...Точнее не вирусов а записей в вирусной базе. Хотя они как бы намекают — сколько записей в базе столько и вирусов.
В середине 2007 г в базе было 350 тыс. вирусов.
В начале 2009 уже 1.5 миллиона. За полтора года появилось вирусов в 5 раз больше чем за всю историю IT индустрии до 2007 года? А сейчас в базе уже 2.3 миллиона записей. За первые 5 месяцев этого года +700 тыс.
Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
Кроме того из-за этого Каспер жрет все больше и больше ресурсов. Это хорошо что еще писатели вирусов уважают закон Мура
А что было бы если бы такое число вирусов появилось лет 8 назад, никакой компьютер не потянул бы нынешнего Каспера со всеми его базами.
В чем причины такого разбухания?:
— Число писателей вирусов увеличилось?
— Прогресс дошел до автоматизированых систем написания вирусов. Либо небольшое число одних и тех же вирусов мутирут до неузнаванемости(в огромное число форм).
— Или это конкурентная борьба контор продающих антивирусы — набивают антивирусные базы чем попало (мусором) лишь бы база получилась больше чем у конкурентов?
Или даже сами штампуют вирусы чтобы было чем базы забивать, т.к. заполнять базы мусором нехорошо. По крайней мере в их базах такие вирусы появятся уж точно раньше и с меньшими усилиями, чем у конкурентов.
Дальше пухнуть базам уже некуда. Если это продолжится лучше плюнуть на все — от вирусов наверное меньше вреда на компе, чем от Каспера. Зачем такой антивирус если он при загрузке компа 0.5 Гига будет с винта в ОЗУ подгружать? Скорость работы винчестеров что-то не очень растет (в отличае от объема).
Если дело в различных формах(мутациях) мальнького числа вирусов (ни за что не поверю,что за 5 месяцев этого года было сознано 700 тыс. новых уникальных вирусов ), то что-то в Каспер лаб криво делают.
Если для каждой формы мутации вируса делать запись в базе и подвешивать ее в ОЗУ, то без проблем можно базу и в 100 раз больше сделать пока юзер не загнется.
P.S. Что-то в этом деле с Каспером не чисто. Может они мухлюют или криво делают? В начале 2008 года попадались статьи с высказывания Касп., что ожидается резкий рост числа вирусов — удвоение за короткое время. Угадал или обещание сдержал(сам наштамповал вирусов сколько обещал) или антивируснике базы мусором забил?
Здравствуйте, Silver_s, Вы писали:
S_> ...Точнее не вирусов а записей в вирусной базе. Хотя они как бы намекают — сколько записей в базе столько и вирусов.
Он ищет не только вирусы, а еще и «уязвимости в ПО». Этих уязвимостей в каждой версии оффиса или там QuickTime — десятки и сотни. Само собой, они их не сами ищут, а берут готовые репорты.
Чем, собственно, занимается хвалёный эвристический анализатор? Или как его там.
Сильно сомневаюсь что появляющиеся сейчас вирусы принципиально отличны от появлявшихся лет пять назад, но без добавления в базу их всё равно не находят.
Хотя я в этом вопросе не спец, может кто объяснит?
Silver_s написав(ла): > А что было бы если бы такое число вирусов появилось лет 8 назад, никакой > компьютер не потянул бы нынешнего Каспера со всеми его базами.
Я уже лет пять не видел вирусов вообще. Сплошняком трояны и червяки.
> В чем причины такого разбухания?: > — Число писателей вирусов увеличилось?
Да. Число писателей троянов увеличилось.
> — Прогресс дошел до автоматизированых систем написания вирусов. Либо > небольшое число одних и тех же вирусов мутирут до неузнаванемости(в > огромное число форм).
Вообще-то полиморфные вирусы были известны еще в прошлом веке.
> — Или это конкурентная борьба контор продающих антивирусы — набивают > антивирусные базы чем попало (мусором) лишь бы база получилась больше > чем у конкурентов?
Тут нужно понимать, что хранится в вирусных базах. На самом деле там не
вирусы, а сигнатуры вирусов. На один вирус/червь/троян их может быть не
одна штука.
