Сравнение скорости реагирования лабораторий антивирусных компаний на новые угрозы

Саныч

Ветеран
Сообщения
860
Реакции
956
Баллы
553
Хорошая работа. Крепкая. Подсуетятся ли? Или трон высок? :mda:;)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Небольшой анализ наших безответных и троллевых записей:

За последние несколько дней отправлял еще паки зловредов нашим вендорам, что вышло:

  • Нам видимо не повезло, что Microsoft нам не ответил - ответил почти на все тикеты отправленные по форме с указанием мыла.

  • Avira при отправке по почте так же отвечает бессмысленным HTML-кодом, добавили, не добавили, или это глюк Gmail - неизвестно.

  • Стали приходить ответы от AVG и VBA32 - у VBA можно увидеть по отправленным карантинам из лечения, раньше такого не было.

  • Сегодня первый раз получил ответ автомата Касперского, что файл карантина отправлен аналитикам, то есть что-то поменялось.

  • GDATA при отправке через форму отвечает каждый раз (при первых моих тестах ответа не было)

  • Отправка сэмплов через форму на Rising все-таки работает, и не возвращает непонятного ответа.

  • В первых рядах по-прежнему: Sophos, Dr.Web и Fortinet - присылают подробные отчеты. (кто кстати, в курсе бесплатного использования FortiClient? - какие ограничения? - из поддержки так и не ответили).

  • У Trojan Remover почта то работает, то нет - письма возвращает назад.

  • Bitdefender и Agnitum так же отвечают через 48 часов, при этом BD дает ответ о заражении почти сразу, а Аутпост через неделю-две после отправки.

  • Avast - до сих пор их не пойму, - отправил пачку зловредов через форму (при этом на все на ВТ детект 30 - 35 из 43) - пометили, как СПАМ. Отправляю по одному - добавляют выборочно примерно 2/3 из отправленного.

  • eScan - форма то работает, то нет - а именно: иногда приходит ответ о дабалении в базы, а иногда о том, что в присланном мной сообщении прикрепленных файлов нет.
 

akok

Команда форума
Администратор
Сообщения
19,276
Реакции
13,319
Баллы
2,203
У ЛК изменился шаблон ответа на email.

С

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.
На

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab . This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.
Смена шаблона произошла 28 июня...
 
Последнее редактирование модератором:

S.R

Ассоциация VN
Сообщения
727
Реакции
376
Баллы
453
Avira при отправке по почте так же отвечает бессмысленным HTML-кодом, добавили, не добавили, или это глюк Gmail - неизвестно.
на @mail аналогичная ситуация. отправил им письмо с описанием проблемы - пока молчат.
 

AS007

Активный пользователь
Сообщения
5
Реакции
0
Баллы
391
[*]Avira при отправке по почте так же отвечает бессмысленным HTML-кодом, добавили, не добавили, или это глюк Gmail - неизвестно.
на @mail аналогичная ситуация. отправил им письмо с описанием проблемы - пока молчат.
А вот, не соглашусь я с Вами. Отправил два подряд зловреда.

отправлял с веб морды

Добавлено через 9 минут 34 секунды
вот конечный результат


PS.Объедините посты, пожалуйста.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
6,997
Баллы
803
У ЛК изменился шаблон ответа на email.
Если их спросить, почему поменяли и не вышеизложенный тест ли тому виной.

Ответ очевиден — да, нет, конечно, мы сами с усами (т.с. краткая версия, на самом деле там фан-голосья на неделю будет).
 
Последнее редактирование:

AS007

Активный пользователь
Сообщения
5
Реакции
0
Баллы
391
А мы про отправку по e-mail говорим, попробуйте, тогда не соглашайтесь
Пробую и не соглашаюсь :sarcastic: если речь шла про Авиру
Первый скриншот - отправил письмо с вирусом, второй - ответ от Авиры.
-

Добавлено через 8 минут 58 секунд
Я писал не про время сколько отвечают они, а про это, выделено красным
Severnyj]Avira при отправке по почте так же отвечает [B][COLOR="Red написал(а):
бессмысленным HTML-кодом[/COLOR][/B], добавили, не добавили, или это глюк Gmail - неизвестно.
и про
на @mail аналогичная ситуация. отправил им письмо с описанием проблемы - пока молчат.
посмотрите на скриншот, там есть бессмысленный HTML-код, и время отправки и принятия писем.

