Лидеры форума

Дорогие друзья, рад представить вам результаты свежего теста на лечение активного заражения http://www.anti-malware.ru/malware_treatment_test_2015 Напоминаю, что обсуждение его методологии велось здесь http://www.anti-malware.ru/forum/index.php?showtopic=29160 Тест проведен на Windows 7 x64, участвовали: 1. Avast! Internet Security 2015.10.0.2208 2. AVG Internet Security 2015.0.5646 3. Avira Internet Security 14.0.7.468 4. Eset Smart Security 8.0.304.0 5. Kaspersky Internet Security 15.0.1.415( 6. BitDefender Internet Security 18.20.0.1429 7. Emsisoft Internet Security 9.0.0.4799 8. Dr.Web Security Space Pro 10.0.0.12160 9. Microsoft Security Essentials 4.6.0305.0 10. McAfee Internet Security 14.0 11. Norton Security 22.1.0.9 12. Qihoo 360 Internet Security 5.0.0.5104 13. TrustPort Internet Security 15.0.0.5420 14. Panda Internet Security 15.0.4 15. Trend Micro Titanium Internet Security 8.0.1133 Отобранные вредоносы для теста: 1. APT (Uroburos, Turla) 2. Cidox (Rovnix, Mayachok, Boigy) 3. Poweliks (Powessere) 4. Backboot (WinNT/Pitou) 5. WMIGhost (HTTBot, Syndicasec) 6. Stoned (Bebloh, Shiptob, Bublik) 7. Pihar (TDL4,TDSS, Alureon, Tidserv) 8. SST (PRAGMA, TDSS, Alureon) 9. Zeroaccess (Sirefef, MAX++) Полный текст методологии опубликован здесь http://www.anti-malware.ru/node/15871 Краткие итоги тестирования: Kaspersky Internet Security Avast! Internet Security BitDefender Internet Security Dr.Web Security Space Pro Microsoft Security Essentials Norton Security Провалил тест Eset Smart Security AVG Internet Security Trend Micro Titanium Internet Security Qihoo 360 Internet Security Avira Internet Security McAfee Internet Security Panda Internet Security А этих у меня язык не поднимается назвать антивирусами - ни одного вылеченного! Emsisoft Internet Security TrustPort Internet Security

Ваши расчеты несовсем верны. Аваст продает в основном напрямую, поэтому $217 млн - это все деньги, заплаченные за его продукцию в мире. Лаборатория Касперского продается преимущественно через партнерскую сеть, где есть существенная наценка (партнерская скидка). Таким образом, в 2013 года реально продуктов под бренда Kaspersky купили где-то на $900-950 млн. И это существенно меняет картинку. Пользователь Аваста приносит доллар, а пользователь Касперского - больше двух. Но во втором случае не все деньги доходят до вендора. Речь об этом идет уже лет 5. Разумнее всего было сделать бесплатным простой Антивирус Касперского, с последующей возможностью апсейла до Kaspersky Internet Security или до Kaspersky Total Security. Но я думаю на это не пойдут. Наемные менеджеры не решатся на такой радикальный шаг, так как велики риски и можно потерять теплые места. Откуда у вас такие данные по штату в этих компаниях? В авасте вирлаб до недавнего времени был ну очень скромный. Я там был и сам видел своими глазами http://www.anti-malware.ru/inside_of_avast Верные наблюдения, но неверные выводы. Во-первых, ESET тоже недоволен бесплатными антивирусами. У них падают продажи http://www.anti-malware.ru/news/2015-01-21/15370Во-вторых, что самое главное, сегмент защиты домашних пользователей не настолько интересен и критичен для лидеров в лице Symantec, Intel Security (McAfee). Trend Micro там практически нет, это для них копейки. Sophos вообще не продается для домашних пользователей. Именно поэтому от бесплатных антивирусов страдают: а) вендоры, для которых важен сегмент защиты домашних пользователей. б) кто реально развивает свои технологии, а не паразитирует на других. Так получилось, что Лаборатория Касперского попадает сразу под оба пункта. Вот вам и ответ. Одна беда, антивирус УГ, что можно наблюдать по нашему последнем тесту http://www.anti-malware.ru/malware_treatment_test_2015(просьба не оффтопить в этой теме, есть соответствующая ветка )

