Перейти к содержанию
Сергей Ильин

Онлайн-интервью с Сергеем Уласенем, руководителем отдела разработки ядра ВирусБлокАда

Recommended Posts

Сергей Ильин

С 1-го сентября на вопросы нашего сообщества согласился ответь Сергей Уласень, руководителем отдела разработки ядра компании "ВирусБлокАда".

Сергей прекрасно разбирается в антивирусных технологиях, поэтому на эту тему его можно и нужно спрашивать. Кроме того Сергея будет неплохо поспрашивать о компании "ВирусБлокАда", текущих задачах по улучшения антивирусу VBA32, планах на будущее и т.д. В общем придется отвечать за всю компанию :)

Анонсировал заранее, чтобы было время собрать первую партию вопросов к началу интервью, поэтому задавайте свои вопросы уже сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

С позволения, задам не один, а пару вопросов. :)

1. Практика показывает, что решения, выпускаемые под маркой VBA32 как-то не "на слуху" (если сравнивать с теми же Dr.Web, KL, NOD32), хотя обладает рядом собственных разработок по обнаружению вредоносного кода. Чем вызвано подобное "упущение", и предполагается ли какой-то выход из образовавшейся "тишины"?

2. Какова частота выхода обновлений вирусных баз VBA32?

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Добрый день!

Ваш продукт известен за пределами Белоруссии в основном в кругу специалистов. Планируете ли вы некую активную экспансию в страны СНГ? а за пределы СНГ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В связи с недавним событием, нет ли у VBA зайти под крыло более глобального вендора? И наоборот, не смотрит ли VBA на другие, чтобы приобрести их?

Я замечаю, что нередко имя нашего и вашего детекта совпадают. Мне это нравится, я вообще считаю, что у ЛК наиболее адекватный метод именования вредоносов, где видно и поведение, и платформу, и семейство, и модификацию, и даже иногда целостность. Но вопрос таков: Вы и вы (человек и компания) посчитали также этот метод наиболее удобным или просто кто-то навязал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
canni

1.Назовите, пожалуйста, более-менее определённую дату выхода четвёртой версии комплекса и, если можно, какие новые решения в нём применяются?

2.Ведутся ли работы в плане более глобальной защиты: фаервол и т.п.

3.В каком регионе(стране) наиболее популярен комплекс VBA32? Статистика ведь ведётся?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Подкину несколько вопросов от себя:

1. Почему ВирусБлокАда не идет на технологические альянсы с другими производителями?

2. Есть ли планы развивать OEM-продажи, включая лицензирование движка?

P.S. Человек передо мной задал хорошие вопросы, но из-за потери данных вчера мы его чуть не потеряли :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newbieHelper

Здравствуйте,

- Скажите, планирует ли компания расширять штат разработчиков в других городах Республики Беларусь и России?

- Есть ли возможность удаленной работы в компании для специалистов из далёких городов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

В связи с недавним выходом в мир TDL3 for x64 как изменились планы компании по разработке средств обнаружения и лечения данной вредоносной программы в активном состоянии? Подразумевается, прежде всего, VBA32 AntiRootkit, функции которого предполагались быть имплементированы в основной продукт -- Антивирус VBA32?

Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

Ну и, соответственно, когда можно ждать полной интеграции в большой продукт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Всем добрый день!

Готов отвечать на ваши вопросы. Сразу отвечу на те вопросы, которые мне ближе как техническому специалисту, а "экономический блок" оставлю на потом.

И всех с Днем знаний, кстати. :)

2. Какова частота выхода обновлений вирусных баз VBA32?

На сегодняшний день выпуск антивирусной базы происходит один раз в сутки. Если мы видим, что необходимо выпустить

срочный апдейт, то мы это делаем по необходимости (угроза массовой эпидемии, ложное срабатывание и т.д.).

В первую очередь это связано с достаточно длительным тестированием апдейта на ложные срабатывания.

