Фирма Ironport, занимающаяся компьютерной безопасностью, рассчитала задержку между первым появлением вредоносной программы и выпуском "противоядия" антивирусными компаниями.
Данная статистика была собрана с помощью мониторинговой системы компании, отслеживающей входящий и исходящий трафик электронной корреспонденции в более чем 100 тыс. организациях.
Региональный директор фирмы Ironport в Северной Европе Мэтт Пичи (Matt Peachey) говорит, что мониторинг трафика позволяет определять вспышки эпидемий в самом начале, так как обычно все сообщения-переносчики вируса имеют одинаковый размер. Например, внезапная лавина писем с zip-вложениями объемом 60-100 Кбайт может указывать на начало распространения нового вируса. "Такие явления достаточно заметны на фоне обычного интернет-трафика", – сказал г-н Пичи.
Иногда обновления антивирусов при появлении новых угроз выпускаются очень быстро, однако, как правило, ПК остаются уязвимыми на протяжении многих часов. Так, привел пример г-н Пичи, первые средства борьбы с вирусом Sober в среднем появлялись спустя 16 часов и 14 минут после появления в онлайне новой модификации. Версии вирусов Bagle и Mytob, напротив, было гораздо сложнее излечить. В общей сложности пользователи оставались беззащитными против версий Bagle в течение 79 часов и 25 минут. Что касается Mytob, то на нейтрализацию всех его вариантов ушло аж 496 часов и 16 минут.
Совокупный 56-дневный период незащищенности рассчитывался путем суммирования всего времени, которое ушло у антивирусных компаний на разработку лекарств против появлявшихся вирусов. Столько времени ушло, главным образом, по той причине, многие вирусописатели выпускали новые варианты старых вирусов с незначительными отличиями. Таким образом, чем больше мутаций имело семейство вируса, тем большее время требовалось для его нейтрализации. У вируса Mytob, например, было более 100 версий.
Грэхем Клалели (Graham Clulely), главный технический консультант фирмы Sophos, занимающейся компьютерной безопасностью, отмечает, что разработчики антивирусного ПО опираются не только на конкретные сигнатуры известных вирусов. Многие антивирусные сканнеры используют эвристические приемы для определения даже тех вредоносных программ, которые еще не известны и не имеют названия. "Сканеры определяют участки кода, принадлежащие к одному семейству, – сказал г-н Клалели. – Взаимосвязь между ними видна даже в том случае, если этот код еще не известен".
CNews.ru
Большой взрыв знаний каждый день в вашем телефоне