19:58
3/11/2009

Sekrety firm antywirusowych

Rano pokazaliśmy jak przetestować skuteczność swojego antywirusa. Wieczorem chcielibyśmy poruszyć bardziej mroczny temat, czyli napomknąć o praktykach niektórych firm antywirusowych, za które definitywnie należą się klapsy na goły tyłek…

Virus

Nie chronimy przed wszystkimi wirusami…

Warto zdać sobie sprawę z tego, że praktycznie żaden z programów antywirusowych nie wykrywa wszystkich istniejących w danej chwili wirusów. Powód jest prosty — wydajność (a raczej jej brak). Codziennie wykrywanych jest ok. 50 000 nowych wirusów. Dodawanie ich do baz sygnatur twojego programu antywirusowego spowodowałoby stopniowe pożeranie wolnej przestrzeni dyskowej i co gorsza, z dnia na dzień spowalniałoby pracę antywirusa.

Dlatego większość firm posiada bazę sygnatur chroniącą tylko przed obecnie spotykanymi (tj. popularnych) wirusami. Czasem może się zdarzyć, że stary wirus, który kiedyś był wykrywany przez program antywirusowy XXX, dziś nie zostanie wykryty. Powód: nie odnotowano jego działalności w przeciągu ostatniego roku i jego miejsce w bazie sygnatur zastąpił opis innego, świeższego (bardziej prawdopodobnego do napotkania) wirusa. Taki przypadek miał niedawno miejsce w londyńskich szpitalach:

Witryny trzech dużych londyńskich szpitali zostały w połowie listopada bieżącego roku zarażone wirusem Mytob. Mimo, że wirus należał do starszej generacji złośliwego oprogramowania, to skutecznie udało mu się na kilka tygodni zrujnować normalny tryb pracy szpitala.

Na szczęście, większość firm zamiast usuwać sygnatury starych wirusów, stara się je kompaktować (czyli za pomocą jednego “opisu” złapać kilka wiruchów).

Nie wykrywamy azjatyckich wirusów w Europie

Bazy sygnatur tego samego antywirusa, w tej samej wersji mogą się różnić. Przeciw innym wirusom będą chronieni Chińczycy, a przeciw innym Polacy. Epidemie wirusów da się bowiem zawęzić do konkretnych lokalizacji i jeśli wirus ZZZ zbiera swoje żniwo tylko w Azji, a w Polsce nie notuje się jego wystąpień, to jego sygnatura w ogóle nie zostanie przesłana do polskiego użytkownika! W takich przypadkach kluczową rolę odgrywa poprawnie ustawiona strefa czasowa — bo to głównie na jej podstawie większość firm wybiera odpowiednie serwery update’u (zawierające odpowiednie zestawy sygnatur do przesłania). Szczęśliwie, tego typu fragmentaryzacja głównie dotyka antywirusów sprzętowych, a nie antywirusów na komputerze zwykłego Kowalskiego.

WorldMapNight

Sygnatury NIE! Heurystyka TAK!

Nie należy jednak wpadać w panikę. Mało która firma antywirusowa korzysta dziś jedynie z bazy sygnaturek do wykrywania złośliwego oprogramowania. Drugą linią obrony są algorytmy heurystyczne, próbujące oceniać jak wiele złego może wyrządzić skanowany plik. Popularnym rozwiązaniem jest odpalanie takiego pliku w wirutalnej maszynie i symulowanie jego działania, oceniając jednocześnie akcje, jakie badany program chce wykonać. Próba usunięcia klucza w rejestrze – 5 pkt. kary. Próba skasowania biblioteki systemowej – 15 pkt. kary. Im więcej niedozwolonych czynności, tym więcej punktów i tym wyższy stopień zagrożenia zostanie przypisany badanej próbce, co poskutkuje nałożeniem na aplikację odpowiednich restrykcji (od wyleczenia, przez kwarantannę, aż do usunięcia pliku).

Który antywirus jest najlepszy?