Хочется отметить, что в последнее время нами была проделана определенная работа в направлении уменьшения

ложных срабатываний, и сейчас ситуация с ними достаточно стабильная. Также необходимо сказать, что

мы понимаем, что частота обновлений - достаточно важная составляющая антивирусной безопасности. И

мы находили и будем находить в будущем баланс между безопасностью пользователей и угрозой ложных срабатываний.

Я замечаю, что нередко имя нашего и вашего детекта совпадают. Мне это нравится, я вообще считаю,

что у ЛК наиболее адекватный метод именования вредоносов, где видно и поведение, и платформу, и семейство,

и модификацию, и даже иногда целостность. Но вопрос таков: Вы и вы (человек и компания) посчитали также этот

метод наиболее удобным или просто кто-то навязал?

Ну навязать-то нам это никто не мог :)

На самом деле, мы никогда и не скрывали, что мы пользуемся той же классификацией malware, что и ЛК. И я тоже не вижу в этом

чего-то зазорного. Если аналитик видит, что имя трояну уже присвоено, то ему присваивается такое же имя. Новое имя присваивается

только в том случае, если имя отсутствует. Используемая классификация действительно достаточно "говорящая" для пользователя.

Кроме того, часть malware классифицируется по нашим уникальным технологиям. Для этого в начало имени добавляются

ключевые слова Malware-Scope, SScope, BScope и др.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Для этого в начало имени добавляются

ключевые слова Malware-Scope, SScope, BScope и др.

А какие классы вредоносов скрываются под этим? К примеру, если в имени есть SScope, это что означает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
А какие классы вредоносов скрываются под этим? К примеру, если в имени есть SScope, это что означает?

Многого не расскажу, но специалисты поймут:

Технология детектирования вредоносного кода SScope позволяет создать образ вредоносного семейства и детектировать его экземпляры невзирая на различные упаковщики, которыми они обрабатываются.

Технология BScope является дальнейшим развитием нашей технологии поведенческого детектирования вредоносных программ.

2. Есть ли планы развивать OEM-продажи, включая лицензирование движка?

Сейчас движок лицензирован компаниями TrustPort (Чехия) и Safe`n`Sec (Россия). Кроме того, сейчас подписан NDA еще с одной российской компанией.

- Скажите, планирует ли компания расширять штат разработчиков в других городах Республики Беларусь и России?

- Есть ли возможность удаленной работы в компании для специалистов из далёких городов?

Сейчас у нас есть офис в Минске, в котором находится штат разработчиков. По моему мнению развивать офисы в других городах РБ нецелесообразно. И причин для этого очень много - только здесь я их перечислять не буду. Это отдельный разговор.

Также у нас есть офис в Москве, но там только "продажники" и тех. поддержка. При этом московский офис - это отдельная коммерческая структура.

Если у Вас есть желание у нас поработать, то Вы можете связаться с нами по следующим адресам info@anti-virus.by (Минск) и info@virusu.net (Москва).

По поводу удаленной работы - к сожалению, в качестве разработчика на данный момент это невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

Планы следующие:

1) сентябрь - закончить основную разработку;

2) октябрь - середина ноября - посвятить внутреннему тестированию (и тестированию в закрытой группе добровольцев :) ) и доработке продукта;

3) конец ноября - посвятить документации и выпустить бета-версию продукта.

Новый функционал будет очень вкусный :)

В связи с недавним выходом в мир TDL3 for x64 как изменились планы компании по разработке средств обнаружения и лечения данной

вредоносной программы в активном состоянии? Подразумевается, прежде всего, VBA32 AntiRootkit, функции которого предполагались быть имплементированы

в основной продукт -- Антивирус VBA32?

Ну и, соответственно, когда можно ждать полной интеграции в большой продукт?

