Comments | sporaw: Антивирусная индустрия нагнута

sporaw

Антивирусная индустрия нагнута

Jan 24, 2009 01:06

Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.

( Read more... )

worm, malware, malware: conficker, mcafee, kaspersky lab, f-secure, antivirus, из жизни

Comments 96

anonymous January 23 2009, 23:26:07 UTC

А может вы знаете как избавиться от этой последней напасти?

kosiakk January 23 2009, 23:41:39 UTC

это вполне себе известно

червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких.
умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.

Насчитали миллионы.
Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.

хер там был

anonymous January 23 2009, 23:49:27 UTC

Мне кажется, в корпоративной среде это непросто.
С удовольствием почитал бы о таком опыте.

sporaw January 23 2009, 23:51:30 UTC

Не могли они отправить никаких команд. Это тоже достаточно забавно. В каком-то блоге, по-моему, у Symantec читал их удивления, почему еще ботнет не украли, а так же рассказы о том, что, мол, этика им не позволяет что-либо делать с ботнетом. Вранье это все. Не этика им не позволяет, а технические возможности (auth). Максимум, что они могут - это вот так регистрировать свободные домены и дро... (ну в общем, наблюдать) на количество соединений. Не более. В этом смысле очень аккуратно относитесь к заявлениям АВ-компаний. Как я уже выше сказал, они очень умело говорят там, где надо, а так же, не менее хорошо, обходят (замалчивают или говорят "по-другому"), там, "где не надо".

Thread 37

frolin January 23 2009, 23:30:04 UTC

А что там случилось то? Какая то эпидемия?

sporaw January 23 2009, 23:34:24 UTC

Да.

ex_ivlad January 24 2009, 07:37:46 UTC

По разным сплетням - до 4 миллионов хостов на начало прошлой недели. Но это информация из открытых источников в самих антивирусных компаниях.

acekievua January 23 2009, 23:49:09 UTC

В этой истории я не вижу экономической составляющей со стороны вирмейкера. Если она есть, то в чем заключается?
Если ее нет, то в чем смысл?

sporaw January 23 2009, 23:52:47 UTC

Ботнет (хосты, трафик, данные) = деньги. Как именно, уже совсем неважно.

acekievua January 23 2009, 23:54:31 UTC

все, вопрос снят, спасибо
херово каспер описания стал делать - ни черта не поймешь

temp2ar January 24 2009, 00:00:21 UTC

Ботнет на 8 миллионов машин - это от 5к до 50к дохода в день как минимум.
Спам, кликботы, ддосы, айдентити тефт, промышленный шпионаж, прокси, подмена поисковой выдачи и еще дюжина другая способов заработать :)

P.S. Судя по результату на R&D и обеспечение инфраструктуры такого качественного триппера были вбуханы несмешные деньги (как бы не шестизначная сумма).

Thread 5

ti_zed January 24 2009, 02:10:35 UTC

думаю основная проблема в том, что много антивирусных компаний и каждая как вы правильно сказали имеет свои интересы (в основном денежные), и нет единого центра борьбы и противодействия вирусам.
Когда сейчас для описания underground'a больше подходит определение организованная преступность ) а не сцена как раньше )

sporaw January 24 2009, 13:13:28 UTC

А зачем этот "центр" нужен? Есть достаточно серьезные компании (взять тот же Symantec, Kaspersky). Как говорится - было бы желание. Дело в том, что желание противоречит интересам бизнеса. Поэтому я тут выше и приводил пример про пользователя и двух людей, которые его дергают.

arkanoid January 24 2009, 04:15:31 UTC

Что ты хочешь от людей, которые привыкли орать "волки" и торговать страхом, а тут вдруг пришлось по-настоящему работать? От людей, которые потратили 15 лет на то, чтобы убедить всех и каждого, что реактивные технологии это адекватно, сигнатурный анализ из них впереди планеты всей (превед, viruslist), а заражение можно победить постфактум, это какбе небольшой инцидент не заслуживающий серьезного внимания?

Они на это напрашивались, они на это нарвались. Die bitch die, надеюсь теперь хоть кто-то всерьез задумается об основных векторах уязвимости, а не о том, "свежие ли у нас антивирусы".

Только вот что плохо - на бизнесе это не скажется, так что им похуй.

sporaw January 24 2009, 13:25:05 UTC

Да все они прекрасно знают про технологическую несостоятельность. И уже даже не первый год. (Т.е. чистый сигнатурный анализ уже давно труп. Его в чистом виде практически никто и не применяет, ну разве что кто-нибудь из мелких конторок).
Более того - технологии развиваются. Но темпы развития достаточно слабы. Потому что, с одной стороны, нет прямой заинтересованности сверху (именно такой, что "не сделаем этого - денег не будет"), много толковых голов уходит в "подполье" и еще "ряд других проблем" (c) люди из KAV.
А вот технологии с другой стороны - развиваются и очень сильно. Причем, на мой субъективный взгляд, есть некоторые вещи, которые сделать в разы проще, чем придумать, как именно их обойти.

(The comment has been removed)

sporaw January 25 2009, 12:28:42 UTC

cr4sh, ну это похоже на фантазии о 28 веке. Примерно на уровне: "А если была бы возможность залезать в мысли людей, то можно было бы предотвращать любые преступления еще в тот момент, когда они не были совершены" (см. набор соответствующих фильмов).

Ничего близкого с реалиями все, что ты написал, не имеет. И не потому что не хотят сделать, а потому что есть огромнейший ряд техническо-организационных проблем.

А что касается сигнатурного анализа (тем более ты уж стал совсем говорить о примитивном сигнатурном сканировании, без пассивного анализа на эмуляторе процессора, среды и т.д.), еще раз подчеркну, он труп. Как только каждый билд стал уникальным (РЕАЛЬНО уникальным), как только появилось понятие "серверный полиморфизм" и еще ряд других понятий -- это все, последние гвоздики в крышку соответствующего гроба.

Thread 6