax.Win32.Renos.gc
Trojan.Win32.Pakes - 8
Trojan.Win32.Agent.ws
Trojan.Win32.Agent.oh
Trojan.Win32.Agent.rx - 2
Trojan.Win32.Dialer.lm
Trojan.Win32.Dialer.qy
Trojan.Win32.Dialer.ay - 3
Trojan.Win32.Kolweb.j
Trojan.Win32.Qhost.iu
Trojan.Win32.Spabot.ai
Trojan.Win32.Diamin.ez
Trojan.Win32.LipGame.bh
Trojan.WinREG.AntiFireWall.a
Trojan-Clicker.Win32.Agent.hz
Trojan-Clicker.Win32.Costrat.l
Trojan-Clicker.Win32.Costrat.n
Trojan-Clicker.Win32.Costrat.s
Trojan-Clicker.Win32.Small.kj
Backdoor.Win32.Padodor.ax
Backdoor.Win32.Agent.tk
Backdoor.Win32.Agent.fo
Backdoor.Win32.SdBot.awk - 2
Trojan-PSW.Win32.LdPinch.azf - 2
Trojan-PSW.Win32.Sinowal.bh

Лидер - семейство Zlob, в первую очередь .axo - 17 разновидностей. На втором месте - INService - 14 разновидностей.

На первом месте по типу вредоносной программы как всегда стоят Downloader'ы. На второе место выходят Proxy и за ними Clicker.

Снова появились CWS, много распространяется Trojan-Spy.Win32.BZub.*, все больше версий Trojan-Clicker.Win32.Costrat.*.

Trojan-Downloader.Win32.Small.cwq распространяется совместно с Trojan-Dropper.Win32.Agent.azk, а Trojan-Clicker.Win32.Costrat.s - с Trojan-PSW.Win32.Sinowal.bh

Представители антивирусных компаний могут обращаться за образцами.

p.s. Также поймано несколько десятков новых(!) недетектируемых вредоносных программ: новый ABox installer, новые кликеры, новое творчество от создателей Pinch, кучка дропперов и шпионов. Подробности завтра.

Минувшие день был "рыбным". После отсева совсем мусора получилось 2200 (!) уникальных файлов. "Касперским" детектируется только 1850 файлов. Остальные придется разбирать вручную.

[QUOTE=MOCT]Остальные придется разбирать вручную.[/QUOTE]
Если для разбора ешё пару-тройку "нормальных" AV добавить, то ручной работы поубавится Imho,
Я бы остатки ещё Bit`у подсунул, Web'у и VBA, у них с эвристикой неплохо, заодно сразу можно будет выловить 90% того, что требует повышенного внимания, ну а остальное придётся уже руками.

[QUOTE=RiC]Если для разбора ешё пару-тройку "нормальных" AV добавить, то ручной работы поубавится Imho,
Я бы остатки ещё Bit`у подсунул, Web'у и VBA, у них с эвристикой неплохо, заодно сразу можно будет выловить 90% того, что требует повышенного внимания, ну а остальное придётся уже руками.[/QUOTE]
Уважаемый RiC! Ну нет у меня Веба и Бита. :(
А DrWeb сейчас сильно поднялся, уважаю. Базы очень пухлые, причем довольно оперативно. Вот только имена дают однотипные, так что разновидности нифига не разберешь - то ли одно и то же перепакованное, то ли разные версии трояна. Поэтому все равно придется ручками.

[QUOTE=MOCT]Уважаемый RiC! Ну нет у меня Веба и Бита. :([/QUOTE]
Bit бесплатный сканер раздаёт, Web фактически тоже - в виде CureIt, или "Beta".

[QUOTE=MOCT]Поэтому все равно придется ручками.[/QUOTE]
Оно и так ручками и так, всё-равно проще из частично отсортированного выбирать.

[QUOTE=RiC]Bit бесплатный сканер раздаёт, Web фактически тоже - в виде CureIt, или "Beta".[/QUOTE]
CureIt мне все файлы выкурит ;-)
на самом деле, установка еще одного АВ пока не планируется.

Всего найдено 1845 вредоносных программ 78 наименований.