Компания продолжает работать на то, чтобы и основной продукт также обладал функционалом лечения сложных (руткит-) заражений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
1. Практика показывает, что решения, выпускаемые под маркой VBA32 как-то не "на слуху"

(если сравнивать с теми же Dr.Web, KL, NOD32), хотя обладает рядом собственных разработок по обнаружению вредоносного кода.

Чем вызвано подобное "упущение"

Подобное упущение связано с тем, что, в первую очередь, мы работаем с корпоративными клиентами, а также

малым и средним бизнесом в Республике Беларусь. Пока именно здесь наш основной рынок. А заработанные деньги мы

пытаемся тратить на совершенствование комплекса Vba32.

предполагается ли какой-то выход из образовавшейся "тишины"?
Ваш продукт известен за пределами Белоруссии в основном в кругу специалистов.

Планируете ли вы некую активную экспансию в страны СНГ? а за пределы СНГ?

Предполагается. Мы начали заключать договора на распространение нашего продукта с компаниями в странах СНГ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
В связи с недавним событием, нет ли у VBA зайти под крыло более глобального вендора?

Пока нет. А что у Вас есть предложения? :)

И наоборот, не смотрит ли VBA на другие, чтобы приобрести их?

Тоже не смотрит. Пока это скорее из области фантастики :) Мы не настолько крупны, чтобы позволить себе покупки/поглощения.

Во многом в том числе и из-за организационных моментов. Вопрос технологического взаимодействия здесь более уместен.

1. Почему ВирусБлокАда не идет на технологические альянсы с другими производителями?

Наш АВ-движок используется в продуктах других вендоров, что по сути тоже является технологическим альянсом.

Мы также рассматриваем возможность использования сторонних технологий в своем антивирусе. И вопрос этот достаточно актуален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
1.Назовите, пожалуйста, более-менее определённую дату выхода четвёртой версии комплекса и,

если можно, какие новые решения в нём применяются?

Переход к новой версии антивируса будет осуществляться последовательно. В первую очередь изменения коснутся пользовательского интерфейса. Вот скриншот дизайнерского макета следующей версии продукта:

VBA_Interface_NEW.png

VBA_Interface_NEW2.png

Сейчас ведется работа над воплощением этих задумок в жизнь. Как только дата выхода беты/релиза станет известна, я ее обязательно сообщу.

2.Ведутся ли работы в плане более глобальной защиты: фаервол и т.п.

Да, ведутся. Рассматривается в том числе возможность использования сторонних технологий в нашем продукте.

3.В каком регионе(стране) наиболее популярен комплекс VBA32? Статистика ведь ведётся?

Как я уже писал выше, наш основной рынок - Республика Беларусь.

post-3859-1283354680_thumb.png

post-3859-1283354686_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Он основной потому что вам так удобнее или потому что на других пробиться не удается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Добрый вечер.

1) Что умеет ваш эмулятор (он ваш с нуля? :))? Динамическая трансляция? Ускоряющие технологии?

2) Есть какие-нибудь интересные фишки "движка"?

3) На каком уровне в анти-рутките вы читаете диски? IDE/SATA/SCSI/RAID-X - что поддерживаете? Разборщики FS?

4) Сколько программистов/аналитиков занято в сфере "лечения активных угроз"?

Пока все :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
canni2
Наш АВ-движок используется в продуктах других вендоров, что по сути тоже является технологическим альянсом.

Мы также рассматриваем возможность использования сторонних технологий в своем антивирусе. И вопрос этот достаточно актуален.

А можно узнать кто(конкретные брэнды) использует ваш движок?

P.S. Сергей Ильин

Причина редактирования: Эккаунт автора предыдущего поста выше восстановлен

Всё-таки я потерялся. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А можно узнать кто(конкретные брэнды) использует ваш движок?

Антивирусный сканер VBA32 входит в продукты Safe`n`Sec Deluxe и Safe`n`Sec Pro Deluxe компании S.N. Safe&Software.

