-
Антивирусный аналитик, работающий по вердиктам от Virustotal - ценный сотрудник. Экономия на обучении?
Опыт — это слово, которым люди называют свои ошибки.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отправлял аттач в Dr.Web и получил ответ (на этот раз довольно быстро) от аналитика Igor Daniloff. Это шутка, однофамилец или в вир. лабе не хватает кадров и поэтому пришлось самому Данилову взяться за дизассемблер?
-
-
Отправлял аттач в Dr.Web и получил ответ (на этот раз довольно быстро) от аналитика Igor Daniloff
http://live.drweb.com/
в вир. лабе не хватает кадров и поэтому пришлось самому Данилову взяться за дизассемблер?
Насколько известно, его российский коллега тоже не брезгует своим хобби.
-
-
Так значит это сам Игорь Данилов?
Сообщение от
icon
Насколько известно, его российский коллега тоже не брезгует своим хобби.
О ком Вы говорите?
-
-
Все бы аналитики были с такими опытом и знаниями.
А вообще - я думаю, это очень хорошо, когда такой специалист находит время и на практику.
-
-
Junior Member
- Вес репутации
- 66
Продолжая тему. НОД не ответил, но дня через четыре включил сигнатуру в базы, не знаю мой или ещё чей-то образец. Для справки: я отсылал одну из версий желатина. Трендмикро включил после повторной отправки ~ через неделю, а Семантек прислал любопытный ответ (через два дня), цитата:
"Developer notes: blnq.exe Our automation was unable to identify any malicious content in this submission. The file will be stored for further human analysis".
Может поэтому сигнатурный детект у них не очень -- слишком много не определяется автоматически и откладывается на потом, а потом дела и поглавнее находятся, либо руки не доходят.
-
Сообщение от
deus_ex
Может поэтому сигнатурный детект у них не очень -- слишком много не определяется автоматически и откладывается на потом, а потом дела и поглавнее находятся, либо руки не доходят.
Доходят, но могут добавить через месяц. Несколько таких случаев было в моей практике. Видимо, после невозможности определить зловреда автоматически, ему присваивается низкий приоритет. Аналитики обрабатывают, но в последнюю очередь. Это мое личное мнение.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Junior Member
- Вес репутации
- 66
Сегодня проверил -- не добавили. Следующий рубеж -- месяц.
-
Да имхо можете не ждать, на этом форуме почему-то на меня многие ополчились когда я сказал правду.
Что ложняки, что реальное вирьё они игнорят, и это факт.
-
-
Сообщение от
Surfer
Что ложняки, что реальное вирьё они игнорят, и это факт.
Дабы внести ясность даю два официальных заявления с форума ESET:
Blackspear (Global Moderator):Viruses, trojans and other malware are added on a priority basis, and it has to be this way or you would have the analysts breaking their back over the odd single sample sent to them, instead of keeping focus on the spreading samples and adding the rest as they go...
This is what Anton Zajac head of Eset had to say on the matter.
anton (Eset Moderator)
Re: What happend ESET?
Hi Guys,
Eset appreciates (a lot) all and every sample/s sent to its labs (
[email protected]). Every sample is logged and examined using various methods. Addition of a sample-signature into the database is made on a need-to basis. Extraction of a signature of a sample is an automated process and could be completed in no time. However, Eset does not want to take part in a 'maximum-size-of-the-database' race and prefers to keep the database clean, i.e. without 'meaningless' benign signatures.
Some of the forum participants may recall the Rosenthal Utilities (RU) tests performed by CNET two years ago. All the 'simulated viruses' generated by the RU were benign (non-viral). 100% detection of the RU samples (achieved by some of the products) meant 100% False Alarm Rate. Detection of non-viral samples may lead to a couple of things: excellent results in some 'tests' combined with a false sense of security, a huge 'virus' signature database and 'dinosaur' update files.
Exponential increase of the number of new malware samples may often lead to a 'path-of-least-resistance' approach: automatic addition of all sample signatures, regardless of their viral nature.
Eset exchanges samples with several av vendors. Opposite statement is incorrect.
Speed of update and reaction time is of essence. Eset is fully aware of that. Advanced Heuristics has been developed and implemented with that in mind. The only acceptable reaction time is equal to zero. NOD32 achieves that often, e.g. it detected the infamous Netsky.A and Bagle.A heuristically.
Once again, I would like to thank you all: for both the samples and your patience :-)
anton
Left home for a few days and look what happens...
