Цифра месяца: 70K. Ежедневно.

Наша служба и опасна и трудна. А ещё очень сложна. Простому смертному трудно понять все тонкости работы антивирусной компании. А нам ох как хочется о них рассказать! Так что мы по мере сил стараемся переводить их на человеческий язык. А вершина этого айсберга – свод цифр и фактов, которые иллюстрируют эту службу.

Например, вот такая любопытная инфографика:

Ещё много интересной инфографики здесь.

Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?«.

Вопрос на самом деле нетривиальный, но что делать — нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.

Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.

Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.

Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!

Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.

Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности).  Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.

Компьютеры-участники KSN (а их сейчас больше 50 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.

Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

Ещё пример.

Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.

Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!

Но на этом работа наших авто-дятлов не заканчивается.

Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.

Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.

Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?

Больная тема.

Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.

Ну, это тема для отдельного рассказа.

И напоследок. Ещё наши дятлы бывают вот такими:

 

 

 

 

 

 

 

 

И даже #kozmo-дятел:

Фото Георгий Малец

Кстати, если у кого есть ещё всяких прикольных дятлов — давайте ссылки в коментах или присылайте сюда. Буду регулярно апдейтить коллекцию.

Всем пока!

Прочитать комментарии 12
Комментарии 6 Оставить заметку

    Илья

    А вы как-нибудь боретесь с триал ресеторами и их распостранением?

    e_kaspersky

    Не очень. По простой причине. — Всё равно найдут как хакнуть — и хакнут (любой софт можно хакнуть, если к нему не прилагается «правильная» железка). Посему мы вполне довольны тем, что далеко немногие пользуются триал-ресеторами, поскольку они иногда оказываются новыми троянами, которых мы пока не успели отловить. Так что… ломайте. Но на свой страх и риск.

    Dmitry Myachin

    Вирусов? :)

    e_kaspersky

    Если бы МЫ разрабатывали вирусы, то Интернета давно бы не было. И так же давно мы бы отбывали свои прегрешения либо в Забайкайле, либо в американских, в британских, или других аналогичных «пансионатах».

    Сегодня я добрый. Обычно я за такие намёки отправляю в пожизненный бан с гвоздями.

    Dmitry Myachin

    Ммм, у Вас ложное срабатывание троллинга случилось, я свой :) Говоря «вирусов» я намекнул, что не использовалось слово «зловред» или «вредонос». Прошу прощения за то, что ввел в заблуждение.

    0

    Dmitry Myachin

    А, кстати, раз уж речь зашла за заразу от антивирусных вендоров. Чем закончилась история с NetQin?

    0
Обратные ссылки 6

Фичи невидимого фронта-3. | Nota Bene

Предсказания в вирусологии или Сейфбокс для вируса. | Nota Bene

Толпотворение. | Nota Bene

Найти всё. Или Сено и Иголки. | Nota Bene

Чем опасны бесплатные антивирусы | Спасаем мир словом | Официальный русский блог Лаборатории Касперского

Что нового в Kaspersky Internet Security 2015? | Nota Bene: официальный блог Евгения Касперского

Оставить заметку