Хороший вопрос. Только сам хотел задатьСообщение от Minos
Хороший вопрос. Только сам хотел задать
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Разбор любого файла с вирусом, трояном либо любой другой вредоносной программой можно условно разбить на 3 этапа:
1. Обеспечивается возможность детектирования
2. Обеспечивается возможность обезвреживания
3. Проводится детальный анализ с составлением описания
Выпустить апдейт вирусной базы для детектирования вируса стараемся как можно раньше, этого обычно достаточно для предотвращения попадания вируса в систему. Также, если лечение вируса добавить несложно, то и лечение добавляется в базу сразу.
Иногда с лечением есть проблемы, например алгоритм лечения довольно сложный или вирус просто часто портит файлы и корректное восстановление невозможно. В этом случае, если вирус очень глючный и нежизнеспособный, лечение для него просто нет смысла делать. Если вирус способен жить и размножаться, и особенно, если он где-то ходит "вживую", то для него делается и лечение.
Детальный анализ проводится только для тех вирусов и троянов, которые реально ходят в мире и распространены. Например, проводить анализ огромного файла, написанного на Delphi мелким вредителем мелкого масштаба занимало бы слишком много времени, достаточно того, что он просто надежно детектируется.
Упаковка вирусов различными упаковщиками не должна мешать детектированию. Если упаковщик или криптор не поддерживается ядром программы, приходится детектировать файл по его упакованному варианту, на самом деле это не так страшно, поскольку вряд ли он сможет мутировать сам по себе. Единственная беда - раздувание количества записей в вирусных базах в этом случае. Так что, если какой-то упаковщик начинает массово применяться, приходится обеспечивать его корректную распаковку. Особенно это важно для полиморфных упаковщиков, которые могут сделать из одного файла сотни отличающихся копий друг от друга (например telock или morphine).
Да, некоторые крипторы и упаковщики (особенно малоизвестные и экзотические), могут создавать неработоспособные файлы. Так что хакер Вася может найти какой-то новый упаковщик, обработать им своего нового трояна и, не проверив, послать другу. А сам файл в результате может оказаться совершенно нерабочим
Кстати, для neolite у нас во всей вирусной коллекции оказалось только 57 файлов, не удивительно, что мы его упустили из виду, хотя сам упаковщик достаточно старый. Он, похоже, не пользуется популярностью, его почти все антивирусы знают, а качество сжатия слабовато
Для распространенных троянов создаются специальные записи для детектирования модификаций (например, эвристика надежно определяет модификации bagle, netsky, mydoom, klez, nimda, coced, istbar, hooker, ldpinch, dumaru, mimail и многие другие, полный список довольно длинный)
Есть еще очень много совершенно неработоспособных файлов, например, с обрезанным "хвостом". Такие файлы часто появляются в результате массовой рассылки червями своих копий, если в процессе этой рассылки происходят какие-то ошибки. Некоторое антивирусы их детектируют, некоторые - нет, все зависит от того, сколько в них осталось от исходного файла и используемого алгоритма поиска.
Насчет небольших модификаций вирусов, как я уже говорил, многие из них должны ловиться эвристикой. Далее все зависит от характера данных модификаций, например, если файлы становятся неработоспособным, то детектировать их не так уж и важно. Было бы интересно узнать, что Вы с ними делали?
Детектировать битые вирусы стоит хотя бы для того что бы их не присылали на анализ, и не было криков что вот, мне попочте пришёл вирус, а антивирус его пропустил
Кстати, есть 3 вещи которые я всегда хотел видеть в антивирусе.
1. Контроль важных веток реестра, куда обычнопишут свои ключи трояны и вирусы.
2. Контроль активности апликаций как в Kerio Personal Firewall http://virusinfo.info/index.php?boar...y;threadid=120 в смысле контроль запуска.
3. Контроль hosts файла.
Вот это было бы действительно круто
например, эвристика надежно определяет модификации ldpinch
врянье...
я за1 , 2 - вообще по моему показуха , если реально все запросы на исполнение исполняемых файлов спашивать у пользователя - он сойдёт с умаКстати, есть 2 вещи которые я всегда хотел видеть в антивирусе.
1. Контроль важных веток реестра, куда обычнопишут свои ключи трояны и вирусы.
2. Контроль активности апликаций как в Kerio Personal Firewall http://virusinfo.info/index.php?boar...y;threadid=120 в смысле контроль запуска.
3. Контроль hosts файла.