Список найденного:

Backdoor.Win32.Medbot.az - 1
Backdoor.Win32.Small.ml - 1
Email-Worm.Win32.Scano.bd - 1
Email-Worm.Win32.Warezov.et - 1
Email-Worm.Win32.Warezov.ex - 1
Email-Worm.Win32.Warezov.gc - 1
Net-Worm.Win32.Padobot.m - 1
Packed.Win32.Klone.g - 1
Trojan-Clicker.Win32.Costrat.l - 1
Trojan-Clicker.Win32.Costrat.r - 1
Trojan-Clicker.Win32.Qabar.a - 1
Trojan-Clicker.Win32.Small.kj - 1
Trojan-Downloader.Win32.Agent.aqk - 1
Trojan-Downloader.Win32.Delf.awg - 5
Trojan-Downloader.Win32.Dyfuca.dt - 1
Trojan-Downloader.Win32.Harnig.dk - 1
Trojan-Downloader.Win32.INService.gen - 1722
Trojan-Downloader.Win32.IstBar.gen - 1
Trojan-Downloader.Win32.Obfuscated.as - 1
Trojan-Downloader.Win32.Obfuscated.n - 2
Trojan-Downloader.Win32.Pakes - 1
Trojan-Downloader.Win32.Small.byx - 1
Trojan-Downloader.Win32.Small.coy - 1
Trojan-Downloader.Win32.Small.cpt - 1
Trojan-Downloader.Win32.Small.cwq - 1
Trojan-Downloader.Win32.Small.cxx - 1
Trojan-Downloader.Win32.Small.ddp - 3
Trojan-Downloader.Win32.Small.dex - 1
Trojan-Downloader.Win32.Small.dht - 1
Trojan-Downloader.Win32.Small.dzd - 1
Trojan-Downloader.Win32.Tibs.ir - 2
Trojan-Downloader.Win32.Tiny.bm - 3
Trojan-Downloader.Win32.Tiny.eo - 1
Trojan-Downloader.Win32.Zlob.aui - 2
Trojan-Downloader.Win32.Zlob.axv - 2
Trojan-Downloader.Win32.Zlob.axx - 7
Trojan-Downloader.Win32.Zlob.axz - 10
Trojan-Downloader.Win32.Zlob.ayo - 1
Trojan-Dropper.Win32.Agent.ata - 1
Trojan-Dropper.Win32.Agent.azk - 3
Trojan-Dropper.Win32.Delf.abq - 1
Trojan-Dropper.Win32.Pakes - 1
Trojan-PSW.Win32.Hangame.cl - 3
Trojan-PSW.Win32.LdPinch.azf - 1
Trojan-Proxy.Win32.Agent.ji - 2
Trojan-Proxy.Win32.Agent.jl - 1
Trojan-Proxy.Win32.Horst.os - 1
Trojan-Proxy.Win32.Ranky.gen - 1
Trojan-Proxy.Win32.Small.bo - 1
Trojan-Proxy.Win32.Wopla.ac - 2
Trojan-Proxy.Win32.Xorpix.ar - 2
Trojan-Spy.Win32.BZub.fz - 4
Trojan-Spy.Win32.Goldun.nr - 1
Trojan-Spy.Win32.Small.ak - 1
Trojan.Win32.Agent.aaw - 1
Trojan.Win32.Agent.abn - 1
Trojan.Win32.Agent.oh - 1
Trojan.Win32.Agent.rx - 2
Trojan.Win32.Dialer.qi - 1
Trojan.Win32.Dialer.qu - 1
Trojan.Win32.Dialer.qy - 1
Trojan.Win32.Diamin.ez - 1
Trojan.Win32.LipGame.bi - 1
Trojan.Win32.Pakes - 3
Trojan.Win32.Qhost.iu - 1
Trojan.Win32.Spabot.ai - 1
Trojan.WinREG.AntiFireWall.a - 1
not-a-virus.AdWare.Win32.BetterInternet.au - 2
not-a-virus.AdWare.Win32.BetterInternet.f - 1
not-a-virus.AdWare.Win32.FunWeb.e - 1
not-a-virus.AdWare.Win32.HotBar.bj - 2
not-a-virus.AdWare.Win32.SurfSide.ax - 1
not-a-virus.AdWare.Win32.Virtumonde.dr - 1
not-a-virus.Dialer.Win32.PlayGames.l - 1
not-a-virus.Downloader.Win32.PopCap.a - 1
not-a-virus.Downloader.Win32.WinFixer.l - 1
not-a-virus.Downloader.Win32.WinFixer.m - 1
not-a-virus.Downloader.Win32.WinFixer.o - 5

TOP по количеству разновидностей:

