Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
02.02.2004 - Martin LEPIŠ - AV spoločnosti
Viete ako rýchlo zareagovali AV-spoločnosti na červ Win32/Mydoom.A?!

Začiatkom minulého týždňa sa na scéne škodlivých kódov objavil emailový červ Win32/Mydoom.A, ktorý do dnešných dní spôsobil jednu z najväčších masových epidémií akú sme mali možnosť zažiť v doterajšej histórii škodlivých kódov. Vyslúžil si nemalú pozornosť zo strany AV-odborníkov, používateľov i senzácie chtivých médií, ktoré sa oň začali zaujímať v okamihu, keď spoločnosti SCO Group a Microsoft vypísali odmenu za informácie vedúce k odhaleniu autora/autorov obidvoch variantov. Nás s odstupom času opäť zaujímalo to, ako rýchlo dokázali na príchod tohto červa zareagovať jednotlivé AV-spoločnosti, vychádzajúc pritom zo zistení Andreasa Marxa. Ten rovnako ako pred týždňom vykonal rozsiahlejší monitoring aktuálneho stavu v čase objavenia sa červa Win32/Mydoom.A (t.j. v podvečerných hodinách dňa 26.01.2004) a následne všetky získané informácie zverejnil na web serveri PC-Weld.de, v článku nazvanom "MyDoom.A - Wie schnell reagierten die AV-Hersteller?".

Pre lepšie pochopenie výsledkov uvedených nižšie je potrebné povedať si pár slov o červovi Win32/Mydoom.A. Ten pozostáva z dvoch samostatných častí. Prvú časť tvorí výkonný kód červa, ktorý sa stará o jeho integráciu do systému, vyhľadávanie a generovanie nových – náhodných emailových adries, o vytváranie a hromadné rozposielanie emailových správ, vykonávanie DDoS (Distributed Denial of Service) útoku proti web serveru spoločnosti SCO Group. Druhú časť tvorí relatívne malý backdoor, ktorý v infikovanom systéme načúva na vybraných sieťových portoch a očakáva príkazy prichádzajúce od vzdialeného útočníka. Životnosť červa je v tomto prípade obmedzená a končí sa dňa 12.2.2004, avšak životnosť backdooru nie je časovo obmedzená a skončí sa až elimináciou jeho zdrojového súboru zo systému.
Pána Andresa Marxa práve z tohto dôvodu pri jeho monitoringu zaujímalo, ako rýchlo dokázali jednotlivé AV-spoločnosti doplniť adekvátne vzorky umožňujúce AV-systémom identifikovať nielen výkonný kód červa, ale aj jeho integrovaný a tiež dosť nebezpečný backdoor komponent. Nasleduje teda prehľad AV-spoločností, resp. ich AV-systémov podľa doby vydania aktualizácie schopnej identifikovať emailový červ Win32/Mydoom.A a v ňom integrovaný backdoor (zdroj: PC-Welt.de & Andreas Marx).

Názov AV-systémuIdentifikácia červaIdentifikácia backdooru
McAfee (Beta)26.01.2004 (22:20)26.01.2004 (23:15)
Symantec (Beta)26.01.2004 (23:00)27.01.2004 (00:35)
F-Prot26.01.2004 (23:30)27.01.2004 (19:15)
Trend Micro26.01.2004 (23:35)26.01.2004 (23:35)
RAV27.01.2004 (00:00)27.01.2004 (04:10)
Norman27.01.2004 (00:05)27.01.2004 (09:05)
F-Secure27.01.2004 (00:05)27.01.2004 (13:05)
VirusBuster27.01.2004 (00:05)27.01.2004 (00:05)
AVG27.01.2004 (00:15)27.01.2004 (00:15)
Avast!27.01.2004 (00:15)28.01.2004 (17:00)
Kaspersky27.01.2004 (00:30)27.01.2004 (04:35)
AntiVir 27.01.2004 (00:30)27.01.2004 (12:35)
Symantec27.01.2004 (01:05)27.01.2004 (04:35)
InoculateIT-CA27.01.2004 (01:20)27.01.2004 (01:20)
Command27.01.2004 (01:20)28.01.2004 (18:25)
A227.01.2004 (01:30)28.01.2004 (19:40)
Sophos27.01.2004 (01:40)27.01.2004 (01:40)
InoculateIT-Vet27.01.2004 (02:30)27.01.2004 (02:30)
Esafe27.01.2004 (02:50)27.01.2004 (02:50)
Dr. Web27.01.2004 (03:40)27.01.2004 (04:10)
Panda (Beta)27.01.2004 (04:10)27.01.2004 (05:15)
McAfee27.01.2004 (05:00)27.01.2004 (05:00)
Quickheal27.01.2004 (05:00)27.01.2004 (05:50)
Bitdefender27.01.2004 (05:00)27.01.2004 (05:00)
Panda27.01.2004 (05:10)27.01.2004 (06:00)
Ikarus27.01.2004 (09:35)?

V uvedených výsledkoch je možné povšimnúť si prítomnosť reťazca "(Beta)" označujúci predbežne vydanú aktualizáciu, ktorá síce nemusí byť absolútne presná, no používateľom už poskytuje ochranu pred šíriacim sa škodlivým kódom. Povšimnutia hodnou maličkosťou je aj to, že viaceré AV-spoločnosti pridali identifikáciu integrovaného backdooru do pár hodín, zatiaľ čo iným to trvalo viac ako desať či dokonca dvadsaťštyri hodín! Toto porovnanie a porovnanie zverejnené pred časom v súvislosti s červom Win32/Bagle je zároveň jasným dôkazom toho, že každá AV-spoločnosť dokáže reagovať na objavenie sa nových škodlivých kódov raz promptne a inokedy zase oneskorene. Vždy to záleží od jej schopnosti získať potrebnú vzorku a od pracovníka, ktorý vykonáva analýzu vzorky a následnú integráciu identifikačnej vzorky do databázy vírusových reťazcov. Na základe tohto faktoru preto nie je vhodné, aby používatelia porovnávali kvalitu jednotlivých AV-systémov, i keď nemožno ho v žiadnom prípade úplne prehliadať a ignorovať. Najmä nie v takýchto prípadoch ako je práve tento, kedy sa novoobjavený emailový červ šíri nadmieru intenzívne medzi používateľmi už takmer celý týždeň.

Zarážajúce pritom na celej tejto situácii je, že mnohí tvorcovia AV-systémov sa spoliehajú stále na identifikáciu škodlivých kódov prostredníctvom databázy vírusových vzoriek a len máloktorí z nich pri tvorbe nových verzií svojich AV-systémov vytvárajú nové algoritmy schopné identifikovať počítačové vírusy, červy a trójske kone naprogramované vo vyšších programovacích jazykoch. To je jeden z hlavných dôvodov, prečo sú heuristické analyzátory implementované v AV-systémoch schopné zachytiť len škodlivé kódy vytvorené pre staršie OS MS DOS i MS Windows. Otázkou je, ako dlho bude "baviť" používateľov pri objavení sa každého novo a masovo sa šíriaceho internetového alebo emailového červa vykonávať aktualizáciu používaného AV-systému. V kuloároch sa totiž objavili prvé – neoficiálne informácie o tom, že nový OS MS LongHorn bude mať pravdepodobne na úrovni svojho jadra implementovanú výkonnú heuristiku doplnenú o samostatný AV-systém z produkcie Microsoftu... .



Súvisiace články:
26.01.2004  Viete ako rýchlo zareagovali AV-spoločnosti na červ Win32/Bagle?! - AV spoločnosti


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.