Здравствуйте. Обсуждение перешло на проблему шифровальщиков, но поднятая тема очень интересна. О выжженной пустыне. Аваст, имея 200-230 миллионов пользователей (изменение за год +30), выручил 217 миллионов. Речь идет о компании, из числа тех, у которых "апсейл до платной версии делается в лучшем случае 5%" Лаборатория Касперского (возьмем её в пример как лидера рынка и главного антагониста "бесплатников"), имея 400 миллионов пользователей, выручила 667 млн (данные за 2013, за 2014 не нашел). Итак, компания, у которой 95% продукции бесплатно (речь идет, конечно же, о домашних пользователях), заработала почти доллар с пользователя, а компания, у которой для дома исключительно платные и дорогие продукты, получила 1,6 доллара с пользователя. Это просто разрыв шаблонов! Я-то думал там разница в APRU в десятки раз! А она всего в 60% между "дарителем" "бесплатного" антивируса и продавцом одного из самых дорогих продуктов! 60 центов с одного пользователя - это из-за них весь сыр бор? Да это просто смешно! Распространяй ЛК свои продукты по модели фремиум, число её пользователей могло бы увеличиться в 3 раза (конечно в мире, а не в России, в России рост ограничен), а доход бы вырос как минимум в 2 раза даже при снижении монетизации до уровня Avast. А то и больше, так как у бесплатных продуктов нет очень дорогостоящей (по мнению некоторых) технической поддержки. Большую часть доходов ЛК получает именно за рубежом и именно там ей есть куда расти. С другой стороны, так как российский рынок менее значим и относительно изолирован, то именно на нём было бы менее рискованно провести эксперимент с новыми продуктами. Да и расти здесь ей традиционным путем гораздо сложнее, а значит, нужны новые подходы Если поглубже покопаться в ценообразовании, то возникают некоторые сомнения, например в том, что цена на продукт Касперского это нечто справедливое и непоколебимое. Во-первых, недавно я выяснил удивительную вещь для дилетанта, но хорошо известную профессионалам, а именно цена на антивирус Касперского для домашних пользователей, которую якобы нельзя уменьшить, ни на рубль, во много много раз больше цены на корпоративные версии. Если продажа антивирусов Касперского школам по 90 рублей вопросов не вызывает, то их же продажа по тоже очень низким ценам богатым компаниям вызывает недоумение. О кей, пусть это нормальная оптовая цена. Тогда откуда такая дикая наценка за розницу? За коробку? Скачиваемые дистрибутивы не дешевле. За техподдержку? Она есть и у корпоративных продуктов. Да и сделайте вы продукт без нее, лично мне она даром не нужна. Почему ЛК хочет, чтобы я платил за ненужную мне услугу? Далее, не менее удивительные вещи происходят за рубежом. Там тоже очень часто продукт уходил за копейки, особенно в первые годы. Рынок США, где продукт успешно попробовали продавать дороже конкурентов, стал исключением из правил. Как сейчас не знаю, но на индийских сайтах я без труда нашел кучу предложений антивируса Касперского по 350 и даже по 250 рупий (1 рупия = 1 рубль). Я понимаю, индийцы люди бедные и им надо продать продукт в 4-5 раз дешевле. Но почему ЛК любит индийцев больше россиян? Вы скажете, в России ЛК ориентирует свой продукт только на обеспеченные слои общества, остальные пусть идут лесом. Это такое брендирование. О кей, они и идут, но не лесом, а к конкурентам. Но зачем тогда этот шум по поводу бесплатных продуктов? Вы можете представить себе например производителя роллс-ройсов, который будет возмущаться тем, что миллионы покупают более дешевые модели? Да, в плане безопасности роллс-ройс лучше, но он не только дороже, не каждому понравиться именно такой автомобиль (дизайн, динамика и т.