Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
2004-01-26 14:45:00 - Martin LEPIŠ - AV spoločnosti
Viete ako rýchlo zareagovali AV-spoločnosti na červ Win32/Bagle?!

V okamihu, keď sa na Internete objaví masovo sa šíriaci škodlivý kód je väčšinou len otázkou času, kedy dorazí jeho prvá kópia do emailových schránok nič netušiacich používateľov. Pre AV-spoločnosti by preto získanie vzorky určenej pre počiatočnú analýzu nemalo byť žiadnym problémom. Ďalej je to už len hra o čas, kedy treba vytvoriť identifikačný reťazec, priebežne ho otestovať, vylúčiť možnosť vzniku falošných poplachov a zverejniť novú aktualizáciu. Pokiaľ všetko prebehne bez komplikácií mal by mať používateľ aktualizáciu k dispozícii skôr, než sa k nemu stihne dostať škodlivý kód. To ako rýchlo dokážu na takéto situácie zareagovať AV-spoločnosti sa snažil zistiť a vyhodnotiť Andreas Marx.
Cieľom jeho monitoringu bolo zistiť, ako rýchlo/pomaly dokázali zareagovať na príchod emailového červa Win32/Bagle významnejšie AV-spoločnosti, ktorých produkty používa väčšina používateľov Internetu. Získané informácie následne zverejnil na serveri PC-Weld.de, v článku nazvanom "Bagle und Xombe: Reaktionszeiten der AV-Hersteller". Len pre úplnosť dodajme, že uvedený článok pojednáva aj o reakciách AV-spoločností na príchod trójskeho koňa Xombe, začiatkom januára 2004. Nás z čisto ukážkového dôvodu zaujali len informácie týkajúce sa emailového červa Win32/Bagle.

Ako už bolo spomenuté v úvode, každá AV-spoločnosť by sa mala vedieť dostať k vzorke nového škodlivého kódu bez väčších problémov, čo v najkratšom čase. Ak sa jej to nepodarí za použitia vlastných zdrojov môže vzorku získať cez systémy REVS (Rapid Exchange of Virus Samples) alebo AVED (Anti-Virus Emergency Discussion Network). Tie slúžia pre AV-spoločnosti a ich pracovníkov ako špeciálne komunikačné kanály, prostredníctvom ktorých si medzi sebou môžu vymieňať vzorky nových škodlivých kódov, komunikovať pri ich analýze a poskytovať si obojstranne dôležité informácie. I napriek tomu, že sa jedná o vzájomne si konkurujúce strany v tejto oblasti sa k sebe správajú nadmieru priateľsky. V okamihu získania vzorky môže nastúpiť na rad jej analýza, na základe ktorej je vytvorená identifikačná vzorka integrovaná do databázy vírusových reťazcov. Každá vzorka sa však pred zverejnením musí priebežne otestovať, čím sa vylúči možnosť vzniku falošných poplachov pri kontrole náhodných – neinfikovaných objektov. Pokiaľ všetky tieto procesy prebehnú bez väčších komplikácií začne AV-spoločnosť umiestňovať na svoje aktualizačné serveri inovovanú databázu vírusových reťazcov. Tým získa používateľ možnosť zaktualizovať svoj AV-systém a zabezpečiť svoj systém pred šíriacim sa škodlivým kódom. V tomto prípade treba brať do úvahy aj fakt, že proces získania vzorky, jej analýza, následné testovanie a tiež reakcia používateľov na dostupnosť novej aktualizácie trvá nejaký ten čas, ktorý "hrá do kariet" šíriacemu sa škodlivému kódu.