Ciekawym źródłem wiedzy na temat (anty)wirusów jest projekt WildList oraz skaner VirusTotal, dzięki któremu możemy przeskanować podejrzany plik wszystkimi dostępnymi na rynku programami antywirusowymi w aktualnych wersjach. VirusTotal świetnie pokazuje, które z programów antywirusowych już wykrywają wirusa, a które jeszcze nie…

Podziękowania dla GiMa za informację o serwisie WildList

Przeczytaj także:


18 komentarzy

Dodaj komentarz
  1. Heise Online kiedyś zamieściło statystyki, wedle których najlepsze antywirusy wykrywają niecałe 60% nowych szkodliwych programów. W przypadku starszych zagrożeń odsetek rośnie bodaj do około 80%. Tragedia.
    Nie ma lepszego dowodu, że nic tak się nie liczy, jak olej w głowie. Swego czasu też sprawdzałem skuteczność reakcji na konkretne nowe zagrożenie przy pomocy VirusTotal, wyniki były zastraszająco kiepskie: http://my.opera.com/Jurgi/blog/2008/07/09/zaczela-sie-iii-wojna-swiatowa-no-nie-znowu

  2. @Jurgi: Moim zdaniem antywirus ma sens głównie jako ochrona przed malwarem przenoszonym na pendrive’ach znajomych… Już średniozaawansowany użytkownik raczej nie da się zainfekować przez ściąganie “śmieci” z internetu.

    Jeśli przytoczyć statystyki firm, z którymi współpracujemy (każda to środowisko od 100 stacji w górę) to 90% alertów jest obecnie generowanych przez próbę podłączenia zainfekowanego dysku USB. Resztę potencjalnych źródeł (czyt. internet) skutecznie tną filtry na gw i webproxy.

    PS. o “wydajnej” konfiguracji programu antywirusowego mamy przygotowany osobny artykuł… niebawem upublicznimy.

  3. Heurystyka bywa PITA programistów. Co chwilę zdarza mi się że któryś z moich programów (tych pisanych w pracy, czy hobbystycznie) wykrywany jest przez jakiś AV bo robi ‘podejrzane rzeczy!’. Zresztą z sygnaturami lepiej nie jest (zbyt obszerne).
    Przykład? Sure! Np. bardzo rozbawiło mnie gdy pewien testowy mini-program (który jedyne co robił to rzucał wyjątek Access Viol.) został wykryty przez 18 AV (głównie jako “trojan” (brzmi jak heurystyka) lub jako exploit na WMF (sygnatury)):
    http://www.virustotal.com/pl/analisis/83eac7c6b0ad0b39695beb0cfb24a67ca6546b9ee1534be7af96cf532b5667d8-1257281777

    Szczerze to osobiście nie mam najlepszego zdania o AVkach ostatnio. Chyba ani sygnatury, ani heurystyka, sobie ostatnio nie radzą najlepiej.

  4. @Gynvael: Jedna z firm developerskich (z zagranicznym kapitałem, to ważne), z którą kiedyśtam miałem co nieco do czynienia, robila apkę dla pewnej agencji rządowej. Po paru miesiącach od zakończenia projektu agencja wysłała do firmy panów w czarnych garniturach… okazało się, że agencja miała jakiśtam niezależny audyt, podczas którego apkę przejechał jakiśtam silnik av i wykrył właśnie trojana w kodzie, co lekko zdenerowowało panów w czarnych garniturach — oczywiście wszystko udało się wyjaśnić (false positive), zdradę stanu i szpiegostwo odwołano, ale zabawy trochę było… ;-)

  5. A tak w ogole to mam pytanie. Czy nie jest wazniejsze jakiego mamy fw? Tzn chodzi mi glownie o dosc zaawansowane funkcje kierowania ruchem (tzn jaki program i kiedy chce sie dostac do internetu). Tak sobie mysle, ze skoro kupe tych wirosow nie jest wykrywane, to przynajmniej jak juz jakis trojan/backdoor wlezie, to mimo braku wykrycia przez av, mozemy to zauwazyc dzieki alertowi fw. Tak tylko sobie dedukuje.