п.), ройсы для тех, кто не водит машину сам, а имеет личного водителя, ройс не поставить в обычный гараж, его мощный движок не заправить соляркой.. Один даже совершенный продукт не подойдет всем, так как у всех совершенно разные условия и совершенно разные мнения по поводу того, что лучше. Одному нужна безопасность, другому, чтобы любимый нетбук не тормозил, третьему - минимум вопросов (чтобы все на автомате), четвертому наоборот, чтобы без его ведома ничего не происходило.. Это не большая тройка на букву А украла у ЛК клиентов, они сами от них отказались, не выпустив лоу кост или фремиум продукт, не сделав продукты нацеленные на разные группы пользователей. Пытаться подмять весь рынок одним продуктом - это огромный просчет. Даже Микрософт успешно продавала Microsoft Woks, единственное достоинство которого - цена (в 2-3 раза ниже чем у Microsoft Office). И прекратила она его продавать, только когда захватила весь рынок. Я не специалист в экономике, но мне кажется, что у ЛК что-то не так с бизнесом. Успех у них был, это да, успех фантастический. Но часто такой успех приводит к болезням роста, когда ставшая огромной компания все ещё управляется по старинке. Мне кажется, что здесь именно тот случай. Как бы то ни было, внутри ЛК не все гладко, недаром её покинуло несколько североамериканских топ-менеджеров. Кстати, еще одно сравнение с AVAST. У AVAST на одного сотрудника приходится 815 тыс долларов продаж, а у ЛК - в 3 раза меньше! И дело вовсе не в большой антивирусной лаборатории, у ЛК в ней занято менее 10% штата. Дело видимо в том, что либо в ЛК не умеют работать, либо в том, что модель Fremium эффективнее. Последнее вполне может быть правдой, ведь бесплатные антивирусы не требуют затрат на техподдержку. Оголтелой рекламы тоже не нужно, их и так хватают как горячие пиражки. Еще один вопрос, вопреки заголовку нашей темы недовольство бесплатными антивирусами публично выражают лишь афилированные с ЛК лица, ни одна из западных компаний, задействованных на традиционную модель продаж (Симантек, МкАфее и т.п.) не выразили никакой публичной негативной оценки по поводу "выжигания" бесплатными продуктами пустыни, краж детекта и прочих вещей. Не бьет тревоги и ESET, второй по объему продаж игрок на российском рынке. Причина проста, это рынок, если конкуренты ведут бизнес иначе, это их право, негодовать по этому поводу - значит портить собственную репутацию. Это свобода, каждый вертится, как умеет, в рамках закона конечно. Если наступил ледниковый период, то или довольствуйся малым, как млекопитающиеся, или переходи на подножный корм, как травоядные, или вымирай как динозавры. А шум снег не прогонит, лишь сделает еще хуже. Не секрет, что лояльность пользователей без труда конвертируется в реальные прибыли. Сегодня производители бесплатных продуктов получили просто фантастически лояльных пользователей, но для ЛК же они "токсичная" аудитория. А агрессивная реклама, пытающаяся не сколько подчеркнуть достоинства своего продукта, сколько опорочить чужие да еще и "даренные" лишь усилит подобную токсичность. Один потерянный пользователь, это просто потерянный пользователь. А один токсичный потерянный и оскорбленный пользователь, это десять его друзей знакомых с его мнением. Банально, но факт. По поводу тройки, имхо не их надо опасаться, а китайцев, особенно quihoo 360. Пять не пять, но несколько антивирусных движков это большая гибкость в настройках. Пользователи слабых машин используют их продукт по умолчанию и все работает без тормозов. У кого машины помощнее, те включают дополнительные движки. Плюс автоматический выбор режима работы типа быстрый, оптимальный и наилучшая защита. Этим угодили сразу всем, и владельцам "ржавого железа" и новейших многоядерных игровых компьютеров. Далее, у китайцев не связаны руки, как у тройки, у них