Ассоциация по разработке стандартов в области электротехнической и электронной инженерии (IEEE-SA) опубликовала схему xml для представления данных о вредоносных и потенциально опасных объектах.

Новый стандарт призван повысить эффективность анализа, обработки и распространения информации об интернет-угрозах, а также ускорить развертывание релевантной защиты. Схема обладает большой гибкостью и позволяет ранжировать угрозы по степени значимости. Ее уже взяли на вооружение ведущие изготовители антивирусных решений. Разработчики, интернет-провайдеры, правоохранительные органы, испытатели и прочие специалисты могут ознакомиться с ней и бесплатно скачать на сайте Группы по стандартизации средств компьютерной безопасности (ICSG) IEEE-SA.

ICSG () была сформирована в 2009 году в целях объединения опыта и ресурсов для борьбы с растущими интернет-угрозами. В настоящее время в ее состав входят представители 15-ти организаций. Группа принимала непосредственное участие в разработке вышеназванной xml-схемы и приступила к упорядочению нормативов и дефиниций, касающихся программ-упаковщиков, которыми пользуются как разработчики легального ПО, так и вирусописатели. Активисты также планируют обобщить требования к безопасности приложений и облачных вычислений, а также к протоколам управления привилегиями доступа. «Лаборатория Касперского» входит в (http://standards.ieee.org/prod-serv/indconn/faq.html#8) в Рабочую группу по вредоносным программам (Malware Working Group).

SANS открыл онлайн-доступ к библиотеке хэшей «белых» файлов, пополняемой американским институтом стандартов и технологий (National Institute of Standards and Technology, NIST).

По словам экспертов, ресурсом NIST NSRL (National Software Reference Library) нередко пользуются вирусные аналитики. Однако эти списки неудобны в использовании, так как предоставляются в виде больших массивов для скачивания или подписными изданиями на CD-дисках, и проверить единственный хэш совсем не просто. Теперь это можно сделать на сайте ISC SANS, воспользовавшись поисковым инструментом. Искать можно по sha1-/md5-хэшу или по имени файла.

Ресурс также поддерживает поиск по базе зловредов, которую ведет команда Team Cymru, но пока только в системе md5. Поисковый механизм запущен в режиме бета-тестирования. В настоящее время хэш-реестр насчитывает около 40 млн. записей. Эксперты планируют дополнить его собственной коллекцией и другими аналогичными поступлениями, которые приветствуются. Начат импорт файлов Windows XP Professional SP3, информация по Windows 7 пока отсутствует.

Конкурс «обфускации» вредоносного кода под названием Race to Zero, который должен пройти на хакерской конференции Defcon в августе этого года, уже вызвал жаркие споры.

Как мне кажется, любое действие либо этично, либо неэтично... и я убежден, что «ради удовольствия» создавать новый вредоносный код, способный обойти антивирусную защиту, неэтично.

Мы — антивирусные эксперты — всегда против создания вредоносного кода по каким бы то ни было причинам. Единственным разумным оправданием создания вредоносного ПО в тестовых целях когда-то можно было считать следующий аргумент: «нам надо создать новые варианты кода, чтобы подробно изучить способы атаки».

Но ребята, давайте смотреть правде в глаза: сегодня мы сталкиваемся с тысячами новых вариантов вредоносных программ. У нас более чем достаточно «живого» вредоносного кода, пригодного для анализа и изучения с целью улучшения технологий защиты от вредоносного ПО. Поэтому, даже если этот аргумент когда-то можно было принять: «ну, может быть, только один раз, ничего страшного, если уж так надо», то в 2008 году он уже НЕ может быть оправдан.

Утверждение, что «сигнатурный антивирус умер, надо искать эвристические, статистические и поведенческие методы обнаружения новых угроз» — это просто дешевый пропагандистский трюк. Уже несколько лет никто — вообще никто — в антивирусной индустрии не рассчитывает только на сигнатурные методы. А звучит заявление авторов «конкурса» так, словно большинство антивирусных сканеров провалят их «тесты», потому что обойти сигнатурные сканеры и статические эвристики не проблема.

