-
Антивирусы вновь терпят поражение в борьбе с вредоносными сайтами
Вредоносные программы в Интернете распространяются с такой скоростью, что компании-разрабочики антивирусов не успевают актуализировать свои базы данных, говорится в новом исследовании компании NSS Labs. На то, чтобы заблокировать опасный веб-сайт, уходит в среднем около двух дней.
Были рассмотрены антивирусы таких вендоров, как AVG, Panda Security, Eset, F-Secure, Kaspersky, McAfee, Norman, Sophos, Symantec и Trend Micro. Дотации от компаний на исследования NSS Labs не принимает, утверждает ее руководство.
Специальная программа, посещающая интернет-сайты от лица среднестатистического пользователя, в течение девяти дней искала вирусы в Сети, а потом проверяла, через какой промежуток времени на это реагируют антивирусы. Как выяснилось, сайт блокируют в среднем через 45,8 часа.
Наибольшей угрозе от новых вирусов подвергаются организации. Даже недолго существующий вирус способен заразить корпоративную сеть. В день в Интернете появляется по крайней мере 50 тысяч новых вредоносных программ, которые заражают компьютеры и перехватывают личные данные пользователей.
"Масштабы этих выводов должны стать тревожным звонком для индустрии безопасности", — предупреждают в NSS Labs.
http://www.bfm.ru/
http://club-symantec.ru/forum.php
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
SDA
"Масштабы этих выводов должны стать тревожным звонком для индустрии безопасности"
Да-да. Тут бабло косить не успевают, а ещё на какие-то звонки надо отвлекаться
Left home for a few days and look what happens...
-
-
Я только не понял, почему блокировать опасный сайт должны антивирусы, а не его владелец/хостер?
С каких пор антивирус должен стоять на каждом компьютере?
-
-
Сообщение от
SDA
В день в Интернете появляется по крайней мере 50 тысяч новых вредоносных программ
Незаметно для всех перепаковка стала называться новым вредоносным ПО. Не понимаю.
-
-
Сообщение от
AndreyKa
Я только не понял, почему блокировать опасный сайт должны антивирусы, а не его владелец/хостер?
С каких пор антивирус должен стоять на каждом компьютере?
Это собственно задача многоступенчатая, со стороны юзера:
1. если юзер идет на сайт X, и разработчику его антивируса точно известно, что сайт заразный - то антивирус может просто не пустить юзера на такой сайт (и при этом снимаеться опасность того, что скажем зловредописатели поменяют эксплоит и антивирус его не поймает сигнатурно). Для таких целей у ЛК например есть база зловредных URL
2. если сайт не значится с "базах черных" антивируса, то далее наступае сигнатурный детект
3. если сигнатруный детект ничего не дал (а это не сложно сделать для злобного скрипта), то далее в дело вступае эмулятор скриптов, HIPS (поторый засечет паранормальную активность вследствии срабатывания эксплоита и закачки зверья) и так далее
Важно: если антивирус снабжен обратной связью (типа KSN), то он с одной стороны может спросить текущую репутацию каждого из посещаемых сайтов, а когда пользователь нарвется на неизвестный заразный сайт - послать сигнал тревоги, и тем самым один юзер упредит других.
Со стороны разработчика сайтов:
1. большинство продвинутых CMS умеют защищаться от взлома сайтов на их основе (разные проактивные защиты в движке, встроенные в движек антивирусы, навороченные ревизоры для обнаружения несанкционированных модификаций как ядра CMS, так и контента). Но беда только в том, что они денег стоят - а многие сайты делает типичный "вебанутый дизайнер Вася Пупкин, студент первого курса". Последствие - установленные по дефолту халявные CMS или нечто кривое самописное, простейшие пароли, никто не ставит заплатки на примененные CMS и не следит за сайтом, плюс еще и сам "дизайнер" нередко нарывается на Trojan-PSW и все пароли на сайты всех его клиентов оптом уходят зловредописателям, или зловред прямо с ПК дизайнера напрямую патчит странички ... бороться с этим крайне сложно. Один из компонентов защиты - антивирь на ПК дизайнера и админа;
2. владельцы ресурсов должны защищать их (опять-же сложные пароли, защита от их воровства и последующего взлома ресурса, постоянный мониторинг ресурсов). И опять-же это редко кто делает.