нет платных продуктов (пока), а значит им не нужно искусственно урезать функциональность. И действительно 360 антивирус функционально уже опережает других, там и оптимизатор (который у AVГ платный), и песочница и множество других фишек, причем обещают добавить еще. С тестами у 360 тоже все хорошо, благодаря нескольким движкам он опережает многие другие антивирусы. Наконец ресурсов и этой компании поболее других, например AVG стоит 1,2 миллиарда, а quihoo 360 - 6,7 миллиардов. Что уж говорить про Baidu с рыночной капитализацией в 54 миллиарда или Tencent - в 185 миллиардов. Когда они двинутся в Россию, плохо придется не только Яндексу и ЛК.. Китайские игры следом за корейскими уже вовсю завоевывают российских игроков, а антивирус quihoo 360, который кто-то на этом форуме несколько лет назад счел фейком, уже имеет 35% среди бесплатных антивирусов по результатам голосования на сайте comss (голосование еще активно). Аудитория там не очень репрезентативная, народ более опытный, чем средние пользователи, но тревожная сирена уже воет. Услышат ли её те, кому нужно - вот вопрос. Вот такая аналитика получилась.

Понятно, что заточить можно, но ведь с начала момента распространения зловреда очень многое может для него поменяться, экспертный HIPS ведь работает не один, а в тандеме, как минимум, с облаком, а облако выполняет миссию мониторинга, постоянного, выявляя различные связи касательно любого объекта. (В теории, у Symc всё выглядит подобным образом) HIPSы ловят не обязательно поведение именно шифровальщика, это не обязательно профили под семейство, профили есть, которые заточены под конкретное поведение в системе от инжекта в доверенные процессы до ковыряния в настройках автозапуска. Каждый профиль по-разному использует облако и данные от др. модулей, общие профили используют очень агрессивную тактику и очень сильно зависят от репутации, например, SONAR. Heur. [...] Зловред даже если не на бурагозит где-нибудь (если будет бурагозить хоть на пару компах (собираемые шаблоны поведения любого софта SONAR-ом или PBS в SystemWatcher), его репутация очень скоро до плинтуса опустится - в теории, так задумано, фолсы экспертных HIPSов также ловят-собираемыми шаблонами), он может распространяться с источников, активность которых будет признана вредоносной или подозрительной, репутация его снизится, до попадания на компы юзеров его могут встретить авто-дятлы и аналитики, которые могут прибить файл и без супер-анализа просто по телеметрии. Если говорить о Symc, то загрузка файла с репутацией низкой или плохой - Ws.Rep.1 - карантин, отсылка в вирлаб. Т.е. даже не дойдёт до SONAR. Эвристика тоже завязана на репутации (её агрессивности и не доверчивости) и аналитике облака. Файлы, загружаемые извне в систему - дополнительный риск, агрессивность защиты повышается автоматически - так у Symc. Один модуль обойти можно, но инфраструктуру взаимосвязанных модулей куда сложнее. Конечно, это не 100%, но сделано очень многое, чтобы обойти всё это стало если и возможно, то на довольно короткое время. Вендоры давно уже сделали большой шаг - они скрыли в облаке основные свои секреты, облако сделало модули гибкими, кто-то пошёл ещё дальше - к межпрограммному интерфейсу, к режимам работы (агрессивность проверки, глубина проверки и т.д., зависит от это ситуации). Т.е. в теории всё выглядит многообещающе. Будущее определённо за взаимосвязанной защитой, которая обязательно должна использовать облачную аналитику. Понятно, что практика всё расставляет на свои места. Но к чему это я? К тому, что сам факт того, что вредонос не обнаруживался на системе злоумышленника - мало о чём говорит. Если лодка 949А Антей смогла приблизится к авианесущей группировке - это мало о чём говорит. АУГ впорядке, никто не пострадал.