Вот это было бы действительно круто
Да нет. Просто если программа известная и нужная, то разрешаешь ей стартовать всегда, и нет никаких проблем.2 - вообще по моему показуха , если реально все запросы на исполнение исполняемых файлов спашивать у пользователя - он сойдёт с ума
Очень удобно, и защищает от многих проблем.
Еще бы скрипт-проверку на движок Mozilla, вообще бы цены небыло. ВБА был бы первым в этой области на отечественном рынке.
1. уровень эвристики должен быть установлен на максимумнапример, эвристика надежно определяет модификации ldpinch
врянье...
2. не исключено, что последние версии ldpinch довольно сильно отличаются от более старых, естественно, если код практически полностью переписан, определить его как модификацию старого несколько проблематично, нужно будет посмотреть и проверить, как там с ним обстоят дела на данный момент (не забыли ли мы сгенерить записи для поиска модификаций новых версий ldpinch)
Мда...
Берём мы троян, к примеру X-rat. Открываем его в hex редакторе. В начале трояна есть последовательность x-rat. Заменяем её на blabl. Сохраняем полученный файл. Фокус покус, при проверке файла получаем ok.
Хех... ;D
Кто-то халтурит
итак, ещё раз попробую донести смысл, который выше написАл serge.Мда...
Берём мы троян, к примеру X-rat. Открываем его в hex редакторе. В начале трояна есть последовательность x-rat. Заменяем её на blabl. Сохраняем полученный файл. Фокус покус, при проверке файла получаем ok.
Хех... ;D
Кто-то халтурит
каждый антивирус является чем-то средним между микроскопом и топором. рассмотрим крайние точки.
"микроскоп". можно досконально копаться с каждым вирусом или трояном. примерно это выглядит так. сваливается новый троян. предварительно его надо высадить в "живой" природе. нужно перебрать несколько операционных систем, т.к. иногда трояны или вирусы не живут на определённых системах. потом нужно полностью дизассемблировать код (трояны и бэкдоры размером до 1М бывают), подготовить сигнатуру для базы, написАть техническое описание. антивирус будет крутым, но будет знать пару сотен вирусов. мы как-то попробовали сделать именно так. получилось, что вирусный аналитик тратит примерно полдня на такую технологию. начинаем считать. сейчас в "урожайные" дни приходится вставлять до сотни вредоносных программ. методом несложных вычислений, получаем, что нужно 50 вирусных аналитиков. НИ ОДНА компания (по-крайней мере, на пост СССР) не имеет столько вирусных аналитиков. открываю большой "секрет" -- сейчас вирусные аналитики на вес золота и их катастрофически не хватает.
"топор". берём вирус или троян в открытом виде, набиваем какие-то сигнатуры. программа работает шустро, куча ложняков, сложные полиморфные вирусы принципиально не берутся.
обычно антивирус -- это компромиссный вариант с точки зрения технической и коммерческой. сейчас большинство сигнатур готовится специальными технологическими программами ("роботами"), а вирусный аналитик перед выпуском базы пересматривает подготовленный материал и корректирует в случае необходимости.
далее. сами вирусы при обработке делятся примерно на 3 группы:
1. активные в живой природе, вызвали эпидемию и т.п. для них в экстренном порядке готовятся сигнатуры для поиска и лечения примерно так, как я описАл в "микроскопе"
2. трояны, бэкдоры, которые потенциально живучи, лежат на вирусных сайтах и могут быть использованы. добавляется их детектирование, удаление и зачистка реестра.
3. "мусор", который таскают из коллекции в коллекцию, мусолят, изменяют какие-то байтики, прикалываются. такие файлики могут лежать месяцами, пока до них не дойдут руки. обычно добавляются сразу "толпой" без детального разбора.
если (предположим) в компании 5 аналитиков, и сваливается 100 вирусов в день, тут хоть застрелись, каждый должен добавить по 20 вирусов в день.
Я прекрасно понимаю что дезасемблировать каждый не эпидемический вирус или троян нет возможности. Но, на мой взгляд, делать сигнатуру на текстовую строку это другая крайность. Каждый чайник может так подправить троян, и антивирус его не узнает. Кстати, КАВ и ДрВеб после правки его определяют.
Как говорил Суворов "Плох тот солдат, который не мечтает стать генералом". Вы же хотите сделать конкурентоспособный продукт?
