Сравнение скорости реагирования вирлабов на новые угрозы

[akoK]

Командой SafeZone проведено исследование скорости реагирования лабораторий различных антивирусных компаний. Для тестирования авторами использован оригинальный способ сбивания детекта с дропперов актуальных вредоносных программ. Изучались различные пути подачи заявок: по официальной форме, размещённой на офсайтах, по электронной почте, посредством сервиса VirusTotal. Указана динамика и характер реакции лабораторий. Показано, что в настоящий момент большое количество лабораторий поручает разбор неизвестных зловредов автоматическим системам, некоторые разбирают крайне некачественно, пропуская новые вирусы и генерируя ложные срабатывания. Процент обратной связи с обратившимся низок даже в случае обработки образца.

[Dann]

После некоторых размышлений, коллектив авторов решил оставить эту статью без выводов. Связано это с тем, что итог оказался вовсе не тем, который мы ожидали: довольно простой образец положил на лопатки ряд лабораторий, нескольким другим потребовалось две попытки, ответ на образец, несмотря на оформление на официальном сайте и по всем правилам, приходил довольно долго, при этом фаворитами оказались совершенно не те вендоры, которые мы ожидали. Некоторые вирусные лаборатории откровенно забили на ответ, хотя добавили детект (за что спасибо), а некоторые – даже не потрудились рассмотреть образец. Эвристические анализаторы, «облачный» анализ и эмуляторы автоматических систем оказались в большей степени генераторами ложных детектов, чем полноценной защитой. Авторам несколько непонятно, на что уходят основные трудовые силы и финансовые ресурсы, а также чем занимаются аналитики ведущих антивирусных компаний. Вспоминается старая история о том, зачем быстро убирать мусор – иначе люди поймут ненадобность дворников.

Вот даже не сомневался в этом, товарищи. Думаю, что любой кто погружен в тему безопасности чуть глубже чем пользователи хорошо понимают, что антивирусы уже давно ни на что не годятся. Но таки будущее надеюсь всё-таки за «облачным» анализом.

Процент обратной связи с обратившимся низок даже в случае обработки образца.

Ладно с обратной связью, это ведь тоже время.

Но отсылка через 50 часов это мощно. Через 50 часов это может быть уже никому не нужно.

Товарищи, поправьте опечатку:

но на на несчастном упакованном regedit.exe оказалось, что детект – просто общая тенденция на упаковщик.

И про детекты на основе упаковщиков слыхал. Это кстати очень портит репутацию авторам нормальных программ, которые покупают упаковщики для защиты. Нормальные программы детектируются как вирусы и авторы программ ничего с этим поделать не могут, потому что антивирусные лаборатории автоматически считают упакованные файлы вирусами.