> Или даже сами штампуют вирусы чтобы было чем базы забивать, т.к. > заполнять базы мусором нехорошо. По крайней мере в их базах такие вирусы > появятся уж точно раньше и с меньшими усилиями, чем у конкурентов.
Врядли. Скорее всего тут простой маркетинговый ход — сигнатуры вирусов
выдают за самостоятельные вирусы.
> Дальше пухнуть базам уже некуда. Если это продолжится лучше плюнуть на > все — от вирусов наверное меньше вреда на компе, чем от Каспера. Зачем
Ну, это давно было понятно. Вообще говоря концепция вирусов очень
изменилась. В первую пору это были произведения искусства, потом вирусы
использовались в качестве разрушения, сейчас, в основном, пишутся не
вирусы и даже не черви, а пишутся трояны в промышленных масштабах для
построения ботлнетов. Причем, что интересно, уровень написания упал
конкретно (индусов, чтоли, нанимают?). Трояны не прячутся, висят
отдельными процессами, запускаются из автозапуска винды, вычисляются на
раз по сетевой активности. Заразиться, если не лазишь по всяким
файлопомойкам и порнухе, практически, невозможно. Если уж заразился, то
вычистить их с компьютера — дело пяти минут для любого программиста.
Держать ради них Каспера — глупая затея.
Posted via RSDN NNTP Server 2.1 beta
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, Ромашка, Вы писали:
Р>Трояны не прячутся, висят Р>отдельными процессами, запускаются из автозапуска винды, вычисляются на Р>раз по сетевой активности.
Недавно столкнулся. Эта зараза:
— блокировала работы имеющегося антивируса
— пряталась, висела скрытыми процессами, меняла таблицы системных dll
— блокировала установку других антивирусов и программ
— сломала ntbackup и много чего еще
— подкачивала с инета другую заразу
Запарился ее убирать. В частности, чтобы просто AVZ запустить на этой машине пришлось скачивать из инета переименованную версию AVZ, потому что вирус просто удалял файлы содержащие в пути строки AVZ.
Р>Заразиться, если не лазишь по всяким Р>файлопомойкам и порнухе, практически, невозможно.
Встречал сайты (вполне нормальных — не помойка и порнуха), на который AVP ругался на счет вирусной активности.
Таких случаев было всего два. Однако ж — бывает
гы...
А Я когда то по молодости, вирус — небольшой троянчег написал, а его каспер добавил. А потом через года два достал сырцы из архива скомпилил, а каспер его забыл.
Забывчивый однако.
Здравствуйте, nen777w, Вы писали:
N>гы... N>А Я когда то по молодости, вирус — небольшой троянчег написал, а его каспер добавил. А потом через года два достал сырцы из архива скомпилил, а каспер его забыл. N>Забывчивый однако.
А как каспер про твой троянчег узнал?
UNIX way — это когда тебе вместо туалетной бумаги дают топор, рубанок и карту близлежащего леса
B>А как каспер про твой троянчег узнал?
Прислали ему Троянчег был чисто студнечиской работой Потом его выпилили, так как должного распространения он не получил
Никто не хотел его запускать Гы гы гы
Антивирусы сейчас — чистейшей воды разводилово, вреда от них куда больше чем от вирусов. Что касается вирусов, то за все время пользования ПК мой комп не разу не был заражен. Видел зараженные компы знакомых (в основном они тупо открывали все вложения в эл.почте), но куда больше видел "зараженные" вомпы касперычем: частенько с установленным касперским комп ни с того ни с сего вылетает в БСОД или выгружаются программы в процессе работы...
В общем кому нужен гимор — ставьте себе антивирусы!
HL>В общем кому нужен гимор — ставьте себе антивирусы!
согласен на 100. Не помню когда последний раз сталкивался с вирусом. Пару лет назад работал без антивируса около года. При постоянном подключениии к инету и естественно в AD. Когда потом поставил симантека, то он нашел в интернетовских временных файлах пару безобидных червей и все.
Здравствуйте, iHateLogins, Вы писали:
HL>В общем кому нужен гимор — ставьте себе антивирусы!
