25.01.2009

Антивирусная индустрия нагнута

image

Sp0Raw (sporaw), опубликовал в своем блоге свое мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям  ознакомиться с копией этого сообщения.

Sp0Raw (sporaw), опубликовал в своем блоге мнение об антивирусной индустрии в связи с эпидемией Downadup и последними тенденциями в области разработки вредоносного ПО. Предлагаем читателям ознакомиться с копией этого сообщения, которое вызвало горячее обсуждение.

Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.

Одни компании - просто отмалчиваются. Как будто ничего не происходит вокруг. Вообще ничего.

Это все равно, что где-нибудь взорвалась бы АЭС, а в какой-нибудь из граничащих стран люди делали бы вид, что ничего не произошло и не происходит. Они спокойно ездили бы на пикники, гуляли бы и веселились под дождем. Этакий "эффект страуса" или детское закрывание лица ладошками ("я в домике - меня не видно").

Вот так и эти компании. Продолжают писать о rogue antispyware, о каких-то нелепых троянах на Visual Basic, обсуждать о том, как они получили награду "top downloads" или "false positives free" и т.п. Некоторые, все же мельком (и по чужим материалам) обмолвились, вот, мол, существует некая угроза, но от нее можно избавиться без проблем.

Другие компании ("монстры индустрии") - пиарятся как только могут. "Поймали волну". Задача: пока есть возможность - заработать как можно больше дивидендов на происходящем вокруг. В целом, политика нормальная. Это бизнес. Надеюсь, никто не думает, что в том же Касперском, F-Secure (привет Питерскому офису - ну что, все до сих пор смешно еще?), Symantec (Norton Antivirus), McAfee, ESET (NOD) и др. есть какие-то люди, реально, искренне заботящиеся о пользователях, желающие им как-то помочь и т.п.? Сейчас важно как можно больше набрать новых клиентов, и удержать старых, показать насколько технологии АВ-индустрии развиты (а реально это совсем не так) и не показать (т.е. скрыть как только это возможно), что не просто упали лицом в грязь, а их туда успешно ткнули, схватив за шкирку, и помазюкали. Да так, что отмываться придется очень долго. (Не для простых людей, конечно; для большинства это останется незамеченным).

Мониторю сейчас все самые интересные блоги почти в real-time. Смотрю какой уровень опасности стоит, меняется ли он. И вообще, что пишут. Как они друг у друга копируют списки паролей, как хвалятся "разгаданными" алгоритмами генерации доменов и т.п. Как они пишут инструкции по удалению. Эти инструкции размещают на своих же сайтах. Нет, ну они серьезно всех окружающих за идиотов считают или у самих как с головой? Вот сами же пишут, что блокируются домены (и себя в списке могут легко найти), и у себя же на сайтах размещают "подробную инструкцию по удалению". Я уж не говорю, что ее просто не прочитать. Уж не говорю как забавно выглядит "скачайте вот эту утилиту с нашего же сайта". Ну ладно, пусть на другом компьютере кто-то прочитает, скачает. Даже принесет. Но вот чего они все молчат (нигде еще не нашел упоминаний), что их утилиты-то так же заблокированы и блокируются? Т.е. это практически как выложить на сайт unrar.rar, да еще и DNS сайта побить, зароутив его на localhost. "Уважаемый пользователь, скачайте наш де-архиватор, распакуйте его и используйте".

Китаец из McAfee вообще порадовал. Видимо, жжет самолюбие. Сейчас процитирую: "We believe that this can be accomplished by an average programmer who understands the basics of exploitation and has decent programming skills".

Symantec - вообще молодцы. Уже почти "Войну и Мир" по объему написали в своем блоге. Про технические детали, про что, как и почему. Как всегда куча фантазий и предположений о том, что и зачем, и куда все это движется (различные 'suspects' и проч.). А еще больше радуют (точнее - продолжают радовать, ибо они не одиноки) их инструкции. Из разряда "Обновите Ваш Symantec Norton Antivirus". Так и хочется сказать: "Вы прочитайте свое же описание. Там вообще-то вполне четко говорится о том, что практически все ПО по безопасности (в т.ч. и Ваш антивирус) блокируется по вопросу апдейтов, сайтов и т.д.". Но, видимо, трафик в блогах генерировать лучше, чем писать Правду (тут без BHC не обойтись, ясное дело).

Так же они радуют вот таким вопросом-ответом из FAQ. Я даже комментировать это не буду. Просто процитирую полностью. В данном случае даже линк приведу! Вот тут. Цитата:

Q: Can't I just run free antivirus software?
A: Yes, but they're not thorough or comprehensive. While some of the legitimate free antivirus products aren't bad at detecting viruses in files, they only provide basic protection, in general they are weak at detecting modern threats such as drive-by-downloads, malicious web sites and intrusion attempts. Worse, the internet is overflowing with fake free security scanners that actually infect your computer. Fake scanners such as "Antivirus 2008" are difficult to identify and have plagued hundreds of thousands of users around the world.


