25.01.2009

Антивирусная индустрия нагнута

image

Sp0Raw (sporaw), опубликовал в своем блоге свое мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям  ознакомиться с копией этого сообщения.

Sp0Raw (sporaw), опубликовал в своем блоге мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям ознакомиться с копией этого сообщения, которое вызвало горячее обсуждение.

Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.

Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.

Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").

Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.

Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).

Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".

Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".

Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).

Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:

Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.


Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.

Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),

- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)

- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).

В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.

Все всплывает. Все на поверхности.

P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.