ну не знаю какой там гимор, но недавно очень был удручен словив какой то троян gifrate. Очень на нервы действует, когда у тебя в контекстном меню в нужную минуту получить прикрепленные файлы ну никак не получается, а получается видеть одни links...
вот подумал, как бы себя чуствовали граждане, если открыв файловый мнеджер и захотев переместить какой-нить файлик всместо этого обнаружили, что доступ им разрешен только не ссылки и даже немжесткие ссылки этих файлов и никаким образом с винта на винт файлы не переностятся
Буравчик написав(ла): > Недавно столкнулся. Эта зараза:
Из любого правила существуют исключения. Ну, наверное русские писали —
остальные не парятся, ламеров по миру пару миллионов наберется, а больше
и не нужно.
> Запарился ее убирать. В частности, чтобы просто AVZ запустить на этой > машине пришлось скачивать из инета переименованную версию AVZ, потому > что вирус просто удалял файлы содержащие в пути строки AVZ.
Я в таких случаях CureIt пользую, его удалять после проверки не нужно.
Posted via RSDN NNTP Server 2.1 beta
Всё, что нас не убивает, ещё горько об этом пожалеет.
Здравствуйте, nen777w, Вы писали:
N>гы... N>А Я когда то по молодости, вирус — небольшой троянчег написал, а его каспер добавил. А потом через года два достал сырцы из архива скомпилил, а каспер его забыл. N>Забывчивый однако.
Кстати да. Я как-то скачал одну утилиту в сырцах. Собрал VC++ 7.0. Каспер сразу разорался, что вирусы атакуют. Я тут же пересобрал той же студией подкрутив какие-то ключи оптимизации. Сразу перестал узнавать. Как это понимать?
Товарищи, Разбирающиеся в Вопросе, неужели в антивирусах нет ничего хитрее для этих целей чем поиск сигнатур?
Здравствуйте, iHateLogins, Вы писали:
HL>В общем кому нужен гимор — ставьте себе антивирусы!
А вот и злостный спамер! Он конечно этого и не знает, что давно является членом тайного общества Ботнэт
А если без шуток ... нужно же понимать, что грамотность юзеров она разная, и в большинстве случаев достаточно низкая.
Здравствуйте, Silver_s, Вы писали:
S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
1. Сначала отвечу на главный вопрос. Сразу предупреждаю, что это IMHO:
На данный момент злобными ламерами написано множество генераторов троянов и вирусов, т.е. Wizard'ов, которые может скачать и использовать даже самый последний чайник. Написать же полиморфный вирус этим ламерам не хватает умения, поэтому мутации происходят на стадии генерации. Часто отловить такие "мутации" авторам антивирусников не под силу, поэтому и на каждую сгенерированную версию вируса в базе заводится своя сигнатура.
2. А что касается различий между ламерами и хакерами (или "заинтересованными программистами" ), то советую покурить книгу "Энциклопедия преступлений и катастроф: Компьютерные террористы". Очень познавательно.
Здравствуйте, Silver_s, Вы писали:
S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
очень просто, кто-то пишет криптор/пакер, выкладывает его в шару. (это сейчас модно)
вирусописатели, тут пакуют им все свои "работы" (даже по несколько раз, если криптор с фичами мутации) и запускают в сеть по новой.
это только 1 вариант.
есть ещё коммерческие вирусы, их специально делают до нескольких тысяч вариантов, и забрасывают этими копиями антивирусные конторы, и пока те разбираются, одна единственная нужная копия в этой толпе делает свое дело
Здравствуйте, BluntBlind, Вы писали:
BB>А вот и злостный спамер! Он конечно этого и не знает, что давно является членом тайного общества Ботнэт BB>А если без шуток ... нужно же понимать, что грамотность юзеров она разная, и в большинстве случаев достаточно низкая.
Малограмотному юзеру антивирус против троянов так же эффективен, как человеку, который никогда не моет руки перед едой, еженедельный анализ на глисты с последующим лечением.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Здравствуйте, Ромашка, Вы писали:
Р>Я уже лет пять не видел вирусов вообще. Сплошняком трояны и червяки.
Я вычистил касперсиим вирус буквально месяца 2 назад.
