101 день за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  2. «Врачи нас готовили к смерти Саши». История Марии, у чьей дочери пищевод не соединялся с желудком
  3. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  4. Автозадачка с подвохом. Нарушает ли водитель, выезжая из ворот своего дома на дорогу?
  5. Тихановская рассчитывает на уход Лукашенко весной
  6. «Первый водитель приехал в 5.20 утра». Слухи о «письмах счастья» за техосмотр привели к безумным очередям
  7. Секс-символ биатлона развелась и снялась для Playboy (но уже закрутила роман с близким другом)
  8. Пенсионерка из электрички рассказала подробности о задержании и Окрестина
  9. 57-летняя белоруска выиграла международный конкурс красоты. Помогли уверенность и советы Хижинковой
  10. Фанаты белорусских футбольных клубов массово объявляют о бойкоте матчей
  11. Чиновники придумали, что сделать, чтобы белорусы покупали больше отечественных продуктов
  12. Год назад в Беларусь пришел коронавирус. Рассказываем про эти 12 месяцев в цифрах и фактах
  13. Судьба ставки рефинансирования, обновленный КоАП, дедлайн по налогам, заморозка цен. Изменения марта
  14. «За 5−10 тысяч можно взять дом». Белорус переехал из Минска за 90 километров «у мястэчка» и возрождает его
  15. Показываем, как выглядит часть зданий БПЦ на улице Освобождения, ради которых снесли объекты ИКЦ
  16. «Пышка не дороже жетона». Минчане делают бизнес на продукте, за которым в Питере стоят очереди
  17. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  18. Белоруска едет на престижнейший конкурс красоты. И покажет дорогое платье, аналогов которому нет
  19. «Ашчушчэнія не те». Все участники РСП вышли на свободу после 15 суток ареста
  20. Во всех районах Беларуси упали зарплаты, в некоторых — больше чем на 300 рублей
  21. «Будет готов за три-четыре месяца». Частные дома с «завода» — сколько они стоят и как выглядят
  22. Под Молодечно задержали компанию из 25 человек. МВД: «Они собирались сжечь чучело в цветах национального флага»
  23. «Бэушка» из США против «бэушки» из Европы: разобрали, какой вариант выгоднее, на конкретных примерах
  24. В Беларуси ввели очередные пенсионные изменения. Что это означает для трудящихся
  25. Акции солидарности и бойкот футбольных фанатов. Что происходило в Беларуси 28 февраля
  26. «Усе зразумелi: вірус існуе, ад яго можна памерці». Год, как в Беларусь пришел COVID: поговорили со вдовой первой жертвы
  27. Год назад в Беларуси выявили первый случай COVID-19. Что сделано за год, а что — нет
  28. Один из почетных консулов Беларуси в Италии подал в отставку из-за несогласия с происходящим после выборов
  29. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  30. Минское «Динамо» проиграло в гостях питерскому СКА


Николай Щетько,

Вредоносные программы постоянно совершенствуются, а вместе с ними улучшаются и антивирусные продукты. Кто же побеждает сейчас в извечной борьбе "снаряда" и "брони", вирусов с антивирусами? Каковы основные вирусные тенденции последнего времени? Как небольшой белорусской компании удается успешно конкурировать с российскими и международными монстрами?

Сергей Уласень, начальник отдела разработки антивирусного ядра ОДО "ВирусБлокАда", делится своим мнением по этим вопросам и даёт полезные советы домашним/корпоративным пользователям, как сохранить свой компьютер "здоровым".



Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Скачать аудио (18,46 МБ)
 
Внимание! У вас отключен JavaScript, ваш браузер не поддерживает HTML5, или установлена старая версия проигрывателя Adobe Flash Player.

Скачать видео

– Как вашей, сравнительно небольшой белорусской компании, удаётся конкурировать с зарубежными компаниями, такими как Лаборатория Касперского, Symantec и т.д.?

– На сегодняшний день антивирусная индустрия вышла на такой уровень, что какой бы ни был людской ресурс, его будет явно недостаточно для того, чтобы справляться с тем потоком различных вредоносов, которые ежедневно и ежеминутно сваливаются на антивирусные компании. 
 
Поэтому сегодня основной тренд – это автоматизация различных процессов, которые присутствуют в  разработке антивирусов. И мы, в первую очередь, этим занимаемся. Если говорить вообще о тех проблемах, с которыми сталкивается антивирусная отрасль сегодня и справляется с этим – это большой круг вопросов. Это и сложность вредоносов, и большой их объем. И, концентрируясь на этих вопросах, нам удаётся вполне успешно создавать конкурентоспособный хороший продукт.
 
– Т.е. вы выбрали специализацию – автоматизация?

– Да, можно сказать, что выбрали. Мы ориентируемся на корпоративный рынок. Это немного другой круг задач, требований, нежели для персонального пользователя. Например, к продуктам класса – интернет-секьюрити. 
 
– А как долго вы занимаетесь исследования в области вредоносных программ? Вы лично и компания Вирусблокада в целом?

– Сам продукт Вирусблокада, VBA появился ещё в 1993-м году. Тогда ещё Вячеслав Владимирович Коледа, наш генеральный директор, и Резников Геннадий Константинович, наш коммерческий директор, начинали разработку этого продукта. Тогда это была DOS-версия, на дискетах. В 1997 году появилась копания Вирусблокада и товарный знак – антивирус VBA.

– Как за это время, с 1993 года, изменились вирусы? Я помню ещё эпидемии Windows95.CIH, многие DOS-овские вирусы. Как они эволюционировали, насколько усложнилось распознавание и лечение вирусов?
 