Na základe monitorovania uskutočneného Andreasom Marxom je možné aspoň názorne nahliadnuť na to, ako rýchlo dokázalo zareagovať 22 AV-spoločností na príchod emailové červa Win32/Bagle. Ten sa objavil dňa 18.1.2004 (t.j. v nedeľu) predpoludním, pričom najintenzívnejšia fáza jeho šírenia nastala až o deň neskôr počas doobedia (t.j. v pondelok), keď väčšina používateľov Internetu začala otvárať svoje novoprijaté emailové správy. Nasleduje teda prehľad AV-spoločností, resp. ich AV-systémov podľa doby (t.j. dátumu a približného času) vydania aktualizácie schopnej identifikovať emailový červ Win32/Bagle (zdroj: PC-Welt.de & Andreas Marx).

- BitDefender ... 18.1.2004 (14:00)
- Kaspersky ... 18.1.2004 (14:50)
- RAV ... 18.1.2004 (20:35)
- AntiVir PE ... 18.1.2004 (23:40)
- e-Safe ... 18.1.2004 (23:45)
- F-Secure 19.1.2004 (00:15)
- F-Prot ... 19.1.2004 (01:45)
- Sophos ... 19.1.2004 (03:00)
- Trend Micro ... 19.1.2004 (03:00)
- Symantec ... 19.1.2004 (06:05)
- McAfee ... 19.1.2004 (06:20)
- Dr. Web32 ... 19.1.2004 (06:50)
- InoculateIT-Vet ... 19.1.2004 (07:35)
- Quickheal ... 19.1.2004 (08:40)
- Panda ... 19.1.2004 (09:20)
- InoculateIT-CA ... 19.1.2004 (09:50)
- Avast! ... 19.1.2004 (09:55)
- Norman ... 19.1.2004 (10:30)
- AVG ... 19.1.2004 (10:30)
- Command ... 19.1.2004 (11:25)
- VirusBuster ... 19.1.2004 (11:30)
- Ikarus ... 19.1.2004 (13:00)
- A2 ... 19.1.2004 (18:20)

Ako je možné vidieť, rozdiely medzi reakciami jednotlivých AV-spoločností sú stále značné. Každý dočasne nezabezpečený systém (... bez ohľadu na to, či sa jedná o emailový server alebo lokálnu stanicu) dáva masovo sa šíriacemu škodlivému kódu možnosť "preniknúť" do väčšieho počtu emailových schránok a následne spôsobiť vznik masovej epidémie. Našťastie tá, ktorú predviedol emailový červ Win32/Bagle by sa dala označiť pojmom "bublina", nakoľko tak rýchlo ako sa začala aj utíchla (... približne po 72 hodinách od objavenia sa červa).

Záver z toho celého nie je príliš potešujúci, nakoľko možno konštatovať len to, že pokiaľ nebude na úrovni AV-systémov implementovaná dostatočne účinná heuristická analýza schopná identifikovať veľké percento klasických emailových červov (... fungujúcich navzájom veľmi podobne) budú sa používatelia počítačov musieť v istých okamihoch spoliehať pri čítaní nových emailových správ od neznámych odosielateľov (... i otváraní ich príloh) len na vlastný úsudok a dúfať, že AV-spoločnosť, ktorej produkt používajú vydá aktualizáciu vždy skôr, než sa k nim stihne dostať nový emailový červ.

Na margo prezentovaných informácií sa oplatí spomenúť ešte jedna zaujímavosť týkajúca sa slovenského AV-systému NOD32 (... ktorý chýba vo vyššie uvedenom prehľade). Ten má ako jeden z mála AV-systémov implementovanú na úrovni svojho emailového skenera rozšírenú heuristickú analýzu. Jej účinnosť si používatelia mali možnosť overiť v minulosti už viackrát, pričom ich podľa dostupných informácií nesklamala ani v prípade výskytu červa Win32/Bagle. Jeho prítomnosť v prijímaných emailových správach dokázala rozšírená heuristika rozpoznať bez nutnosti okamžitej aktualizácie databázy vírusových reťazcov, čím vlastne chránila používateľov počítačov pred novým škodlivým kódom od momentu jeho vzniku. (!)Súvisiace články:
2004-02-02 09:35:00  Viete ako rýchlo zareagovali AV-spoločnosti na červ Win32/Mydoom.A?! - AV spoločnosti


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.