Добавлено через 2 минуты 39 секунд
Это то что не вошло в ответ на втором скриншоте
Файл '0.2991469901240257.exe' отмечен как 'MALWARE'.Наши аналитики присвоили этой угрозе название TR/Ransom.DF.102.Относительно "TR/" речь идет о троянском коне, который в состоянии заполучит ваши данные, нарушить вашу частную сферу и производить нежелательные изменения системы.Образец распознавания был добавлен версией 7.11.10.137 файла определения вирусов (VDF).

Вы также можете просмотреть результаты анализа по следующему адресу:
http://analysis.avira.com/samples/d...6EvwTcm0ZUPQCBM3tqL2KMkRLPv&incidentid=774727

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
http://analysis.avira.com/samples/details.php?uniqueid=sQBLU6EvwTcm0ZUPQCBM3tqL2KMkRLPv

Мы рекомендуем использовать для дальнейших отправок формуляр загрузки файлов. Если результат известен, то он будет сразу отображен там в режиме реального времени. Сообщения о зараженных файлах, в отношении которых подозревается ложное срабатывание, впредь могут быть переданы только через данный формуляр. http://analysis.avira.com/samples/index.php?lang=de

Примечание: Пожалуйста, обращайтесь со специфичными вопросами по адресу [email protected]

С уважением,
Лаборатория анализа вирусов Avira
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Значит Вам везет у меня сегодня отправка 2ух паков и ответ такой же:

Avira Lab Response - Tracking number 774770
X
Ответить
от Avira Virus Lab Response Team [email protected]
кому
дата 2 июля 2011 г. 18:05
тема Avira Lab Response - Tracking number 774770
отправлено через avira.com
Скрыть подробные сведения 18:05 (5 ч. назад)
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<style type="text/css">
body, td, p, div, span { font-size: 12px; font-family: Arial; }
</style>
</head>
<body>

</body>
</html>
Отправлял через GMAIL.

Скрины:



 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Нашел прикольную страничку с описаниями [URL='_http://lurker.clamav.net/list/clamav-virusdb.html']обновлений баз ClamAV[/URL], где в любом описании обновления, например [URL='_http://lurker.clamav.net/message/20110716.102949.f617e11f.en.html']тут[/URL], видим такое (выделено мной):

Submission-ID: 20050780
Sender: Virus Total
Submission notes: Already detected as Trojan.Agent-240208
Added: No
Virus name alias: Packed.Win32.Katusha.o (Kaspersky), Win32.Sector.17 (Drweb)
или

Submission-ID: 20017396
Sender: Jotti
Sender: Virus Total
Sender: ShadowServer
Sender: Sunbelt
Sender: Immunet
Submission notes: Same as in Submission-ID 20096224
Added: No
 

Smoke

Активный пользователь
Сообщения
2
Реакции
0
Баллы
391
Предлагаем читателям самостоятельно сделать выводы из приведённой информации. А от себя просто опубликуем картинку, авторство которой принадлежит компании Ikarus в относительно недалёком 2008 году.

Картинку можно перезалить???
тама нету картинки после текста...
 

Amator

Активный пользователь
Сообщения
209
Реакции
67
Баллы
418
Тема относительно стара, но я только сейчас обратил на нее внимание. Где то был вопрос про ЛК, так вот: как то я отправил им файлик-троян, который воровал пароли от аккаунтов Steam - ответ с детектом пришел спустя пол года(если мне память не изменяет). Потом была еще одна отправка - пришел ответ с именем аналитика и результатом анализа. Тем не менее я пользуюсь их ними продуктами.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,276
Реакции
13,319
Баллы
2,203
Вчера провел небольшое исследование которое не претендует на статус субъективного, это больше "крик души"

Предисловие:
Получил я дамп MBR пораженного MBRlock (смотрим тему с описанием). Проверка на www.virustotal.com ничего не давала:
http://www.virustotal.com/file-scan...9dccf5370adb6a1be4d077678d8e9d18b4-1322048806