1. Trojan-Downloader.Win32.INService.gen - 1722
2. Trojan-Downloader.Win32.Zlob.axz - 10
3. Trojan-Downloader.Win32.Zlob.axx - 7
4. not-a-virus.Downloader.Win32.WinFixer.o - 5
5. Trojan-Downloader.Win32.Delf.awg - 5
6. Trojan-Spy.Win32.BZub.fz - 4
7. Trojan-PSW.Win32.Hangame.cl - 3
8. Trojan-Downloader.Win32.Tiny.bm - 3
9. Trojan-Downloader.Win32.Small.ddp - 3
10. Trojan-Dropper.Win32.Agent.azk - 3
11. Trojan.Win32.Pakes - 3
12. not-a-virus.AdWare.Win32.BetterInternet.au - 2
13. Trojan-Proxy.Win32.Xorpix.ar - 2
14. Trojan.Win32.Agent.rx - 2
15. Trojan-Downloader.Win32.Zlob.axv - 2
16. Trojan-Downloader.Win32.Zlob.aui - 2
17. not-a-virus.AdWare.Win32.HotBar.bj - 2
18. Trojan-Proxy.Win32.Wopla.ac - 2
19. Trojan-Downloader.Win32.Tibs.ir - 2
20. Trojan-Downloader.Win32.Obfuscated.n - 2
21. Trojan-Proxy.Win32.Agent.ji - 2


TOP по встречаемости типов :

1. Trojan-Downloader - 26
2. Trojan - 13
3. Trojan-Proxy - 7
4. AdWare - 6
5. Trojan-Dropper - 4
6. Trojan-Clicker - 4
7. Email-Worm - 4
8. Downloader - 4
9. Trojan-Spy - 3
10. Backdoor - 2
11. Trojan-PSW - 2
12. Net-Worm - 1
13. Packed - 1
14. Dialer - 1


TOP по встречаемости имен семейств :

1. Trojan-Downloader.Win32.Small - 9
2. Trojan-Downloader.Win32.Zlob - 5
3. Trojan.Win32.Agent - 4
4. Email-Worm.Win32.Warezov - 3
5. Trojan.Win32.Dialer - 3
6. not-a-virus.Downloader.Win32.WinFixer - 3
7. Trojan-Downloader.Win32.Tiny - 2
8. Trojan-Proxy.Win32.Agent - 2
9. Trojan-Dropper.Win32.Agent - 2
10. not-a-virus.AdWare.Win32.BetterInternet - 2
11. Trojan-Downloader.Win32.Obfuscated - 2
12. Trojan-Clicker.Win32.Costrat - 2

Авторы INService открыли для себя прелести автоматической генерации отдаваемых сервером файлов, поэтому идентификаторы в этих троянах всегда разные. Теперь количество различных INService.gen означает количество зафиксированных загрузок вредоносного файла.

p.s. написал софтинку, которая мне теперь такие отчеты о найденном генерирует. жить становится все проще и проще ;)

[QUOTE=MOCT]Минувшие день был "рыбным". После отсева совсем мусора получилось 2200 (!) уникальных файлов. "Касперским" детектируется только 1850 файлов. Остальные придется разбирать вручную.[/QUOTE]
А если не секрет - какой объем трафика ушел на эту охоту ? Т.е. каков получился КПД (отношение звери/трафик)

[QUOTE=Зайцев Олег]А если не секрет - какой объем трафика ушел на эту охоту ? Т.е. каков получился КПД (отношение звери/трафик)[/QUOTE]
Никто это не отслеживает. Приходящие файлы тут же проверяются по CRC и если такой файл уже имеется, то удаляется.
Поэтому могу сказать только по остаткам, т.е. по файлам с уникальными CRC:
на 56мб детектируемых троянов приходится 7,5мб чистых файлов и 22 мб недетектируемых троянов
(вот дожили - троянов на вес считаем!)

В принципе фильтры можно подкрутить, но что-то сможет проскользнуть мимо, поэтому пусть лучше будут излишества.

Если вопрос о трафике задавался с финансовой точки зрения, то с этим у нас проблем нет ;)

[quote=MOCT]
Если вопрос о трафике задавался с финансовой точки зрения, то с этим у нас проблем нет ;)[/quote]
Вопрос больше с точки зрения КПД (отношение суммарного объема трафика к объему наловленных троянов без повторов). Я подобную систему отлова зловредов построил 4 года назад, но потом на нее плюнул из-за большого расхода трафика (у нас в Смоленске трафик стоит больших денег :(, каналы тормозные - поэтому ввиду низкого КПД подобная технология у меня к примеру применяется нечасто)

[quote=Зайцев Олег]Вопрос больше с точки зрения КПД (отношение суммарного объема трафика к объему наловленных троянов без повторов). Я подобную систему отлова зловредов построил 4 года назад, но потом на нее плюнул из-за большого расхода трафика (у нас в Смоленске трафик стоит больших денег :(, каналы тормозные - поэтому ввиду низкого КПД подобная технология у меня к примеру применяется нечасто)[/quote]
Пора осваивать новые технологии ;) Все на самом деле дешевле, чем может показаться первоначально. Насколько могу судить, файлы найденные мной и вами различаются по составу. Можно наладить более плотное и плодотворное сотрудничество. ;-)