# Задать вопрос разработчикам Zillya!



## Zillya! (1 Дек 2011)

Тема создана специально для вопросов и предложений, не касающихся конкретно представленных тем выше. Спрашивайте - мы ответим на любые вопросы по мере возможности в кратчайшие сроки.​


----------



## Severnyj (1 Дек 2011)

Вопросов осталось немного, в основном получил ответы ранее, поэтому попытаюсь сформулировать оставшиеся:


Файловые вирусы. Каким образом идет лечение (не успел протестировать поэтому спрашиваю):
Собственно лечение зараженных файлов.
Перемещение или удаление зараженных файлов.


Руткиты и буткиты. Поддерживается ли удаление популярных, но сложноудаляемых, видов руткитов (TDSS, ZeroAccsess итд).


Проактивная защита. Что она из себя в данное время представляет? Присутствует ли такая защита в бесплатной версии продукта?


Получение новых сэмплов. Если это не коммерческая тайна, то возникают вопросы, откуда в основном добавляются сигнатуры в вирусные базы:
Роботы
Вирусхантеры
Отправка анонимной информации от установленных продуктов
Присланные пользователями сэмплы
Сэмплы, распространяемые другими вирусхантерами, вроде Zeus Tracker, SpyEye Tracker и подобными.


LiveCD, почему выбрана платформа Linux, а не WinPE (как у Microsoft, eScan, ESET, Avast)?


Планируется ли добавление сканера от Zillya в он-лайн сервисы, вроде ВирусТотал, Джотти и подобные?


Возможно ли лицензирование движка Zillya в других продуктах, на примере двухдвижковых продуктов: GData (Avast и Bitdefender), TrustPort (AVG и Vipre), Emsisoft (Ikarus и свой), AdAware (Bitdefender, Outpost и свой), Outpost (Virusbuster), SafenSoft и SpywareTerminator (F-Prot), Immunet (ClamAV)?


Сотрудничество с другими вендорами. Есть ли оно и если не секрет, то с кем?


И напоследок, вопрос, волнующий меня, как хелпера:
Возможен ли отчет по почте о присланных образцах, хотя бы название зловреда?


----------



## Zillya! (2 Дек 2011)

Severnyj написал(а):


> Файловые вирусы. Каким образом идет лечение (не успел протестировать поэтому спрашиваю):
> Собственно лечение зараженных файлов.
> Перемещение или удаление зараженных файлов.




Прежде всего, давайте выясним, что же такое лечение. Можно сказать, что это восстановление к первоначальному (или близкому к тому) виду. То есть, если был чистый файл и его заразил компьютерный вирус, то лечение - это удаление кода вируса из данного файла, приведение файла к первоначальному виду. 
А если, к примеру, на компьютер попала троянская программа. При этом она создала в системе файл со своим кодом. Весь этот файл является троянской программой, в ней нечего лечить, ибо ничего полезного в данном файле не было, так как до заражения этого файла не было в системе вообще. В таком случае лечение - это удаление файла (или помещение в карантин) и, возможно, удаление ключей в реестре, которые были созданы трояном, к примеру для автоматического запуска.
К нам часто обращаются пользователи с вопросом: «почему все обнаруженные вирусы ваш антивирус удаляет а не лечит?» Ответ прост: в настоящее время большинство вредоносных программ не заражают полезных файлов. Они просто копируют себя в систему. Обезвреживание таких угроз сводится к удаления файлов и зачистки следов их присутствия (чаще всего в реестре). К таковым файлам относятся программы класса: Trojan, Backdoor, Downloader, Dropper, Rootkit, Adware, большинство компьютерных червей (Worm) и прочие типы вредоносных программ. В общем практически всё кроме того, что действительно является вирусом (то есть по нашей классификации начинается с "Virus."). И то, даже не все вирусы являются излечимыми.
Если какой то из антивирусов пишет пользователю что он ЛЕЧИТ троянскую программу, тот тут антивирус просто вводит пользователя в заблуждение, производя подмену понятий. В таком случае он лечит от трояна систему, путём удаления этого самого трояна.

То есть, теперь отвечая на Ваш вопрос скажу так: Zillya! антивирус лечит те файлы, которые были заражены и могут быть вылечены. В остальных случаях он лечит систему от вредоносных программ, путём удаления таких программ (или помещения в карантин) и зачистки следов их присутствия.



Severnyj написал(а):


> [*]Руткиты и буткиты. Поддерживается ли удаление популярных, но сложноудаляемых, видов руткитов (TDSS, ZeroAccsess итд).