Со стороны хостеров и провайдеров:
1. Хостер в общем-то может сканировать свои сервера антивирем, но это сложно, дорого и медленно - нужно купить антивири, проверка должна быть согласована с владельцем ресурса и т.п. - если например у хостера стоит выделенный сервер пользователя X, то хостер к серверу подводит Инет и электричество, и отводит тепло - на этом возможности хостера ограничены;
2. Хостер и провайдеры могут проверять "трафик на лету" - и фиксировать факт заражения странички сайта X в реальном времени, блокируя заразный трафик. Но это очень сложно - так как потребуется "на лету" проверять гигабиты трафика, причем проверить его можно довольно поверхностно. Есть делающее такую операцию железо, но такая железка стоит как небольшой слегка подержанный самолет
3. Хостер может заключить договор с AV компаниями - если те фиксируют факт заражения одного из сайтов на хостинге, то сообщают об этом и хостер начинает бороться. Но для эффективной реализации это должно носить достаточно глобальный характер
-
-
Олег, скрипт, эксплойт, вредоносная программа разбросаны по разным ресурсам: может антивирус отследить всю цепочку (и соответственно заблокировать "три адреса"), если он обнаружит вредоносное действие хотя бы в одном из элементов цепи?
-
-
Сообщение от
santy
Олег, скрипт, эксплойт, вредоносная программа разбросаны по разным ресурсам: может антивирус отследить всю цепочку (и соответственно заблокировать "три адреса"), если он обнаружит вредоносное действие хотя бы в одном из элементов цепи?
Может. Дело в том, что:
1. Антивирус может отловить самый злобный из сайтов (то, откуда полезет зараза) и его блокировка нарушит все цепочку
2. если в антивирусе есть эмулятор, то он может "размотать" цепочку, т.е. понять например, что скрипт сайта X ссылается на сайт Y
3. в принципе возможно отслеживаение цепочек посещения (хотя это и сложно), равно как по мере накопления статистики в центральной БД AV компании постепенно будет вырисовываться полная картина (например, от одного юзера поступит сигнал о эксплоите, от другого - подозрительный скрипт, от третьего - источник зловреда). Сведя все воедино можно получить общие выводы
Указанный случай кстати показателе в плане борьбы - например, эксплоит на одном сайте, а тело зверя - на другом - позакрывать их все на уровне хостеров крайне сложно ...
-
-
Да, но возможно, что есть_бывает еще и некоторый центр, который автоматически следит за неразрывностью данной цепочки, если блокируется адрес загрузки вредоносного кода, значит обновятся файлы, содержащие эксплойт (и соответственно, адрес загрузки), если блокируется только страница, содержащая скрипт, значит будет обновлен только скрипт, заменен, или размещен на других адресах и т.д....
-
-
Сообщение от
santy
Да, но возможно, что есть_бывает еще и некоторый центр, который автоматически следит за неразрывностью данной цепочки, если блокируется адрес загрузки вредоносного кода, значит обновятся файлы, содержащие эксплойт (и соответственно, адрес загрузки), если блокируется только страница, содержащая скрипт, значит будет обновлен только скрипт, заменен, или размещен на других адресах и т.д....
Возможно конечно - вот именно поэтому и создаются системы типа KSN - дабы постоянно получать актуальную информацию о том, что-где-откуда лезет. Эта информация очень быстро устаревает. Аналогично и во всем остальном, связанном с Инет - я например смеха ради чуть более года назад построил порно-топографическую карту Инет - мои роботы поймали 1.5 миллиона порносайтов. Недавно я запустил рескан - оказалось, что огромное число из этих ссылок просто дохлые (домен закрыт или продан и т.п.).
-