Вранье. Слава говорил, что неделю ковырял его. И это начиная с момента поступления семпла. И вообще название "rustock" дали ребята из Symantec... А "искали" полтора года его. Семплы, когда еще не задетектили, были всего у неск. фирм..
А чо, зевсы 100 лет назад появились? Еще 4-5 лет назад что-то типа ботнета на зевсах - это было БЫ не просто круто, а НЕВ*БЕННО КРУТО. Задетектить или расхачить? Насколько я помню, они дико гордились, что начали хачить в конце февраля а кончили где-то уже в апреле, и выпустили первый апдейт с детектом и пресс релиз: "Несколько недель кропотливой работы ушло на распаковку, детальный анализ и улучшение методов детектирования... " и т.п. Что и требовалось доказать. А при чем тут руткит? Это совсем не венец творения vx, а что-то типа сложного и красивого, но бессмысленного выпендрежа. Загрузился с livecd и абзац руткиту. Есть гораздо более интересные технологии: распределенные и самообновляющиеся админки, например. Последние скандалы с легально подписанной заразой - тоже непонятно, то ли спи*дили ключи, то ли ломанули ЭЦП. Да и само количество заразы - это новая ступень. Зараза тупо увеличивается количественно, а а/в вынужден извращаться качественно. Если хочет выжить.
Мы про юзверя или все таки про а/в? А как быть, если юзверь в комплекте не предусмотрен (сервак, атономная система управления, etc.) ?
2002 г. http://forum.kasperskyclub.ru/index.php?showtopic=17853 "Тогда в ЛК работало всего около 100 человек (а в вирлабе всего четверо, включая Касперского)" 2005 год. http://www.novayagazeta.ru/data/2005/67/20.html «В эсэнгэ не больше сорока вирусных аналитиков, — говорит Гостев. — На Украине семь человек, в Dr. Web не больше десяти, у нас семнадцать по штатному расписанию». 2008 год. "Общее количество сотрудников компании более 900 человек, а дятлов около 40" И проактивка. И эвристика. И песочницы. И IPv6. И много еще чего.
@drmad так ап чём жЪ речь? опять же в ОС прописывается возможность установки политики правил, кои могут настраиваться админом, то бишь, к примеру: нельзя ничего писать в экзе, нельзя запускать больше n копий эппа и далее по тексту. и в итоге, именно на базе установленных опций политики правил определяется являются ли данные действия эппа малЪваром. конечно(!), вся эта песня работать на дровах не сможет, но с дравами дажЪ легче: все дрова должны иметь подпись и подпись должна быть зарегена на спец. ресурсах в инете, через кои можно будет связаться с разработчиком. то есть схема установки дров: система берёт подпись, коннектится к центру сертификации и сверяет её -- если всё хоккей, то установка йдёт дальше.
@wsd эхЪ, не шути так переполнение буфера -- пальцем деланная проблема, коя позволяет вирьмейкерам/аверам выглядеть мощными нормально сделанная и настроенная система имеет уязвимость к вириям стремящуюся в 0.
> Сейчас чуть ли не 200 и все еще не хватает. Один нолик я бы точно убрал. Сотрудник вирлаба != вирусный аналитик. >> П.С.: русток смогли задетектить за 3 дня (ессно, если верить словам реверсеров др.веба). > Задетектить или расхачить? Насколько я помню, они дико гордились, что начали хачить в конце февраля а кончили > где-то уже в апреле, и выпустили первый апдейт с детектом и пресс релиз: "Несколько недель кропотливой работы > ушло на распаковку, детальный анализ и улучшение методов детектирования... " и т.п. Задетектить его можно было за 5 минут - он не полиморфный. Гораздо сложнее было найти концы, чтобы научиться его корректно лечить. А так - да, расхакали за 3 дня. А кто поторопился (не буду тыкать пальцем) сделать детект без лечения, тот загубил не одну машину, удаляя зараженные системные драйвера.
UbIvItS можно по подробней о Вашем опыте производства крупных систем у которых Вы там к нулю свели? а фирма Адобе(акробат ридер и флеш) получается это вообще 3,5 папуаса на QBasice у которых дыры находятся каждую неделю и им не хватает Вашего опыта?
@wsd c дырами корневую проблему не решают не потому что у людей мозгов нет, а для создания/поддержания субрынков, в частности, аверы, ботсети -- это и есть чада этих пальцем деланных проблем
UbIvItS ну это из серии что "аверы ловят свои же вирусы" ) только необоснованные притензии и никаких фактов. очень многое не выявляется автоматизированными тестами, и когда Вы реально поучаствуете в производстве крупной системы и не учтёте какую-то тонкость - орите "я не балбес!! я поддерживаю субрынки..".
@wsd оверфлау буфера должен решаться на уровне средств разработки ПО. немножко скорректированная операция копирования сотворит чудеса
UbIvItS я думаю, что Адобе с удоволствием купит Ваши разработки в этом направлении, если они работают не только на словах.
UbIvItS да, и если не купит обосновывая "что это только на словах", значит гады поддерживают субрынки просто
@wsd охЪ, да, не волнуйся ты так когда корпорациям нужно буит, явится чудЪО_0, его будут называть супер прорывом IT индустрии и далее по тексту
Dr.Golova Эффективность руткитов определяется уровнем сокрытия в системе. Если вы не подозреваете про его существование, то как детектить. А если механизмы вскрыты, до да, детект значительно упрощается, хотя если в памяти изменять хэндлеры хитрым образом, то тотже детект отлаживается пока не будет разобран механизм их изменения.
Вот, нашел свежую сцылку: http://itrate.ru/articles/kis-2011.shtml и цитатку оттуда: У нас работают около сотни вирусных аналитиков Так что, нолик я бы оставил.
Насчет анализа. Вся суть в том, насколько детальный анализ проводится. Если поверхностный - запустил, посмотрел в WinDbg, то на это много времени не требуется. Если детальный, то на это может уйти очень много времени и это нормально. Я стараюсь анализировать детально, т.к. мне интересно. Превед Доктору