 Нельзя сказать, что у нас есть решения от всех случаев заражения такими особо опасными вредоносными программами. Но механизмы противодействия работе руткитов присутствуют в наших продуктах. Для особо тяжёлых случаев (когда руткит засел в систему сильнее чем наш антивирус) мы предлагаем пользователям воспользоваться Zillya! LiveCD диском, который создан для того, что бы эффективно бороться с такими угрозами.



Severnyj написал(а):


> [*]Проактивная защита. Что она из себя в данное время представляет? Присутствует ли такая защита в бесплатной версии продукта?


 Проактивные механизмы в наших продуктах сейчас довольно просты. То есть по сути это элементарные вещи, которые, как нам кажется, в обязательном порядке должны присутствовать во всех антивирусных продуктах. Именно поэтому мы никогда особо о них не заявляли. Прежде всего это детектирование подозрительных процессов по каким то типичным для вредоносных программ признакам.



Severnyj написал(а):


> [*]Получение новых сэмплов. Если это не коммерческая тайна, то возникают вопросы, откуда в основном добавляются сигнатуры в вирусные базы:
> 
> Роботы
> Вирусхантеры
> ...


 1. Обмен с другими антивирусными компаниями. У нас очень много партнёрских отношений с антивирусными разработчиками по всему миру.
2. Открытые источники вирусов в глобальной сети (речь идёт о регулярно выкладывающихся в открытом виде подборок вредоносных программ).
3. Образцы вирусов, присылаемые нам нашими пользователями (за что мы им очень благодарны)
4. Роботы, собирающие заразу в глобальной сети.
5. "Высаживание" имеющихся у нас зловредов. Получив какую то одну вредоносную программу и запустив её на специально выделенном ПК, мы приходим к тому, что очень часто эта программа загружает из глобальной сети новые компоненты, новых троянцев, которые в свою очередь тянут ещё. Так, запустив одного троянца, мы можем получить на этой системе через час 10-20 вредоносных программ. Помимо этого мы конечно же отслеживаем и сервера/ссылки, с которых производится загрузка вирусов.



Severnyj написал(а):


> [*]LiveCD, почему выбрана платформа Linux, а не WinPE (как у Microsoft, eScan, ESET, Avast)?


 К сожалению мы не имеем права распространять образы дисков на базе Windows, так как по сути эти диски имеют установленную на них операционную систему. В принципе, наверно, это можно сделать, но видимо очень дорого.
То есть выбор в пользу Linux объясняется всё таки лицензионной политикой компании Microsoft.



Severnyj написал(а):


> [*]Планируется ли добавление сканера от Zillya в он-лайн сервисы, вроде ВирусТотал, Джотти и подобные?


 Мы бы и рады, но проблема на стороне этих мульти-сканеров. Так, заявка на добавление в VirusTotal была подана ещё 2 года назад, с тех пор мы стоим в очереди на подключение, которая не двигается.
К сожалению для нас, все эти сервисы уже прошли этапы накопления движков. Дальнейшее подключение новых антивирусов приведёт к значительному утяжелению сервисов и значительным дополнительным затратам. Именно поэтому подобные сервисы перестали расти в этом направлении.



Severnyj написал(а):


> [*]Возможно ли лицензирование движка Zillya в других продуктах, на примере двухдвижковых продуктов: GData (Avast и Bitdefender), TrustPort (AVG и Vipre), Emsisoft (Ikarus и свой), AdAware (Bitdefender, Outpost и свой), Outpost (Virusbuster), SafenSoft и SpywareTerminator (F-Prot), Immunet (ClamAV)?


 Да, конечно. Это наша стандартная услуга, которая указана на нашем англоязычном сайте: http://zillya.com/en/zillya_antivirus_engine.html
Мало того, мы уже работаем по программе лицензирования технологий, и в данный момент у нас есть несколько партнёров, лицензирующих наши антивирусные технологии.



Severnyj написал(а):


> [*]Сотрудничество с другими вендорами. Есть ли оно и если не секрет, то с кем?


 Конечно же есть. Прежде всего это обмен вирусными сэмплами с антивирусными компаниями. Я не знаю насколько уместно будет публиковать список этих связей на подобном открытом портале, но это более десятка компаний со всего мира.



Severnyj написал(а):


> [*]И напоследок, вопрос, волнующий меня, как хелпера:
> Возможен ли отчет по почте о присланных образцах, хотя бы название зловреда?