Про Microsoft и блог Windows Defender пока говорить не буду (может позже) -- там тоже ребята радуют разными вещами. Но им проще, относительно других производителей.

Зато отметился Касперский сегодня. Тоже сделав вид, что "ну как бы так, промежду дел, уделили тут 15 минут, чисто так, особо это не нужно, да и вообще никаких проблем нет". Смотрим набор цитат:
- "13 января мы опубликовали 'оранжевый' (средний уровень опасности) алерт для семейства червей Kido" (Ну да, особых проблем-то нет),

- "Семейству Kido это удалось потому, что его представители распространялись не только с помощью эксплойтов критических уязвимостей, но и взламывая слабые пароли методом подбора, таким образом получая доступ к другим компьютерам в локальной сети. Из-за этого (и по некоторым другим причинам) избавиться от Kido может быть очень сложно" (Ого! Интересно, по каким же? Из-за того, что он "распространяется с помощью эксплоитов" пришлось выпустить утилиту? Не, ну на кого это расчитано, серьезно?)

- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают).

В общем, наблюдаем дальше за индустрией. Это очень и очень интересно, как себя проявляют компании. Становятся прозрачны и возможности (технические, по анализу и т.п.), и реальные цели/задачи.

Все всплывает. Все на поверхности.

P.S. На всякий случай: Downadup, Conficker, Conflicker, Kido.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  8  
13186
25-01-2009 18:32:41
По правде сказать Kido и меня поимел, вот только каспер его нашел, но избавиться от него почему то не смог, и даже не сказал мне, что у него нихрена не получилось... понял когда сново поставил на проверку ПК...
0 |
Прохожий
26-01-2009 20:34:39
Проблема ав индустрии - она ориентирована на рыночную борьбу и получение прибыли. Реально масштабы заражения и профилактика мало волнуют вендоров. Эту особенность автор статьи и выделил. Как следствие указанной причины, два следствия: 1. приличного продукта в арсенале защиты. 2. АВ индустрии не нужны высококвилифицированные кадры. Вывод: Решить проблему смогут крупные консальтинговые компании, занимающиеся предоставлением услуги поддержки ITинфраструктуры заказчиков, только они смогут грамотно и весомо предъявить требования к ав индустрии. Ибо только консальтинговые компании заинтересованы в снижении TCO и при этом могут осознанно влиять на ав вендора.
0 |
77686
26-01-2009 20:48:11
Проблема ав индустрии - она ориентирована на рыночную борьбу и получение прибыли. Реально масштабы заражения и профилактика мало волнуют вендоров. Эту особенность автор статьи и выделил.Он конечно прав. Однако кроме этого он озвучил мысль которая и так всем была очевидна, но к которой не прислушались 9млн человек за что и расплатились. Мысль эта проста и банальна "антивирус не панацея от всех бед, он помогает тем кто заботится о своей безопасности, а не заботится о ней в одиночку вместо вас"
0 |
22661
25-01-2009 18:36:15
sporaw рассказывает, о том, что антивирусы лишь языком балаболит и могут спасти только от примитивных вирусов на VB, а при грамотно придуманным вирусом, все антивирусы лишь руками разводят и не могу понять, что и как... и Так будет дальше продолжаться, пока вендоры не перестанут брать на работу студентов прошедших какой то их там конкурс(Каспера в частности касается)...
0 |
BadXxX
26-01-2009 09:35:25
Скорее всего дело в количестве штата лабы касперского и прочих. Конечно же, когда на антивирусных базах работают 2 гастарбайтера, то для того чтобы выполнить дневной план просто считают чексуммы вирусняков и добавляют их в базы. И естественно, самокриптующиеся черви спокойно имеют каспер, ровно до тех пор, пока им серьёзно не займутся. Эвристика у того же каспера - гавно. Проверено, что достаточно напичкать пустых операций и циклов и вуаля, вирь снова не палится. При "идеальном" криптовании можно добиться того, что спасёт только эвристика, которую, кстати, также можно очень грамотно обмануть (есть способы). Ждём очередного CIH, только более универсального и под все форточки. Может быть тогда поумнеют.
0 |
фетиш-мастер [Малиновые штаны]
26-01-2009 11:54:32
имхо, нужно менять сам подход по сигнатурам отлавливается только пионерщина реальные морфяки даже через графы фиг распутаешь ну а серьезно анализировать каждую заразу - здоровья не хватит
0 |
48521
25-01-2009 18:52:25
кто нибудь знает какую уязвимость использует Kido? Какую?
0 |
kren
25-01-2009 19:50:41
Пишут, что уязвимость в SMB протоколе.
0 |
25-01-2009 22:55:23
MS08-067
0 |
yo
25-01-2009 19:38:53