Я хочу сказать что я не пытаюсь кого-то учить. Это моё личное мнение, возможно оно ошибочное, потому как я не специалист. Я просто смотрю с точки зрения пользователя который ищет хороший продукт
Надеюсь я никого не обидел
в данном конкретном случае никто на эту строку сигнатуру не строил. просто "робот" при построении посчитал, что стабильнее будет детектировать бОльший кусок кода+данных.
если бы мы обижались, мы бы сюда не пришли либо нас давно здесь не было быНадеюсь я никого не обидел
Есть еще один момент. Предположим, имеется червь, который инфицирует компьютер по компаньон-методу, т.е. записывает себя вместо испольняемых файлов на компе, а исходный файл переименовывает. Тогда его код будет выглядеть примерно так:
[много кода]
call make_original_file_copy
[много кода]
call run_original_file
[много кода]
Функция 'run_original_file' запускает сохраненный исходый файл, после того, как червь уже отработал. Функция 'make_original_file_copy' используется в процессе инфицирования компа.
Данный червь вставляется в базы и добавляется метод его лечения - переименование файла обратно.
Теперь, предположим, выходит модифицированная версия червя, которая выглядит так:
[много кода]
call make_original_file_copy_and_encrypt_it
[много кода]
call decrypt_and_run_original_file
[много кода]
[дополнительный блок кодом, содержащий новые функции]
Теперь червь не просто копирует исходные файлы, но и шифрует их.
Получается, что за исключением нескольких байт в тех точках, где вызываются новые исправленные функции и добавленного блока кода, тело червя полностью совпадает с исходной версией! Теперь, если антивирус использует короткие сигнатуры и детектирует данную новую модификацию как исходную версию червя - при лечении будут большие проблемы. И это не просто теория, реально были случаи, когда антивирусы детектировали новые модификации вирусов старой записью и некорректно лечили их (к счастью, у нас таких проблем пока не было
Получается, что короткие сигнатуры помогают детектировать измененные версии, но потенциально добавляют риск некорректного обезвреживания. Причем обезвреживание - не обязательно лечение файлов, это может быть исправление ключей реестра и другой информации в системе.
Еще один пример - предположим есть некий файл, который детектируется и удаляется, например клавиатурный шпион. Теперь появляется вирус, который инфицирует файлы и таскает внутри себя код этого шпиона для выполнения каких-то своих функций. Теперь если в систему поражает этот новый вирус - есть вероятность, что все инфицированные файлы будут определены как этот клавиатурный шпион и удалены.
Поэтому мы стараемся включать в сигнатуру практически весь код троянов. В данном конкретном случае в сигнатуру попала и текстовая строка.
С другой стороны, совсем игнорировать модифицированные файлы тоже плохо. Для этого и используется дополнительный метод поиска модификаций известных червей и троянов, он их классифицирует как подозрительные файлы. На данный момент этот метод используется только для ограниченного списка, включающего только самые распространенные трояны и черви, примеры их я уже приводил. В будущем планируется расширить его использование и детектировать модификации практически всех известных программе троянов.
Если есть желание, можете попробовать провести подобные эксперименты с кем-нибудь из приведенного списка. Как обнаружил Sanja, ldpinch пока под вопросом, так что лучше попробовать кого-нибудь еще. В случае проблем или вопросов, пишите. Для этого и нужны бета тестеры, чтобы обнаруживать проблемы
Кстати, не исключено, что та самая новая модификация mydoom, тоже будет поймана эвристикой: http://virusinfo.info/index.php?boar...y;threadid=126
А как на счёт защиты процесса антивируса от убиения?
А суббота, воскресенье у ваших анилитаков выходной? Ниодного дополнения за выходные.
Вчера вроде чё-то было. Или я ошибаюсь?
Прошу прощения, одно действительно проскочило вчера вечером. Однако информация об этом есть только в логе, посему вношу предложение, надо бы в Деспечере и в форме "О программе" указывать не только количество записей, но и дату последнего обновления. Пользователю легче ориентироваться будет, пока же в диспечере есть дата последнего обновления, но указывает дату и время последнего запуска программы обновления, а не дату и время выхода последнего обновления.
Это полезно. Поддерживаю
пока (после летних отпусков) на выходных дополнения выходят только в случае крайней необходимости (эпидемии, новые черви и т.п.). аналитики следят за обстановкой удалённо, из дома. есть ещё одна тонкость: обновления для бета-версии выходят всегда позже обновления для релиза. по техническим причинам иногда этот промежуток занимает определённое время (на то она и бета)
Ваши права в разделе