 Да, конечно. Но в связи с тем, что объёмы получаемых сэмплов ежедневно велики, и у нас просто нету возможности (необходимых ресурсов) отвечать персонализировано на каждое подобное письмо, мы должны отметить такого желающего получать отчёты отдельно (то есть отметить конкретный адрес отправителя или какой то специальный код в теме письма), и в таком случае будем присылать наши вердикты в ответ на полученные файлы.


----------



## Severnyj (2 Дек 2011)

Спасибо разработчикам, за развернутые и лояльные ответы, пожелания сформулирую позже


----------



## Illidan (6 Дек 2011)

Скажите пожалуйста. Ведёте ли какую-то статистику касательно распостраниения угроз и времени их пика ? Хотелось бы увидить такие себе статистические данные или график по теме: когда и в каком количестве расспостраняются вирусы или хотябы данные по вирусной вредоносности на данный момент.


----------



## Zillya! (7 Дек 2011)

Да, естественно статистика ведется. Ближе к Новому Году будет выпущен отчет со статистическими данными за год. Материал будет опубликован в средстах массовой информации и данный форум не исключение.


----------



## Drongo (22 Дек 2011)

У меня такой вопрос:

Сканируя папку с, антивирус нашёл вредоносный файл, и вывел извещение с выбором действий: *удалить, лечить, каранти, блокировать*. Всё правильно, но, мне этот файл нужен, на него все почти антивирусы ругаются. Перейдя на вкладку *Угрозы - Активные угрозы* выбрал действие *игнорировать*, файл благополучно переместился в исключения. А окошко *извещение* осталось висеть, перекрывая часть нижнего правого угла экрана. Конечно можно выгрузить антивирус и запустить снова, но это не выход. Как ещё можно убрать такое окошко после выбора каких-либо действий?

Ещё такой вопрос, года два назад в вашем продукте был пункт контекстного меню, вызывавшийся из значка трея, похожем на касперского - *отключить антивирус*, но при этом сам антивирус не выгружался, а становился не активным. Теперь этого меню нет, можно узнать почему его убрали?

Спасибо.


----------



## Zillya (22 Дек 2011)

Drongo написал(а):


> Сканируя папку с, антивирус нашёл вредоносный файл, и вывел извещение с выбором действий: удалить, лечить, каранти, блокировать. Всё правильно, но, мне этот файл нужен, на него все почти антивирусы ругаются. Перейдя на вкладку Угрозы - Активные угрозы выбрал действие игнорировать, файл благополучно переместился в исключения. А окошко извещение осталось висеть, перекрывая часть нижнего правого угла экрана. Конечно можно выгрузить антивирус и запустить снова, но это не выход. Как ещё можно убрать такое окошко после выбора каких-либо действий?



Вы проигнорировали окно и начали последующие действия. В Вашем случае необходимо просто выбрать 1 из предложенных вариантов в окне, так как Вы уже добавили файл в исключения.




Drongo написал(а):


> Ещё такой вопрос, года два назад в вашем продукте был пункт контекстного меню, вызывавшийся из значка трея, похожем на касперского - отключить антивирус, но при этом сам антивирус не выгружался, а становился не активным. Теперь этого меню нет, можно узнать почему его убрали?



Его не убрали, его переделали. Если Вы внимательно посмотрите панель - выгрузить часового нынче это и есть описаный Вами пункт. А при выключении - теперь антивирус полностью выгружается из памяти.


----------



## Drongo (22 Дек 2011)

Спасибо за ответы.



Zillya написал(а):


> В Вашем случае необходимо просто выбрать 1 из предложенных вариантов в окне, так как Вы уже добавили файл в исключения.


Тоесть после добавления в игнорируемые, нужно выбрать что-либо из этих команд?


Drongo написал(а):


> удалить, лечить, карантин, блокировать


Но тогда логика теряется, если файл в исключениях, зачем что-либо выбирать из меню, если это не будет соответствовать истине. Мне так кажется, может пункт *пропустить* добавить?



Zillya написал(а):


> Его не убрали, его переделали. Если Вы внимательно посмотрите панель - выгрузить часового нынче это и есть описаный Вами пункт. А при выключении - теперь антивирус полностью выгружается из памяти


Благодарю, пункт меню видел, не осознавал что это переделанная раннее опция.


----------



## Zillya! (23 Дек 2011)

Drongo написал(а):


> Но тогда логика теряется, если файл в исключениях, зачем что-либо выбирать из меню, если это не будет соответствовать истине. Мне так кажется, может пункт пропустить добавить?