TrustPort AV WS от компании AEC использует для работы несколько движков, в том числе движок VBA32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Он основной потому что вам так удобнее или потому что на других пробиться не удается?

До сих пор нам действительно было так удобнее. Сейчас компания начала заниматься освоением и других рынков. Но так как это освоение началось сравнительно недавно, то на каких-то рынках наши партнеры уже имеют успехи, а на каких-то наблюдаются положительные тенденции.

Политика компании заключается в том, что выход на рынок осуществляется на "языке рынка". Т.е. локализована для той страны, где программа будет продаваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
1) Что умеет ваш эмулятор (он ваш с нуля? :))? Динамическая трансляция? Ускоряющие технологии?

Конечно с нуля. Нам его никто не подарил :)

2) Есть какие-нибудь интересные фишки "движка"?

Достаточно мощный эмулятор. Динамическая трансляция и ускоряющие технологии тоже есть.

Из интересных фишек: динамическое обновление эмулятора, generic unpacker, технологии поведенческого детектирования эмулятором, кэширование, интересный алгоритм обновления баз, хорошие возможности лечения файловых вирусов...

3) На каком уровне в анти-рутките вы читаете диски? IDE/SATA/SCSI/RAID-X - что поддерживаете? Разборщики FS?

Антируткит реализует некое подобие стека драйверов операционной системы. Очевидно, что это совсем нетривиальная задача, поэтому имплементировать её на 100% практически невозможно. Если более подробно, то (сверху вниз):

а) если файловая система поддерживается (FAT16/32 или NTFS), то разбираем её вручную; иначе - отправляем запрос драйверу ФС;

б) если том простой, то пересчитываем логические смещения в физические самостоятельно, а вот если пользователь работает, например, с программным RAID массивом - полагаемся на драйвер тома;

в) если контроллер диска простой, например IDE, - то антируткит может работать с ним на уровне портов ввода-вывода/прерываний, т.е. на самом низком уровне.

В случае других контроллеров, таких как AHCI, SCSI или RAID используются другие технологии.

4) Сколько программистов/аналитиков занято в сфере "лечения активных угроз"?

Хотелось бы больше B)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Спасибо за ответы.

в) если контроллер диска простой, например IDE, - то антируткит может работать с ним на уровне портов ввода-вывода/прерываний, т.е. на самом низком уровне.

Синхронизация с "системой" (думаю, что вы понимаете о чем я) присутствует? :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Синхронизация с "системой" (думаю, что вы понимаете о чем я) присутствует? :)

Присутствует.

Спасибо за вопросы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

sergey ulasen, когда HIPS (контроль приложений, песочница) появится в продукте? Вообще, какова позиция компании в отношении технологий этого класса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
    • PR55.RP55
      Ошибка получения XML описания задачи: \Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask  [Error: 0x80041321 - Образ задачи поврежден или изменен. ] Соответственно на такие случаи команда: (Alt+Delete) не работает. https://vms.drweb.ru/virus/?i=27169926
    • PR55.RP55
      Предлагаю добавить в settings.ini - настройку: Передавать статистику удаляемых файлов. Для чего ? Когда статистика будет накоплена ( и проанализирована ) то можно будет применить команду: 1) Обнаружить угрозы - исходя из данных статистики 2) Создать автоскипт на базе общей операционной статистки 3) Создать автоскипт на базе моей статистики. Файл\ы данных доступны - как при обращении к серверу - так и локально. ----- % 70 скрипта - Это всё одно и тоже... Так чего мучить Оператора, если минимум % 70 скрипта можно генерировать автоматически,  а стальное он сам допишет. А то автоскрипт есть - а пользуется этим три человека. ------- Кроме того - та же история и с FRST - можно создать автоматический _помощник который будет например в Notepad++ помечать ( на базе статистики ) закладкой все типичные удаляемые объекты. Ведь не единым uVS жив человек ?  
×