Рейтинг на откриване на „свеж“ злонамерен код от антивирусни продукти
Един ден, след пореден разговор в нашата компания за това коя антивирусна програма е най-добра за откриване на нови разновидности на вируси, имах желание да направя някои изследвания по този въпрос. Не твърдя, че въпросът не е нов и много независими групи провеждат свои собствени проверки (например, отлична селекция от такива рейтинги е съставена на форума на групата Anti-Malware.ru и също така ви съветвам да погледнете най-новата, в смисъл на най-новата снимка на VirusBulletin). Силното желание обаче беше именно сами да направим такъв анализ, още повече, че в интернет има почти готов източник на информация по този въпрос - прекрасната услуга VirusTotal.
Как беше направено и какво излезе от това -
Първата ми идея беше да използвам много интересния знак„Топ10 изпращания на файлове (вчера)“на страницата със статистика на самия VirusTotal. Статистиката, да речем, за 3 месеца ежедневно проучване на тази таблица всъщност би била достатъчна за описаните цели. Но уви, масата не работи неволно или умишлено, т.е. показва стойности, които се променят само около веднъж месечно според някаква своя вътрешна логика. Едноседмична кореспонденция с представители на самия VirusTotal завърши с факта, че съществуването на „проблем“ е признато, но в свободен превод „приоритетът на коригирането му на фона на други по-належащи проблеми е много нисък“. Всъщност такава прекрасна услуга може да бъде простена за това, въпреки че ако бях на тяхно място, просто щях да скрия посочения блок от страницата със статистика до момента на ремонта.
Какви са тези връзки? Спецификата на адресирането на проблема с вируса към интернет форумите е основно такава, че анализираният екземпляр наскоро започна да се разпространява. По-честотова е или първата третина, или средата на активната фаза на обработката му от антивирусни компании. Ако анализираме същите случаи в настоящия момент, качеството на отговора несъмнено ще бъде по-добро - вярвам, близо 80-90% - но позволете ми да ви напомня, че имам само връзки (всъщност хеш суми), а не самите вирусни екземпляри.
Е, средата на жизнения цикъл на вируса също не е най-лошото време за анализ в рамките на целта. Списъкът с антивируси, които откриват този случай, ще включва продукти с много бърза обратна връзка или добри евристични алгоритми. Доволни сме и от двете. Броят на антивирусите, които са открили примерни екземпляри в този исторически момент, е показан в хистограмата (оста X е броят на антивирусните машини, които са били задействани, оста Y е броят на екземплярите на вируса):
Графиката ни отвежда до следващия съществен проблем в процеса на сканиране за вируси – фалшивите положителни резултати. Несъмнено в областта на диаграмата, близка до нулата, заедно с понастоящем малко известни, но все още вируси, има много фалшиви положителни резултати (фалшиви положителни резултати):
- неоправдани подозрения от страна на евристични алгоритми,
- опаковани изпълними файлове (както gjf habrauser съвсем правилно посочи)
- други неволни грешки на антивирусни програми.
Е, сега, всъщност, в името на което всички тезибяха предприети предварителни стъпки. Въз основа на описаната извадка от 2600 много вероятни „пресни“ вируса се изчисляват средните честоти на тяхното откриване от антивирусни машини, участващи във VirusTotal.
Отказ от отговорност.Дадената статистика е една от случайни реализации, създадена на базата на информация, свободно достъпна в Интернет. Въпреки предприетите мерки за изключване на корелации и условни вероятности, не е възможно да се гарантира липсата им в материала с надеждност 1.0 поради спецификата на получаване на извадка от Интернет. Статистиката отразява процента на откриване на вирусни екземпляри в произволен момент от времетоот фазата на тяхното разпространениеине можеда характеризираокончателнотокачество на откриване на вируси от всеки конкретен продукт, което несъмнено е по-високо.
Hardcore conf в C++. Каним само професионалисти.