Почему теряется ? На самом деле если Вы изначально добавите файл в исключения - это полностью исключает его из проверки. А так как Вы сделали проверку - Zillya выдал сообщение об угрозе, но Вы не применили никаких действий из окна, а "пошли ковырятся" внутри программы, то вполне естественно что окно осталось и все же ждет Вашего решения.


----------



## Severnyj (23 Дек 2011)

Итак у меня не вопрос, а пожелание (пока протестировал только бесплатную версию продукта):

Проактивные технологии нужно улучшать, поскольку детект сравним с некоторыми бесплатными антивирусами (например _FortiClient Lite_, _Immunet Protect FREE Antivirus_, _Panda Cloud Antivirus_, _PC Tools AntiVirus Free Edition_, _Preventon Antivirus - Free Edition_ - проверял на антивирусах из этой темы), но без хороших проактивных технологий защита, конечно, страдает. Некоторые другие антивирусы отражали заражение неизвестными им зловредами именно поведенческими анализаторами. *Zillya!* здесь была не на высоте - мне удалось заразить систему (_WinXP SP3_) вариантом вируса *Virut* и одним *Trojan.Downloader* и сообщений о подозрительной деятельности антивирус не выдавал. Заподозрить заражение стало возможным только после того, как начинали докачиваться трояны, сигнатуры, которых имелись в базах *Zillya!*, и каждые 10 - 20 минут возникало сообщение о новом обнаруженном зловреде. Скажу сразу, что целью не было завалить именно Ваш продукт многие из перечисленных не справились с ситуацией когда выполнялся запуск неизвестных им зловредов. Но при этом хочется отметить, что на некоторых продуктах (настройки всей антивирусов выводились на максимум - если это возможно), срабатывала эвристика и проактивка (например в _Avira_, _Avast_, _PC Tools_), которая смогла снизить, насколько возможно, вероятность заражения.

Чтобы не быть голословным обозначу способ тестирования:
Имеется архив в котором 250 файлов, из которых 25 - безопасны, 25 - мусор, остальные в какой-то степени зловредны (включая рекламные тулбары изменяющие настройки браузеров), итог примерно такой:


*Avira* - детект более 95 % из архива + небольшие фолсы - систему удалось заразить только адварью


*Avast* - детект более 90 % + фолсов побольше - удалось заразить Trojan.Hosts + при запуске дроппера было обнаружено тело трояна и удалено, но в реестре запись осталась, поэтому при запуске система выдает сообщение об отсутствующем файле.


*PC Tools AV Free + ThreatFire* - детект порядка 60 - 70 %, усилил продукт проактивкой от одноименного вендора - итог: тормоза в системе + дырявая проактивка, поскольку реагирует на запуски зловредов через раз, оставшиеся зловреды успешно заражают систему, проактивка и антивирус иногда ловят подозрительную деятельность, но в основном без толку.


И на последнем месте *FortiClient Lite*, *Zillya* и некоторые другие - детект около 60 % - запуски остальных спокойно заражают систему без вывода каких-либо предупреждений.


Система WinXp SP3 + все обновления на виртуалке VB.


----------



## Zillya (26 Дек 2011)

От имени команды выражаю Вам искренюю благодарность за агрументированый тест. Информация такого рода весьма полезна для нашей работы. Хотелось бы уточнить несколько моментов. Что это была за вирусная подборка? По какому принципу Вы подбирали вирусы? Где Вы взяли даную вирусную подборку. За последние пол года мы добавили в свою базу около 600 тыс. вирусов, из которых встречались на комъютерах пользователей всего 30 тыс. Хотелось бы проанализировать даный прецедент.


----------



## Severnyj (26 Дек 2011)

Подборка была скачана с польского сайта вирусхантеров, и за отсутствием времени проанализирована сканированием несколькими антивирусными сканерами, оставшиеся исполняемые файлы проверены на наличие валидной цифровой подписи, при ее отсутствии проводился запуск файла с анализом - как правило - это были чаще всего различные панельки в браузер или программы-шутки, вроде открытия-закрытия лотка сиди-рома и проч. Оставшийся минимум оказался обычными куками, текстовыми файлами и файлами реестра - не представляющими никакой опасности в обычных условиях.

Дальнейшие тесты проводились так:
Архив извлекался, затем папка сканировалась он-деманд сканером, оставшиеся файлы (даже чистые) запускались и наблюдалась реакция антивируса.

Тесты проводились в ночь с 1 на 2 декабря на архиве от 25 ноября 2011 года.


----------



## Ботан (16 Июл 2013)

*Moderatorium*

Эта тема была перенесена из раздела Официальный форум разработчиков Zillya!.

Перенес: akoK


----------