Поведение шифровальщика очевидно, как вообще можно "скрыть" его от экспертного HIPSа? Даже интересно. Например, norton sonar в песочнице, прежде всего, сразу видит желание что-то "зашифровать" (поменять расширения, массированная нагрузка на HDD и т.д.), он в песке моделирует набор конф. данных типа mp3 файлов и т.д. Т.е. вы убирали детект, запускали шифровальщик? На каком антивире проверяли? Песочница Comodo смысла сама по себе не имеет, потому что она может спасти только явных угроз (вред от которых явно заметен, сейчас очень популярна тактика паковать полезные проги с вредоносными, думаю, такая практика и раньше была распространена) и то не от всех. То, что там ниже...это Е.К. написал? Знаете, форум ЛК заливается гневом и матами по поводу шифровальщиков и отчасти, это заслуга супер-убер модуля под названием SystemWatcher. Откат есть у Symantec SONAR, TrendMicro Aegis 100%, в том числе анализ в реальном времени вне песочницы, а вот чего нет у SW? Правильно - песочницы (песок есть ещё у BitDefender AVC), что ужасно плохо, ужасно, почему? Потому что когда вредонос - шифровальщик начинает бурагозить, мистер SW вместо того, чтобы просто дать ему песок, даёт ему реальную систему "порулить", при этом судорожно пытается ловить падающие тарелки в виде шифрующихся файлов, этими "осколками фарфора" он забивает папку Temp (убер-друпер технология защиты данных на базе SW, реализованная в KIS 15), когда спустя долгое время он понимает, что это вредонос, тут его осеняет - начинаем откат, эффективность отката около 30% (см. на ФКЛК). Тех. уровень ребят из ЛК довольно высок, один из самых, но вопрос один: вы хвастаетесь офигенным эмулятором с точной копией ОС, может пора и SW подарить эту мега-штуку? Запустите шифровальщик на Norton, ага, не пройдёт и 5 секунд, как с профилем SONAR.Cryptolocker... файлик полетит в карантин с очень высокой вероятностью, при этом песок позволил SONAR-у без вреда для системы убить шифровальщика. Да? А полноценная поддержка виртуальных систем имеется? Это будет искусственное испытание. Система должна быть только реальной, ибо в системных требованиях нет подтверждения о работе на виртуалках.

У вас с репой не совсем вышло. Отображение количества репутации и перечень поставивших репу к посту отличается и сильно. Это проблема двух таблиц: reputation_index и reputation_totals. Надо как минимум пересчет сделать и обновить данные. А может просто потеряли данные по дороге И я бы ещё поисковых ботов из отображения убрала бы.

На форуме и сайте ЛК и Доктор веб пишут, что их антивирус обнаруживает шифровальщика уже после 3,5,10 зашифрованного файла, завершает работу шифровальщика и успешно восстанавливает эти файлы из копий. В комодо это разве есть "обнаружение шифровальщика после пятого, десятого зашифрованного файла" ? И он умеет ниженаписаннное делать? Кто-то , кроме антивируса касперского это умеет ? Поменялся системный реестр, загрузочный сектор или файл (а также сотни других телодвижений) – всё под перо в базу. В результате можно запросто восстановить систему до её оригинального, незараженного состояния. Кстати, этот процесс называется «откат» (не путать с распилом!). Откатить можно создание, удаление и изменение файлов, изменения в системном реестре, загрузочных секторах, config-файлах и многие другие

Вы прекрасно рассказали, как покупать операционку, но не предложили решения как быть с поддельным сайтом Майкрософт. В службу поддержки уже позвонил, служба подтвердила, что таких данных, которые указаны на сертификате, в Microsoft нет. Но слова, как всем известно, к делу не подошьёшь.