-
-
перевод сообщений с форума Eset -
Blackspear (Global Moderator): Вирусы, Трояны и прочее потенциально опасное ПО добавляется в базы в первую очередь, в противном случае специалисты будут тратить всё своё время на изучение одного нестандартного образца, вместо того, чтобы сфокусироваться на более распространенных видах, постепенно добавляя в базы остальные.
А это ответ Антона Заяк, главы Eset:
Anton (Eset Moderator):
Re: Что случилось, ESET?
Приветствую всех,
Компания Eset (очень-очень) благодарна вам за каждый присланный в нашу лабораторию (
[email protected]) образец. Каждый образец тщательно изучается. Добавление в базы происходит автоматически, но Eset не хочет участвовать в соревнованиях на самый большой объем баз и предпочитает держать свои базы чистыми от всяких ненужных, а также ошибочных сигнатур.
Многие из участников форума наверняка помнят результаты тестирования Rosenthal Utilities (RU) проводимых 2 года назад компанией CNET. Большинство «мнимых вирусов» созданных RU на самом деле вирусами не являлись. 100% детектирование данных образцов означает 100% уровень ложных срабатываний. Детектирование таких файлов приводит к высоким результатам в сомнительных тестах, создающим впечатление высокой защищенности, огромному размеру вирусной базы и большому объему обновлений. Большое количество новых вирусных образцов приводит к тому, что в базы начинают автоматически добавляться все похожие файлы, вне зависимости от того являются они вирусом или потенциально опасным ПО или нет.
Также Eset обменивается образцами с другими антивирусными компаниями.
Скорость выхода обновлений и начало детектирования новых вирусов также очень важны для нас. Наш Расширенный Эвристический Анализ разрабатывался с учетом этого принципа. NOD32 легко с этим справляется – печально известные Netsky.A и Bagle.A сразу же были распознаны эвристиком.
Ещё раз благодарю вас всех за присылаемые образцы и ваше терпение :-)
anton
At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)
-
-
Конечно можно придумать 250 причин что бы оправдать нежелание вкладывать деньги в расширение штата вирусных аналитиков. Однако можно увидеть из нашего тестирования, что даже с учетом эвристика НОД не дотягивает до мало-мальски серьёзных антивирусов. А чистые детекты вообще смех. Даже ниже чем у Майкрософтовской поделки. Фактически я бы на сегодня внёс НОД в черный список антивирусов которые устанавливать не рекомендуется.
-
-
Сообщение от
Geser
Фактически я бы на сегодня внёс НОД в черный список антивирусов которые устанавливать не рекомендуется.
Очень странно это слышать, тем более от Вас.
-
-
Не вижу ничего странного. НОД я ругал еще года 2 назад за незнание даже элементарных пакеров/криптеров. Потом они это поправили, но скорость сканирования в результате упала, и пользователи начали жаловаться на тормоза. Судя по всему они решили сейчас повысить быстродействие путём добавления в базы только наиболее распространённых зловредов(видимо исключительно из коллекции VB ), в остальном полагаясь на эвристик. Считаю данный путь тупиковым и опасным для конечного пользователя.
-
-
Честно говоря больше похоже на детский лепет и отмазку, нежели на аргументированный ответ. Соглашусь с Geser'ом, имхо кроме эвристика у него ничего полезного и интересного нет. И мне кажется это не только нежелание расширять штат, но и неправильно сформулированная политика развития.
Что до M$ - мне кажется не стоит недооценивать дефендер, ему есть куда развиваться, особенно если такая могущественная компания всерьёз займётся сетевой безопасностью ))
-
-
Сообщение от
Geser
Однако можно увидеть из нашего тестирования, что даже с учетом эвристика НОД не дотягивает до мало-мальски серьёзных антивирусов
В последние полгода, как мне кажется, одним из самых больших недостатком этого тестирования стал личный фактор.
-
-
В смысле форум наводнили ненавистники НОДа и выискивают только троянов которых он не знает?
-
-
Сообщение от
icon
В последние полгода, как мне кажется, одним из самых больших недостатком этого тестирования стал личный фактор.
Угу. Именно из-за этого я практически перестал постить в этой теме.
-
-
Сообщение от
Geser
В смысле форум наводнили ненавистники НОДа и выискивают только троянов которых он не знает?
Я бы сказал наоборот.
Появилось очень много любителей другого антивируса.
Чтобы не быть голословным, для сравнения:
4. http://virusinfo.info/attachment.php...0&d=1168259251
5. http://virusinfo.info/attachment.php...2&d=1185195975
Хотя, конечно, это не может быть доказательством, но я просто очень давно, с момента её появления наблюдаю за этой темой и ощущеньице некоторой подтасовки появилось.
-
-
Это может быть отличным доказательством. Доказательством того что НОД не был лидером никогда.
-