Уже три с половиной недели можно публично наблюдать очень забавную вещь. А именно: антивирусная индустрия нагнута. Забавно смотреть на этот шуршащий муравейник.
( Read more... )
червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких. умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.
Насчитали миллионы. Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.
Не могли они отправить никаких команд. Это тоже достаточно забавно. В каком-то блоге, по-моему, у Symantec читал их удивления, почему еще ботнет не украли, а так же рассказы о том, что, мол, этика им не позволяет что-либо делать с ботнетом. Вранье это все. Не этика им не позволяет, а технические возможности (auth). Максимум, что они могут - это вот так регистрировать свободные домены и дро... (ну в общем, наблюдать) на количество соединений. Не более. В этом смысле очень аккуратно относитесь к заявлениям АВ-компаний. Как я уже выше сказал, они очень умело говорят там, где надо, а так же, не менее хорошо, обходят (замалчивают или говорят "по-другому"), там, "где не надо".
Ботнет на 8 миллионов машин - это от 5к до 50к дохода в день как минимум. Спам, кликботы, ддосы, айдентити тефт, промышленный шпионаж, прокси, подмена поисковой выдачи и еще дюжина другая способов заработать :)
P.S. Судя по результату на R&D и обеспечение инфраструктуры такого качественного триппера были вбуханы несмешные деньги (как бы не шестизначная сумма).
думаю основная проблема в том, что много антивирусных компаний и каждая как вы правильно сказали имеет свои интересы (в основном денежные), и нет единого центра борьбы и противодействия вирусам. Когда сейчас для описания underground'a больше подходит определение организованная преступность ) а не сцена как раньше )
А зачем этот "центр" нужен? Есть достаточно серьезные компании (взять тот же Symantec, Kaspersky). Как говорится - было бы желание. Дело в том, что желание противоречит интересам бизнеса. Поэтому я тут выше и приводил пример про пользователя и двух людей, которые его дергают.
Что ты хочешь от людей, которые привыкли орать "волки" и торговать страхом, а тут вдруг пришлось по-настоящему работать? От людей, которые потратили 15 лет на то, чтобы убедить всех и каждого, что реактивные технологии это адекватно, сигнатурный анализ из них впереди планеты всей (превед, viruslist), а заражение можно победить постфактум, это какбе небольшой инцидент не заслуживающий серьезного внимания?
Они на это напрашивались, они на это нарвались. Die bitch die, надеюсь теперь хоть кто-то всерьез задумается об основных векторах уязвимости, а не о том, "свежие ли у нас антивирусы".
Только вот что плохо - на бизнесе это не скажется, так что им похуй.
Да все они прекрасно знают про технологическую несостоятельность. И уже даже не первый год. (Т.е. чистый сигнатурный анализ уже давно труп. Его в чистом виде практически никто и не применяет, ну разве что кто-нибудь из мелких конторок). Более того - технологии развиваются. Но темпы развития достаточно слабы. Потому что, с одной стороны, нет прямой заинтересованности сверху (именно такой, что "не сделаем этого - денег не будет"), много толковых голов уходит в "подполье" и еще "ряд других проблем" (c) люди из KAV. А вот технологии с другой стороны - развиваются и очень сильно. Причем, на мой субъективный взгляд, есть некоторые вещи, которые сделать в разы проще, чем придумать, как именно их обойти.
cr4sh, ну это похоже на фантазии о 28 веке. Примерно на уровне: "А если была бы возможность залезать в мысли людей, то можно было бы предотвращать любые преступления еще в тот момент, когда они не были совершены" (см. набор соответствующих фильмов).
Ничего близкого с реалиями все, что ты написал, не имеет. И не потому что не хотят сделать, а потому что есть огромнейший ряд техническо-организационных проблем.
А что касается сигнатурного анализа (тем более ты уж стал совсем говорить о примитивном сигнатурном сканировании, без пассивного анализа на эмуляторе процессора, среды и т.д.), еще раз подчеркну, он труп. Как только каждый билд стал уникальным (РЕАЛЬНО уникальным), как только появилось понятие "серверный полиморфизм" и еще ряд других понятий -- это все, последние гвоздики в крышку соответствующего гроба.
Comments 96
Reply
червь периодически пытается получить инструкцию "что делать дальше" из интернета. с разных доменов всяких.
умные ребята из F-Secure (как минимум) зарегистрировали пару таких "волшебных" доменов на себя - и просто считали сколько червей к ним обращается за инструкциями.
Насчитали миллионы.
Они могли (теоретически) отправить команду самоуничтожения - выслать в качестве задания свою же совбственную тулу для лечения.
хер там был
Reply
С удовольствием почитал бы о таком опыте.
Reply
Reply
Reply
Reply
Reply
Если ее нет, то в чем смысл?
Reply
Reply
херово каспер описания стал делать - ни черта не поймешь
Reply
Спам, кликботы, ддосы, айдентити тефт, промышленный шпионаж, прокси, подмена поисковой выдачи и еще дюжина другая способов заработать :)
P.S. Судя по результату на R&D и обеспечение инфраструктуры такого качественного триппера были вбуханы несмешные деньги (как бы не шестизначная сумма).
Reply
Когда сейчас для описания underground'a больше подходит определение организованная преступность ) а не сцена как раньше )
Reply
Reply
Они на это напрашивались, они на это нарвались. Die bitch die, надеюсь теперь хоть кто-то всерьез задумается об основных векторах уязвимости, а не о том, "свежие ли у нас антивирусы".
Только вот что плохо - на бизнесе это не скажется, так что им похуй.
Reply
Более того - технологии развиваются. Но темпы развития достаточно слабы. Потому что, с одной стороны, нет прямой заинтересованности сверху (именно такой, что "не сделаем этого - денег не будет"), много толковых голов уходит в "подполье" и еще "ряд других проблем" (c) люди из KAV.
А вот технологии с другой стороны - развиваются и очень сильно. Причем, на мой субъективный взгляд, есть некоторые вещи, которые сделать в разы проще, чем придумать, как именно их обойти.
Reply
(The comment has been removed)
Ничего близкого с реалиями все, что ты написал, не имеет. И не потому что не хотят сделать, а потому что есть огромнейший ряд техническо-организационных проблем.
А что касается сигнатурного анализа (тем более ты уж стал совсем говорить о примитивном сигнатурном сканировании, без пассивного анализа на эмуляторе процессора, среды и т.д.), еще раз подчеркну, он труп. Как только каждый билд стал уникальным (РЕАЛЬНО уникальным), как только появилось понятие "серверный полиморфизм" и еще ряд других понятий -- это все, последние гвоздики в крышку соответствующего гроба.
Reply
Leave a comment