Для тысяч электронных мошенников посыл ясен: «даёшь обфускацию кода!» Этот «конкурс» стимулирует их к поиску и разработке новых технологий обфускации. А поскольку они и так этим занимаются, то они просто еще поднажмут. Благодарности за это от нас вы не услышите: антивирусным лабораториям такой стимул не нужен, им и так есть чем заняться.

Наиболее позитивно настроенные граждане называют этот «конкурс» формой тестирования продуктов. Неверно!

Тестирование антивирусных продуктов, как и любое другое тестирование ПО, осуществляется профессионалами, такими как, например, Андреас Клементи, Андреас Маркс или редакция Virus Bulletin на основе справедливых, этичных и научно-обоснованных правил. Вот так всё делается в приличных антивирусных кругах.

«Конкурс» Race to Zero/DefCon:

• Проводится НЕ профессиональными тестерами — без комментария
• НЕ основан на справедливых правилах — до сих пор никаких публичных контактов с производителями антивирусного ПО не наблюдалось
• НЕ имеет научной основы — описание тестового стенда отсутствует как таковое
• И последнее — по порядку, но не по значению. Это НЕЭТИЧНО на все 100%. Писать вредоносное ПО — преступление. Вот и все.

Наконец, как насчет Федерального закона США о компьютерных преступлениях? И других законодательных актов? Этот «конкурс» вообще законно проводить на территории США? Агентство, отвечающее за борьбу с электронной преступностью, в курсе?

В общем, всё сводится к следующему: нужны ли публичные и неструктурированные «конкурсы тестирования» преступных технологий, проводимые людьми без соответствующей квалификации и репутации? Может быть, стоит провести «конкурс» ограбления банка в реальной среде для проверки банковских систем безопасности? Или «пробную» раздачу наркотиков в школах, чтобы проверить работу наркополиции?

До абсурда можно довести что угодно — в том числе анализ кода. Давайте вздохнем поглубже и займемся разработкой технологий защиты, а не «модификацией вредоносного кода ради удовольствия»!

Когда-то давно, еще во времена СССР, на мой компьютер, Olivetti M24, попал вирус. Так началась моя антивирусная карьера.

В результате того случая в сентябре (или октябре?) 1989 года в мою первую утилиту для борьбы с компьютерными вирусами был добавлен самый первый детекшен. Анализ кода и разработка алгоритмов защиты стали для меня настоящим вызовом. Это было нечто новое, неизведанное, и тогда я и не предполагал, насколько серьезно все станет через 15 лет.

Теперь есть целая индустрия, в которой тысячи людей заняты разработкой анти-* программ (включая сотни в моей собственной компании). А прошлой ночью мы перешли очередной рубеж — добавили в наши антивирусные базы 200000-ную запись. Мир жесток... Двести тысяч антивирусных сигнатур! И число продолжает увеличиваться — с ночи мы успели добраться до 200157 записей.

Иногда пользователи спрашивают нас, не собираемся ли мы удалять из своих антивирусных баз детекшены старых загрузочных и DOS-вирусов, а также более неработоспособных Trojan-Downloader.

В настоящее время мы не планируем ничего удалять из наших баз. Это приведет к снижению полноты детектирования, а выигрыш в производительности антивируса в результате подобного удаления весьма незначителен — менее 5%.

Конечно, в наши дни риск заразиться, например, Michaelangelo весьма невелик, но все-таки он существует. Поэтому пока, от греха подальше, мы будем продолжать детектировать старые DOS-вирусы и «мертвые» троянские загрузчики.

Возможно, вы уже слышали о развернувшихся в последние дни спорах вокруг скорости реакции отдельных антивирусных компаний.

Как и втянутые в споры компании, мы считаем, что скорость реакции на появление новых угроз и частота выпуска обновлений играют огромную роль в предотвращении эпидемий и защите наших пользователей.