Классический вирус, поражающий exe-шники.
Р>пишутся трояны в промышленных масштабах для Р>построения ботлнетов.
Позвольте полюбопытствовать, ботлнет — эт чего?
Бутылочная сеть?
Здравствуйте, Ромашка, Вы писали:
Р>Трояны не прячутся, висят Р>отдельными процессами, запускаются из автозапуска винды, вычисляются на Р>раз по сетевой активности. Заразиться, если не лазишь по всяким Р>файлопомойкам и порнухе, практически, невозможно. Если уж заразился, то Р>вычистить их с компьютера — дело пяти минут для любого программиста. Р>Держать ради них Каспера — глупая затея.
Те трояны что мне попадались — в основном не висят отдельными процессами,
а довольно хорошо маскируются. Загружаются как драйверы и делают файл драйвера невидимым
для пользовательского режима.
То что заразиться можно только на помойках и порнухе тоже неправда.
Даже безобидные с виду сайты могут быть заражены.
К тому же случаются прямые атаки из инета на уязвимости компа.
Раньше действительно было так: заметил подозрительную активность —
посмотрел реестр, temp, system32 — подчистил руками.
Сейчас такое уже невозможно.
Здравствуйте, R.O. Prokopiev, Вы писали:
Р>>пишутся трояны в промышленных масштабах для Р>>построения ботлнетов. ROP>Позвольте полюбопытствовать, ботлнет — эт чего? ROP>Бутылочная сеть?
Видимо сеть зараженных трояном бомжей, собирающих бутылки.
Здравствуйте, iHateLogins, Вы писали:
HL>Антивирусы сейчас — чистейшей воды разводилово, вреда от них куда больше чем от вирусов. Что касается вирусов, то за все время пользования ПК мой комп не разу не был заражен.
Не «ни разу не был заражен», а «я ни разу не заметил ничего подозрительного». Тысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS, что для тебя будет выглядеть всего лишь как «ой, что-то комп заглючил, наверное вот эта программа что я вчера поставил — баговая».
Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с твоего компа не отсылается шестой со спамом?
Здравствуйте, Silver_s, Вы писали:
S_> ...Точнее не вирусов а записей в вирусной базе. Хотя они как бы намекают — сколько записей в базе столько и вирусов. S_>В середине 2007 г в базе было 350 тыс. вирусов. S_>В начале 2009 уже 1.5 миллиона. За полтора года появилось вирусов в 5 раз больше чем за всю историю IT индустрии до 2007 года? А сейчас в базе уже 2.3 миллиона записей. За первые 5 месяцев этого года +700 тыс. S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
Большинство вирусов заносится в базу автоматом. Я как то послал им пару свежих вирусов, в тот же день в обновлениях появились записи.
S_> — Число писателей вирусов увеличилось?
Количество вирусов сейчас растет нелинейно и опережает возможности антивирусов. Уже давно это бизнес.
S_> — Прогресс дошел до автоматизированых систем написания вирусов. Либо небольшое число одних и тех же вирусов мутирут до неузнаванемости(в огромное число форм).
Есть и автоматизированые системы написания вирусов. Перечень всего того, что умеют боты-черви-трояны постоянно растёт не по детски.
S_>P.S. Что-то в этом деле с Каспером не чисто. Может они мухлюют или криво делают? В начале 2008 года попадались статьи с высказывания Касп., что ожидается резкий рост числа вирусов — удвоение за короткое время. Угадал или обещание сдержал(сам наштамповал вирусов сколько обещал) или антивируснике базы мусором забил?
Не только он это прогнозировал. Его прогнозы вобщем то довольно оптимистичные.
Здравствуйте, Sealcon190, Вы писали:
S>Сильно сомневаюсь что появляющиеся сейчас вирусы принципиально отличны от появлявшихся лет пять назад, но без добавления в базу их всё равно не находят.
В том то и дло, что принципиально отличные. Кажоде поколение умеет чтото новое и всё глубже и глубже влазит в систему.
Здравствуйте, Буравчик, Вы писали:
Б>Встречал сайты (вполне нормальных — не помойка и порнуха), на который AVP ругался на счет вирусной активности. Б>Таких случаев было всего два. Однако ж — бывает
форумы домохозяек, подростков и тд вобщем то тоже самое.
Здравствуйте, Кодёнок, Вы писали: Кё>ысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS...
Во во! В последнее время взламывают в основном аську, аккаунт в контакте... и люди так и не лечатся, их это не напрягает, что с их компьютера лезет спам. Вот локальная сеть общежития айтишников это настоящий расплодник вирусов помнится... Любой экзешник скачанный с сети нужно было перепроверять, ставить фаерволл, регулярно проверять критические области на вирусы и мониторить Диспетчер задач от левых процессов. Хочешь не хочешь, а начинаешь в этом деле разбираться... Когда при запуске свежескачанной екзешки поражаются все екзешки компьютера и приохится переустанавливать ОС, так как после лечения половина программ на работает. Или когда сеть загружена на 75% без причины — какой то червь разсылает себя по подсетям..
Всегда сидел с Касперским, всегда выручал меня) Сканирование жесткого диска я отключал всегда, оно не нужно если нету дыр в ОС или есть фаерволл. Лучше раз в месяц поставить на полную проверку чем что бы каждый день проверялись все файлы и жутко тормозило. Проверяется у меня только сьемные носители и интернет траффик. Редко встречал зараженные сайты. Но в последнее время у Каспера все ключи в черном списке, сижу без антивиря.
Здравствуйте, Кодёнок, Вы писали:
HL>>Антивирусы сейчас — чистейшей воды разводилово, вреда от них куда больше чем от вирусов. Что касается вирусов, то за все время пользования ПК мой комп не разу не был заражен.
Кё>Не «ни разу не был заражен», а «я ни разу не заметил ничего подозрительного». Тысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS, что для тебя будет выглядеть всего лишь как «ой, что-то комп заглючил, наверное вот эта программа что я вчера поставил — баговая».
Трафик мониторить я всё-таки умею, да и говнософт из инета не качаю.
Здравствуйте, Кодёнок, Вы писали:
HL>>Трафик мониторить я всё-таки умею, да и говнософт из инета не качаю. Кё>С точки зрения человека, знающего как работают руткиты, интересно будет послушать, как же ты это делаешь.
1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты)
2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ. Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Здравствуйте, iHateLogins, Вы писали:
HL>1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты) HL>2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ.
HL>Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Хороший троян будет слать спам строго из-под твоего почтового клиента, твоего smtp-сервера после того как ты авторизовался там своим логином. После внедрения в его процесс даже SSL можно обойти, если знать где в этом клиенте вызываются функции шифрации/дешифрации.
Инструкции получать можно по UDP или вообще левому протоколу, которые обычно не мониторятся, или с сайтов с баннерами, которые не вызовут подозрений.
А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Здравствуйте, Кодёнок, Вы писали:
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Мне не кажется, что здесь вопрос должен стоять или/или. Единственное, что можно себе позволить, это найти вариант .exe-шника запускаемой программы и сравнить с исходным файлом. Обычно он отличается на ~10 байт (проверка+прыжок заменяется на nop-ы), тогда это вполне безобидный файл. Кроме того, бывает, что новый файл прыгает в каком-то месте в область, где до этого в исходной программе были нули, там выполняется какой-то новый написанный код, а затем прыгает обратно. Если этот дополнительно написанный код поверх нулей исходного файла достаточно короткий, то скорее всего он просто вычисляет что-то (что там можно вредного в 25-50 байт запихнуть), но можно и проверить. Например, иногда таким образом вычисляется какая-то специфическая для данной машины информация, которая используется в ключе. В остальных случаях, ИМХО, надо быть крайне осторожным, ибо эти кейгены -- основной источник распространения всякой гадости.
Здравствуйте, Кодёнок, Вы писали:
HL>>1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты) HL>>2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ.
HL>>Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Кё>Хороший троян будет слать спам строго из-под твоего почтового клиента, твоего smtp-сервера после того как ты авторизовался там своим логином. После внедрения в его процесс даже SSL можно обойти, если знать где в этом клиенте вызываются функции шифрации/дешифрации.
я использую веб-почту с закрытым SMTP, еще вопросы?
Кё>Инструкции получать можно по UDP или вообще левому протоколу, которые обычно не мониторятся, или с сайтов с баннерами, которые не вызовут подозрений.
А слать спам он тоже будет по UDP?
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Здравствуйте, Ромашка, Вы писали:
Р>Кодёнок написав(ла): >> Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с >> твоего компа не отсылается шестой со спамом?
Р>Аппендикс.
зря, говорят, после его удаления начинаются проблемы с кишечником
Здравствуйте, March_rabbit, Вы писали:
M_>Здравствуйте, Ромашка, Вы писали:
Р>>Кодёнок написав(ла): >>> Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с >>> твоего компа не отсылается шестой со спамом?
Р>>Аппендикс. M_>зря, говорят, после его удаления начинаются проблемы с кишечником
врут.
мне удалили его еще в пятом классе, знаю нескольких человек у которых удаляли — никто вроде бы не жалуется.
Здравствуйте, R.O. Prokopiev, Вы писали:
ROP>Те трояны что мне попадались — в основном не висят отдельными процессами, ROP>а довольно хорошо маскируются. Загружаются как драйверы и делают файл драйвера невидимым ROP>для пользовательского режима.
Ну так берёшь LiveCD, грузишься, проверяешь какие гады там себя в автозапуск прописали. Убиваешь всех гадов без подписи Microsoft.
Здравствуйте, Кодёнок, Вы писали:
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
А зачем ставить платный софт? Ну кроме "больших" систем типа VS или Photoshop.
Здравствуйте, Silver_s, Вы писали:
S_> ...Точнее не вирусов а записей в вирусной базе. S_> Хотя они как бы намекают — сколько записей в базе столько и вирусов.
конкретно за каспера не скажу, но могу сказать за многих других.
понятие "запись в базе" почило на бозе лет эдак... хвост его знает сколько. то, что скачивается при обновлении AV с иннета вообще-то не есть база. там совсем другое обычно. там и антивирусные движки (ну а как еще их обновлять?!), и распаковщики для новых версий упаковщиков, и спец-модули для детекции сложных полиморфных вирусов. сами же сигнатуры уже давно не просто набор байт. и даже не регулярные выражения. и для ловли одного вируса одной сигнатуры будет мало. особенно если вирус полиморфный, а писать спец-модуль для его детекции нет времени/квалификации/бюджета. тогда вирус просто размножают до миллиона экземпляторов, выделяют (автоматом, не руками же) что в этом миллионе есть общего и добавляют несколько тысяч записей в базу, которые находят до ~96% вариаций. у спец-модулей детекции качество обычно намного выше (например, 99,96%), но их написание требует времени. кстати, помимо роста записей в базах так же наблюдается и их сокращение, путем выкидывания старых записей или объединения кучи записей в одну.
S_> В середине 2007 г в базе было 350 тыс. вирусов.
записей. формат старых баз мне известен. можно запросто распотрошить (потрошилку я писал) и посмотреть что он собственно ловит этими записями. но ничего интересного там нет. как всегда куча записей на один вирус (и это без учета, что модификаций известных вирусов десятки, а то и больше), упаковщики (во всех своих версиях) так же сидят в базе. ну а как иначе еще их детектить, чтобы выбрать соотв. статический распаковщик или распаковать на эмуляторе с костылями (спец. функциями распаковки заданными для каждого пакера/протектора).
S_>В начале 2009 уже 1.5 миллиона.
вообще-то после 2007 года кривая роста малвари резко пошла вверх: http://www.pandasecurity.com/usa/homeusers/solutions/collective-intelligence/
> За полтора года появилось вирусов в 5 раз больше чем за всю историю IT индустрии до 2007 года?
а что тут удивительного? вот хронология роста малвари с давних времен до 2007 http://www.f-secure.com/weblog/archives/00001198.html
S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов S_> находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
автоматизация труда, однако
S_> Кроме того из-за этого Каспер жрет все больше и больше ресурсов.
конкретно за каспера опять-таки не скажу, но даже при самой тупой огранизации базы время поиска слабо зависит от ее размера. деражать полный индекс в памяти — это же каким дэбилом надо быть? так что пожираются только дисковые ресурсы. а диски сейчас безразмерные.
но это в общем. применительно к сабжу — не знаю. но простенький антивирусный сканер, написанный мной в качестве тестового задания для одной аверской конторы на миллионной базе сигнатур чекает диск со скоростью ~9 Мб/сек на P-III/773 MHz и древнем винте, который больше 10 Мб/сек никак не читает. правда сами сигнатуры имеют очень простой формат (триваильаные регулярные выражения), памяти все это дело жрет: 1 метр на динамические индексы, 64 кб буфер на дисковый I/O, 128 Kb на функцию разбора регулярныз выражений с их кэшшированием. ну и какие тут ресурсы?!
а я скажу какие ресурсы жрет каспер. ему же бедному все форматы файлов поддерживать надо. а для этого держать в памяти кучу модулей. не знаю, поддерживает ли он pdf (сканер для которого я пишу), то там же мало написать модуль для парсинга pdf, нужно еще и распаковать все потоки, а там еще и куча фильтров на них может быть наложена, да еще и потоки могут быть покриптованы, ну и т.д.
чтобы сократить расход ресурсов при статическом сканировании (про проактивку мы ща не говорим) надо сначала отсортировать все файлы по типам, потом для каждого типа грузить все нужные модули. и только так. если же файлы сканируются вразброс, то нам нужно или держать в памяти кучу моделей, или же постоянно загружать/выгружать их. первое кушает память, второе — дает ощутимые тормоза.
S_> А что было бы если бы такое число вирусов появилось лет 8 назад, S_> никакой компьютер не потянул бы нынешнего Каспера со всеми его базами.
поятнул бы. просто базы писались бы умнее
S_>В чем причины такого разбухания?: S_> — Число писателей вирусов увеличилось?
причем в разы.
1) появилось куча учебников по написаниям вирусов;
2) вирусы стали писаться на яву и отказались (в своей массе) от внедрения в файлы;
3) вирусы стали приносить деньги, т.е. появился коммерческий интерес;
4) локальные вирусы, которые раньше дохли естественным путем, при наличии иннета становятся глобальными.
5) ну и много еще причин...
S_> — Прогресс дошел до автоматизированых систем написания вирусов.
и ушел обратно. конструкторы вирусов нынче не в моде.
S_> Либо небольшое число одних и тех же вирусов мутирут до неузнаванемости(в огромное число форм).
это да.
S_> Или это конкурентная борьба контор продающих антивирусы S_> набивают антивирусные базы чем попало (мусором) лишь S_> бы база получилась больше чем у конкурентов?
просмотр баз разных компаний показывает, что мусора там действительно полно.
сейчас ведь антивирусы палят не только вирей, но и файлы данных (например, gif или даже плей-листы), вызывающие переполнения буферов у некоторых приложений. причем, анализ записей в базе показывает, что:
а) ребята погорячились. кто-то прокукарекал о новой дыре и ее уже добавли в базу до официального подтверждения, которое так и не последовало, поскольку это и не дыра вообще, а если и дыра, то хз как ее эксплоитить;
б) проверка тупая и вызывает кучу ложных срабатываний (особенно это актуально для мелких .gif'ов);
в) кол-во записей, относящихся к переполняющимя буферам и в самом деле ужасающее ;(
S_> Или даже сами штампуют вирусы
у них и так работы хватает хотя вирусы они конечно пишут. лабораторные. в базы их не добавляют, но они никуда и не уходят.
S_> чтобы было чем базы забивать, т.к. заполнять базы мусором нехорошо.
мусора там тоже хватает. автоматизация. ковырял базу одной конторы и у той куча записей вида ЪMZ. причем не просто куча, а реально до хвоста. ну MZ это начало exe-заголовка. но Ъ откуда?! такой exe не запуститься ни разу. теряясь в догадках (ну может на инфицированной системе вирь перехватывает системный загрузчик и вычищает Ъ?) обращаюсь к ним за раъяснением. а они: ну это типа известная проблема и они над ней работают. у них типа там горшок с медом для приманки вирусов, сенсор и сниффер. когда вирус летит на мед и падает в горшок, сенсор срабатывает и сниффер кладет TCP-стрим в базу, и там автоматом генериться новая сигнтаруа, если вирь неизвестен. вот только это сложное хозяйство хреново отлажено и сниффер часто хавает TCP-стрим не с того места, в результате мы имеем Ъ, и, как следствие, офигенное кол-во бесполезных сигнатур ;(
S_> По крайней мере в их базах такие вирусы появятся уж точно раньше и с меньшими усилиями, чем у конкурентов.
потрошите базы и смотрите, что они _реально_ ловят
S_> Дальше пухнуть базам уже некуда.
ну почему? на загрузочный DVD еще вмещаются. а там блю-рей и флешки имееются...
S_> Если это продолжится лучше плюнуть на все
используй он-лайновые сканеры. у каспера он конечно ублюдочный. работает только под IE, а IE сам по себе вирус. у панды нормально работает и под лисом. да еще и денег не просит. и обновления самые свежие.
S_> от вирусов наверное меньше вреда на компе, чем от Каспера.
охотно соглашусь. очень многие знакомые просили починить компьютер покоцанный каспером.
S_> Зачем такой антивирус если он при загрузке компа 0.5 Гига будет с винта в ОЗУ подгружать?
а что, каспер сразу пол гига грузит? фу... у меня всего пол гига озу хрен ему я дам столько
S_> Если дело в различных формах (мутациях) мальнького числа вирусов (ни за что не поверю, S_> что за 5 месяцев этого года было сознано 700 тыс. новых уникальных вирусов ),
вообще-то, каждый день появляется несколько новых записей: это и новые дыры в ПО, это и новые версии пакеров, это и новые вирусы (или модификации старых)...
S_> то что-то в Каспер лаб криво делают.
подход устарел. как только эндевор секьюрити предложил новый подход детекции, его тут же купила McAfee. мы думали, что нас разгонят на фиг, как это обычно и бывает. но пока что дают развиваться и даже гладят по головке. посмотрим, что из этого получится...
S_> P.S. Что-то в этом деле с Каспером не чисто.
кто бы сомневался...
S_> Может они мухлюют или криво делают?
делают как могу. то есть как все. что-то лучше, что-то хуже, но в целом очень даже ничего. по крайней мере движок довольно мощный. а раз у нас есть мощный движок (типа мы в танке) об остальном можно какое-то время не заботиться...
S_> В начале 2008 года попадались статьи с высказывания Касп., S_> что ожидается резкий рост числа вирусов — удвоение за короткое время.
и не только его (статьи). такой прогноз делали многие. неожиданностью это не стало.
S_> Угадал или обещание сдержал(сам наштамповал вирусов сколько обещал) или антивируснике базы мусором забил?
мусором забил. актуальных вирусов (таких, шансы встречи с которыми выше шансов встречи с диназавром) наберется всего несколько сотен. даже тысячи не будет. из них десятка два — гипер-актуальных вирусов, которых обязательно схватишь, если не закрошешь все дыры в винде и не отрубишь автозапуск.
ну хорошо, ну пусть я не прав. ну пусть у нас есть тысяча вирусов. ну две. ну три. но ведь не миллион же!!! в принципе, у меня есть доступ к статистике по меньшей мере трех антивирусных компаний. типа кто чем болеет. и там 90% всех заражений приходится на несколько десятков вирусов. еще 9% — ~600 вирусов. и только 1% — прочие разные вирусы, кол-вом около тысячи или больше. возникает резонный вопрос, если качество детекции до 99% ни у кого все равно не дотягивает (особенно с учетом новых вирусов), то на хрена гигабайтовые базы, когда 90% заразы ловится без всякого труда? вопрос рикторический.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, Ромашка, Вы писали:
Р>R.O. Prokopiev написав(ла): >> Я вычистил касперсиим вирус буквально месяца 2 назад. >> Классический вирус, поражающий exe-шники.
Р>Вы очень постарались его найти, наверное.
Как это понимать? 
), то советую покурить книгу "Энциклопедия преступлений и катастроф: Компьютерные террористы". Очень познавательно. 
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