Теперь поговорим о самом исследовании:

23.11.11 в 15 часов по Киевскому времени я провел рассылку следующим венвендорам:
1. microsoft
2. Лаборатории Касперского (по всем трем каналам пересылки карантинов)
3. DrWeb - он-лайн форма
4. Fortinet - e-mail

Первым отреагировал drweb который отреагировал через 3 часа сообщением автомата

Ваш ресурс был обработан Автоматическая система. Эта угроза уже знакомый нам. Соответствующая запись имеется в вирусной базе Dr.Web.
Угроза: Trojan.MBRlock.17
Ну хоть так в общем подтвердили свою репутацию. Молодцы.

На сим пока все:
http://www.virustotal.com/file-scan...9dccf5370adb6a1be4d077678d8e9d18b4-1322124276


А теперь о том, почему это исследование нельзя назвать официальным или репрезентативным.

Этот семпл был разослан на сутки ранее при помощи нашей системы обработки карантинов и получателями были ЛК, Drweb, Fortinet. В ответ получены только ответы автоматов и реакция вирлаба Fortinet который таки не разобрался с семплом.
Dear Customer,

Thank you for submitting the sample to Fortinet. Our analysis shows that the submitted sample is not infected with any malicious code.
Молчание больших игроков принудило меня заняться ручной рассылкой используя личные почтовые ящики.

Теперь на правах шутки... грустной шутки.
Лаборатория Касперского получила семпл тремя путями:

  1. Отправка по почте
  2. Отправка через общую форму
  3. Отправка из "личного кабинета" (для пользователей имеющих лицензию)
:facepalm::facepalm:

Выводы:
Хоть наше старое исследование и побудило некоторый игроков антивирусного рынка немного изменить подход оформив формы поясняющими надписями, но в реальности ничего не изменилось... есть у тебя лицензия или нет.
 

gjf

Ассоциация VN
Разработчик
Сообщения
646
Реакции
623
Баллы
488
Ваш ресурс был обработан Автоматическая система. Эта угроза уже знакомый нам.
Я есть плёх говорить на ваш проклятый рюсский! :-D

в реальности ничего не изменилось... есть у тебя лицензия или нет.
Костя, а ты всё-таки доверчивый романтик :)
Напиши об этом на АМ - я уверен, тебе дадут 100500 ответов, почему это так получилось, а также 100500 доказательств, что ты - дурак ;)
 

akok

Команда форума
Администратор
Сообщения
19,276
Реакции
13,319
Баллы
2,203
Я есть плёх говорить на ваш проклятый рюсский! :-D
Моя вина. В почте включен переводчик от google :D
Напиши об этом на АМ
Не будем ворошить улей :) они и так там "нервные" и готовы прыгнуть на любую амбразуру :facepalm:

Костя, а ты всё-таки доверчивый романтик
:sarcastic: какой есть

Семпл я еще отправлял через форму в вирлаб Zillya!, но не ожидал никакой реакции. Не скрою удивлен:

Добрый день, уважаемый Константин.

Благодарим Вас за активное сотрудничество касательно персональной
версии нашего антивирусного программного решения Zillya! Антивирус!

Относительно предоставленного Вами в предыдущем письме архива (Дампа
MBR), зараженного новой модификацией одной из наиболее актуальных на
сегодня вредоносных программ Win.Lock, учитывая ее актуальность и
необходимость оперативного изучения, будем благодарны за информацию от
Вас, переустановили ли Вы уже зараженную операционную систему и, если
нет, за возможность ее дополнительного изучения.

Надеемся на дальнейшее успешное и плодотворное взаимодействие в будущем!
 

akok

Команда форума
Администратор
Сообщения
19,276
Реакции
13,319
Баллы
2,203
Лаборатория Касперского получила семпл тремя путями:
Ответ пришел на адрес который я указывал при регистрации лицензии.

Здравствуйте,

tsk0000.dta - Trojan-Ransom.Boot.Mbro.e
Добавлено через 1 минуту 19 секунд
Надо им вендорский раздел организовать))
Уже где-то встречал их раздел... нашел stopmalware.kz
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Чем-то у них иконки похожи :):

 
Сверху Снизу