  6. a ja myślę że wcale jesdnak z av nie jest takźle, powstają cporaz to nowsze pomysły i technlogie aby np usprawnić kwestię sygnatur, funkcjonują już coś takiego jkak cloud computing. firewall owszem bardzow ważny ale wszystko zalezy od tego czy skałdamy swoją ochronę z różnych części czy ufamy jednemu dostawcy softu

  7. “A tak w ogole to mam pytanie. Czy nie jest wazniejsze jakiego mamy fw? ”

    Wazniejsze raczej nie, ale juz zdazylo mi sie kiedys wykryc instalacje trojana glownie dzieki temu, ze firewall poinformowal o probie nawiazania polaczenia przez pewien podejrzany plik.

  8. […] To nie pierwszy przypadek, kiedy jakiś antywirus mylnie interpretuje pliki jako zagrożenie. O podobnym problemie z antywirusem od McAfee, który wymusił ewakuację w jednym z londyńskich szpitali już kiedyś pisaliśmy. […]

  9. Ciekawą propozycją ochrony antywidusowej sa rozwiazania firmy ISS, która to dzięki działowi badawczemu (2000 świetnie opłacanych specjalistów i byłych hakerów), na bieżąco bada podatności oraz luki wykorzystywane podczas ataków sieciowych i wirusach. Efektem działania tego działu (X-Force) jest wysłanie patcha w postaci łatki zabezpieczającej daną lukę/podatność jeszcze przed pojawieniem się oficjalnej informacji od samego producenta:) Efekt tego jest taki, ze sprzęt jest zabezpieczony na kilka miesięcy przed wystąpieniem realnego ryzyka związanego z wykorzystaniem danej podatności. Jest to oczywiście droższe niż standardowe antywirusy czy firewalle ale w przypadku bezpieczeństwa nie ma sobie równych.

  10. […] warto sobie przypomnieć nasz zeszłoroczny (ale ciągle aktualny) artykuł temat innych sekretów firm antywirusowych. […]

  11. Fakt, może antywirusy nie są idealne, jednak dają jakiś stopień ochrony i nie przepuszczają wszystkiego. Lepiej chyba mieć zainstalowane, coś co chroni kompa w jakimś stopniu niż wcale…

  12. Ja mam w firmie F-secure, który działa naprawdę bez zarzutów. Nie mieliśmy żadnych problemów ze sprzętem, ani skarg, że coś zamula albo działa nie tak jak trzeba.

    • Jeszcze.

      Ja już F-secure mam powyżej uszu, tak samo jak PC Tools Antivirus. Zamulatory pierwszej wody, natomiast chronią chyba tylko przed nadmiarem gotówki.

  13. na początku roku padłem ofiarą jednego syfa – akurat robiłem wcześniej zakupy na ebay a wiadomość pochodziła niby od sprzedawcy i miała zawierać fakturę (sprytnie zamaskowany wirus jak się okazało), niestety po raz pierwszy w życiu dałem się nabrać. Wirus zmienił uprawnienia do wszystkich systemowych folderów i rejestru oraz stworzył sobie uzytkownika z prawami Admina w systemie – na szczęście rzadko restartuję kompa i zdążyłem ręcznie ponaprawiać co napsuł. VirusTotal zgłasza, że pierwszy raz raportowano to g*** 5 stycznia br. a mnie dopadł 2 stycznia br… eh… życie…

    • Ja testowałem ostatnio wirusa w przesyłce o awizo z PP. Dostałem o 14, o 15 pierwszy test i żaden antywirus nie wykrył. O 18 kolejny test na virustotal i 2 sztuki coś wykryły. Następnego dnia kolejna próba i tym razem 3 sztuki.

  14. Moim zdaniem dobrym zabezpieczeniem jest uzywanie antywirusa w polaczeniu z firewallem wyposazonym w piaskownice, ktora pyta za kazdym razem czy uruchomic plik lub czy zezwolic np. zapisac cos w rejestrze

  15. […] może zabraknąć “antywirusa od Microsoftu”. Jak to z antywirusami bywa, działają tylko wtedy, kiedy dane zagrożenie jest im znane. Dlatego właśnie MSE proponujemy na końcu naszego zestawienia — poprawne wdrożenie […]

  16. […] antywirusowych jeśli chodzi o ochronę przed nowym wariantem złośliwego oprogramowania (por. sekrety firm antywirusowych). Jak myślicie, z jakiego antywirusa korzystała zaatakowana stacja […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: