Тест на скорость реакции АВ компаний при получении сэмпла на электронную почту

Тема в разделе "Тестовая площадка", создана пользователем Severnyj, 13 июн 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Сэмпл вчера в 15.00 отправлен почти на все почтовые ящики, которые мы собрали в этой теме. Тест проводился для проверки автоматического ответа о наличии заражения.

    Итог печален, несмотря на то, что 6 вендоров прислали автоматическое уведомление о принятии тикета на рассмотрение (сообщения немного сокращены):

    • Kaspersky Lab

    • CA Technologies

    • Zillya!

    • eScan MicroWorld Technologie

    • McAfee

    • ESET


    Ответ о наличии вредоносного кода в файле прислал только AVG, сегодня в 12.20:


    PS. Текущее определение файла:

    • ArkaVir - Generic.23.2063
    • DrWeb - Trojan.Starter.1702
    • MBAM - Trojan.Downloader

     
    Последнее редактирование: 13 июн 2011
    3 пользователям это понравилось.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    Грустно как-то выглядит.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Чуть-чуть оффтопика

    Чуть не по теме, но все равно напишу, потому, как в Юмор надо.
    Ответ из Avast на отправленные в пятницу зловреды (выделено мной):

    Добавлено через 9 минут 38 секунд
    Тест завершен, отправил сэмпл через формы.

    Добавился

    • BitDefender - Trojan.Ircbot.AAQ
     
  4. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Severnyj, увы, но эта статистика более чем на 90% отражает реалии происходящего..
    отсылаешь файлы в вирлаб, а тебе кроме автоответчика ничего..
     
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    С какого ящика отправлялись семплы?
     
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Gmail.com

    Все пожелания насчет упаковки в архив и установки паролей выполнялись.
    Адресная книга поделена на группы virus и infected
     
  7. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Детект ArkaVIR - явно эвристический. То же касается МВАМ.
    Вообще тест чрезвычайно интересен, жаль, что отправка не прошла всем вендорам, а только шестерым. И жаль, что не было сравнения с результатми по отправке по форме.

    Что касается результата - он не печальный, а вполне закономерный. Я понимаю, сколько обращений идёт по почте вендорам, но всё равно - ситуацию надо как-то решать. И именно по этой причине было бы любопытно сравнить с результатами полноценного обращения по форме. Тогда не отмажешься ;)

    Уже озвучивал Константину пожелания по проведению подобного рода тестов, надеюсь, что работу можно будет как-то организовать и написать на эту тему добротный пост. А уж распространить его везде и всюду - я постараюсь... [​IMG]
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    В том-то и дело, что отправил почти всем, а автоматический регистратор работает только у этих 6-ых, но отправка других сэмплов показала, что хорошо работает регистратор еще у Fortinet (присылают данные о принятия тикета и данные об обнаружении зловреда, но имя зловреда не указывают) и у VirusBuster, но сообщение приходит на венгерском языке, еще забыл про Доктора Веба, но сэмпл был в его базах, поэтому не отправлялся.

    По сравнению "почта - форма" скажу, что тот же Sophos не предпринял никаких действий при отправке сэмпла на почту, но при отправке через форму регистрация и добавление произошли как всегда очень быстро - в течение 2 - 4 часов.


    Схожая ситуация и у BitDefender, разве, что сообщение не столь информативное:


    Немного расстраивает в последнее время Comodo, ответов-то от них никогда не приходило, но в последнее время и в базы ничего не добавляют из присланного, как по почте, так и по форме.

    У eScan уже 2 или 3 раза резался файл сэмпла отправленный через форму, надо попробовать отправку запароленного архива.

    У McAfee регистрация и распаковка полностью автоматизирована и при указании неверного пароля на архив приходит сообщение об ошибке.
    Также пользователю сообщается, что пока файл на анализе, пользователь при большом подозрении на зловредность высланного сэмпла может скачать индивидуальное обновление, которое будет детектировать подозрительный файл на его компьютере.

    В последнее время начали приходить ответы и от Майкрософт, но только при отправке по форме. Ответы достаточно информативны, хотя и приходят с опозданием на 1 - 2 дня.


    К моему сожалению тестированием в основном могу заниматься только по выходным, а как показали первые тесты некоторые, особенно европейские компании по выходным не работают.
     
    Последнее редактирование: 14 июн 2011
  9. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Похожая статистика на Хабре.

    Народ, тема довольно интересна, если есть желание сделать подобный, добротный материал - я могу изложить основные критерии.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.450
    Симпатии:
    13.950
    gjf, тот тест абсолютно не информативен. Никто не знает (кроме разработчиков) на каком уровне детекта идет рассылка. Тем более проверки начались с !30! мая. За этот срок половину вендоров получили вреднос по другим путям (пауки, пользователи). Невозможно определить срок с какого момента к этому списку подключился VT.

    Добавлено через 2 минуты 4 секунды
    Вечером займусь отбором семплов.
     
  11. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Короче, я уже всё сделал. Образцы у меня, детект я сбил, вредоносность очевидна.
    Нужно сделать следующее.
    Первый образец отправить во все вирлабы по почте, адрес - гугловский, вес правила по паролям и прочему соблюдать, ответ от вирлаба фиксировать, как и сохранять письмо в отправленных. Слать отдельными письмами, а не мультиполучателем.
    Второй образец - оформить по форме на офсайте. Ссылки на эти формы можно увидеть здесь, например. При этом в качестве контакта указать другой акк на гуглопочте, все ответы вирлабов фиксировать с указанием времени.

    Желательно, чтобы отправка по почте делалась максимально одновременно - возможно, следует задействовать нескольких человек, которые "сверят часы" по аське. То же касается и форм на офсайте.

    Если рабочая группа, которая выполнит эту работу, сформируется, а также всё понятно - в асе обращайтесь, я выдам образцы. Но желательно чтобы это было быстро - в случае провала из-за непоняток и нескоординированности сбивать сигнатуры нынче непросто.
     
    3 пользователям это понравилось.

Поделиться этой страницей