По этой причине мы ежечасно выпускаем обновления антивирусных баз, вне зависимости от того, как оценивается текущая вирусная ситуация прессой. Так мы обеспечиваем нашим пользователям защиту от более 200 ежедневно появляющихся новых вредоносных программ.

Хоть скорость нашей реакции и не участвует в указанных выше спорах, мы заслуженно считаем себя лидерами в этой области. А в конечном итоге нашим пользователям важно именно это.

Заявление финских антивирусных разработчиков F-Secure о том, что они способны реагировать на новые угрозы быстрее, чем кто-либо из конкурентов, вызвало возмущенную реакцию со стороны других вендоров, сообщает сайт vnunet.com. «Symantec реагирует в течение приблизительно 9 часов, McAfee — 10 часов. Поэтому мы легко их опережаем, мы заставляем больших парней опускать руки», — заявил недавно руководитель антивирусных исследований F-Secure Микко Хиппонен.

В McAfee заявление Хиппонена назвали хвастовством. «Микко Хиппонен очевидно специально выбирает удачные случаи из своей практики, а цифры, которые он приводит, получены из специфических источников. Некоторые из указанных угроз McAfee не относит к высокому или среднему риску и потому не выпускает для них экстренных DAT-файлов», — заявил пресс-секретарь McAfee Ник Боуман (Nick Bowman).

Согласно заявлению Хиппонена, среднее время, затрачиваемое его компанией на создание нового DAT-файла (файла с описанием вируса, по которому антивирусный сканер в дальнейшем будет выявлять вредоносные программы), составляет 2 часа 37 минут. «Среднее время нашей реакции, замеренное в Германии, в университете Магдебурга, — 2 часа 37 минут. Это время с момента обнаружения нового вируса до создания защиты от него», — утверждает Хиппонен.

«Это не совсем верно. Если F-Secure не получает образец вируса в течение 24 часов после того, как он уже есть в распоряжении McAfee, следует ли считать, что вирус не существовал до его появления у F-Secure? Например, McAfee и Symantec выявляют семейства вирусов, к которым не нужно выпускать дополнительные DAT-файлы. Если бы все мы находились в одинаковом положении, у Хиппонена был шанс. Но он выдергивает случаи, в которых наши пользователи надежно защищены безо всяких дополнительных релизов», — парирует Боуман.

Похоже, люди уже прослышали о наших свежих обновлениях — 1400 сигнатур вредоносных программ и порядка 25 новых упаковщиков добавлены в базы за предыдущую неделю — и спешат в магазины за нашими антивирусами.

Вот статистика, по которой можно оценить динамику добавления новых записей в антивирусные базы:

Итак, в конце января 2005 года вышло последнее кумулятивное обновление антивирусных баз. Что дает пользователям отказ от кумулятивных обновлений?

• Значительное снижение объема перевыпускаемых антивирусных баз. Если раньше в случае крайней необходимости перевыпускалась полная антивирусная база, то теперь - лишь небольшая ее часть порядка 50КБ.
  
• Увеличена скорость внесения изменений в антивирусные базы. Если раньше для внесения некоторых изменений приходилось ждать кумулятивного апдейта, то теперь изменения могут быть выпущены сразу, в составе обыкновенного обновления.

В заключение отметим, что все указанные улучшения доступны только тем пользователям, которые пользуются встроенным в продукты модулем Kaspersky Updater.

Несмотря на предпринимаемые индустрией меры, с развитием интернета количество вредоносных компьютерных программ из года в год лишь увеличивается, о чем наглядно свидетельствует статистика добавления новых записей в сигнатурные базы данных Антивируса Касперского.

Четко прослеживается неутешительная тенденция роста количества всевозможных вредоносных программ. Можно с достаточно высокой уверенностью прогнозировать, что и в последующие годы количество ежегодно детектируемых вирусов, червей, троянских и иных вредоносных программ будет расти.

В ближайшее время мы надеемся представить вашему вниманию развернутый аналитический материал по статистике обновления антивирусных баз за последние годы.