Ну если не ставить обновки ОС, то хрен что поможет. А ЛК так не имеет нормального анти-руткита... Это писец, не могу удалить, отсутствуют права на запись. Хорошо кто-то сказал, что Е.К. превратился в свадебного генерала и вообще не в курсе всего происходящего, выпускают недотестированные сборки, все в порядке, народ бабло несет, ничего делать не надо, посмотрим, что через год будет, когда у всех недовольных лицензии закончатся.
0 |
123
25-01-2009 20:20:46
При постоянно включенной защите данная барада KIS'у не страшна, бо не пролезет сквозь IDS. Это только ушлёпки "А шо, это за сообшениа началыс часто?! А шо, можэ это фолза???111 А дай отключим защиту и позырем, шо будэ?!11" заражаются, а потом заваливают своими отходами мозга все интернет-форумы и техподдержку KL. У адекватных юзеров ЛК проблем нет, защита справляется. А на всякие происки маркетоидов из других контор, не имеющих подобного функционала, ЛК плевать.
0 |
yo
25-01-2009 21:06:18
Это понятно . Сам КИС8 пользую, так как это самый адекватный продукт из всего, что есть, только хочется, чтобы он еще лучше был. У Др.Веб хороший антируткит, но у них вирлаб тормозной, а чтобы лечить - надо знать для начала . Какие-то версии кидо через флешку распространялись.
0 |
BadXxX
26-01-2009 14:12:36
Сам использую КИС-8, антивирь неплохой, если сравнивать с конкурентами. НО, уже забыли как для каспера не находили ring0 баги? Причём элементарные баги, при проверке специально сформированных архивов. Или быть может забыли, для какой оси предназначен каспер и какие "весёлые" баги в ней находили? А как их оперативно закрывают? "При постоянно включенной защите данная барада KIS'у не страшна, бо не пролезет сквозь IDS." Пролезет. Когда ТЫ сидишь за компом - ты знаешь что такое проактивка и что тебе говорит антивирь. Когда сидит среднестатистический чайник - "хочу запустить эту программулю" оказывается сильнее, чем желание: а) читать, б) вникнуть в смысл написанного. Потому "разрешить".
0 |
lleecctt
27-01-2009 10:38:25
У меня было через флешку, глав.бух принесла. Он какраз еще только распространяться начал. Выразил ей благодарность и форматнул флешку. Сейчас снова жду, опять кудато ездила.
0 |
Дмитрий из Самары
24-05-2009 23:19:33
трояны на флэш через autorun распространяются. поставь себе утилитку для контроля USB и спи спокойно! ЛЮДИ-ПЕРЕСТАВАЙТЕ БЫТЬ ЛАМЕРАМИ УЖЕ!!!!!!!!!!!!
0 |
-=Fl@sh=-
26-01-2009 23:02:36
Вот не надо гнать на Каспера, хорошо!! Только что полностью очистил комп знакомого от различных разновидностей Downadup и Kido Rfcgthcrbv 2009. Работает он на УРА, лучший антивирь на сегодняшний день!!! 64861
0 |
-=Fl@sh=-
26-01-2009 23:05:51
*Касперским 2009 82311
0 |
Jet
27-01-2009 16:11:31
Нах это гуано надо, оно нормальным программам мешает работать. А в ихнем лабе невменяемые сидят - отписывался им о проблемах, а им до пезды ваще абсолютно.
0 |
DIV
06-09-2009 18:48:14
Любой антивирус мешает работать другим программам, и чем активнее он ищет, чем больше дыр закрывает - тем больше ограничений для остальных программ, так что тут кому как - кому защита а кому полная безнаказанность остальных программ. Кроме того, грамотно управлять разрешениями надо - тогда нужным и проверенным программам КИС ничуть не мешает. А что касается техподдержки - было у нас в конторе, принесли на флешке новый блокер который ни один антивирь из имеющихся не ловил. Часов в 10 вечера выделили группу подозрительных файлов, послали им - они через полчаса ответили, спасибо написали - и с устречка с первым обновлением этот блокер и его загрузчик/установщик уже нормально детектировались и удалялись
0 |
kostyan
27-01-2009 21:10:04
Да фигня каспер ни фига он не удаляет, приходиться ручками дочищать, и всё делать самому....были приценденты...
0 |
Maratka
28-01-2009 00:58:01
Дело не в антирутките. Тут работает другой принцип у виря. Латка будет (ориентировочно) в начале февраля (не только противо KIDO, но в первую очередь против принципа сокрытия на диске).
0 |
Blitskrieg
25-01-2009 20:24:33
"- "Если вам не помог ваш антивирус, то попробуйте воспользоваться нашей бесплатной утилитой" (А вот это вообще шутка дня - они его хоть разбирали? Ну, или серьезно думают, что данная утилита что-то сделает? Я уж не говорю даже про то, как ее скачают)." А что-то кроме нубских воплей будет? Утилиты klwk и KidoKiller отлично справляются с лечением активного заражения.
0 |
nano
26-01-2009 12:50:26
школота обзывает sporaw'а нубом веселые каменты
0 |
Страницы: 1  2  3  4  5  6  7  8