Как изменяется общество со временем, точно так же изменяется разработка вредоносного софта. Если говорить о 90-х годах и 80-х годах, в то время разработкой вирусов занимались  любители, или может быть студенты в общежитиях технических вузов. 
 
Основным их желанием было удивить соседей по комнате или свою девушку. И эти программы либо причиняли серьезный вред компьютеру или сети, либо были какие-то шутки, приколы. Но после 90-х началась повсеместная информатизация. Компьютеры стали появляться везде и многие люди стали ими пользоваться для бизнес-процессов. Например, из дома управлять банковскими счетами. 
 
И история стала поворачиваться в другую сторону. На вредоносном софте стало возможно зарабатывать деньги. Для примера, если кто-то пользуется дома своими банковскими аккаунтами – их можно украсть и воспользоваться ими на стороне. Или, то, что мы сейчас имеем – это рассылка спама, через ботнет, атаки на какого-то заказного клиента через ботнет-сети. Если называть цифры, например, в прошлом году я слышал, что одномоментная DDoS-атака в России на один ресурс стоит около 20 долларов. 
 
Это недорого. Но за счет количества они зарабатывают. То же самое и со спамом. Сотни тысяч компьютеров заражены каким-то червем, который рассылает сотни писем. Пример последних двух лет, с которым многие сталкивались, это блокировщики Windows, блокировщики рабочих столов. 

Т.е. пользователь работает за своим компьютером, потом, через какое-то время у него появляется заставка на рабочем столе, которая блокирует полностью доступ к компьютеру и за возвращение к обычному режиму требует отправить SMS на короткий номер одного из российских мобильных операторов. И стоимость этой SMS – 500-600 российских рублей. То же самое с поддельными антивирусами. 
 
Появляется значок, который показывает, что машина заражена. Предлагает её вылечить и требует от 50 до 100 долларов.  И никакими простыми способами избавиться от этой гадости невозможно. Способов множество. 
 
– Какие основные вредоносные тренды? Т.е. вирусы уходят в коммерциализацию? Может
что-то свежее появилось в первом квартале 2011 года?

– Самые шумные истории за последние несколько лет до сих пор остаются на слуху. И то, что в ТОПах антивирусных компаний находится по проблемам: печально известный вирус "кедо" или "конфигер". Очень многие белорусские предприятия пострадали от него. 
 
– Напомните их основные признаки…

– Это компьютерный червь, который появился в 2008 году и использовал, на тот момент неизвестную уязвимость операционной системы, и, благодаря этому, распространялся по сети. Последствия для доменной системы в том, что пользователи отключались от домена и не имели доступа к своему компьютеру. Сервера выходили из строя и т.д. К сожалению, до сих пор этот вирус находится в топах и многие от него страдают. 
 
Ещё из шумных файловый вирус Sality. Вирус заражает файлы на компьютере пользователя, распространяется через флешки, и вся информационная система полностью заражена.
 
Вирус "вирут" – тоже файловый и достаточно неприятная штука. 
 
Когда я говорил об эволюции – я забыл упомянуть про то, что в  90-х были преимущественно файловые вирусы, а позже больше стало троянов. Нынешний трэнд – это объединение троянов с файловыми вирусами. Это видно на примере этого "салити", который заражает компьютеры, и "вирут", который предоставляется доступ к компьютеру пользователя.
 
– Ещё один момент – появление специализированных червей и вирусов. Например, червь, направленный против ядерной программы Ирана, который обнаруживала ваша компания Stuxnet. Я помню, были вирусы для микроконтроллеров Siemens...

– Это одно и то же.
 
– Можно ли это считать тенденцией или нет?

– Это печальная тенденция. Можно сказать, что Stuxnet - это очередное звено в цепочке некоторых событий, которые говорят о том, что мы живем во время кибер-войн. И это уже данность. Можно вспомнить, что совсем незадолго до появления Stuxnet была проведена атака против транснациональных компаний. В частности, Google, целью которой было украсть какие-то конфиденциальные данные у работников компании. Думаю, у всех на слуху случаи, когда в результате ДОС-атак выходили из строя крупные провайдеры многих стран – в Прибалтике, в Корее. 
 
Что касается червя Stuxnet, расскажу подробнее, потому что мы первые его обнаружили. В прошлом году наши иранские дилеры обратились в нашу техподдержку с такой проблемой: у их пользователей происходят непонятные перезагрузки на компьютерах. Мы установили удаленный доступ к их компьютерам и в  течение нескольких дней обнаружили "тело" вируса. 
 
При изучении мы увидели, что он достаточно интересный, сложный и необычный. Во-первых, в нем использовалась уязвимость при распространении, которая не была ранее известна. Он распространялся через флэшки и lnk-файлы. Модули данного червя были подписаны цифровой подписью компании Realtek (производитель различных "железок" к компьютеру). После этого мы обратились к компании Microsoft и Realtek, сообщили им об обнаруженной угрозе и написали какое-то ревью по данном инциденту.  
 
Это было летом в июне-июле месяце. Информация заинтересовала аналитиков во всем мире. Они стали изучать данный червь более подробно и обнаружили, что он использует куски кода, которые были явно "заточены" под сименсовские SCADA-системы. В результате долгого изучения стало известно, что его целью является саботаж иранской ядерной программы и, позднее, сами иранцы это подтвердили. 
 
– А новых подобных вирусов вы не встречали?

– Это не единичный случай. Это была вирусная эпидемия. Даже на наших белорусских предприятиях были "сработки" на данный вирус. Данный червь особенно поразил азиатский регион. Это была полноценная эпидемия, поскольку использовалась не только та уязвимость, которую мы обнаружили, но и другие, которые были открыты Лабораторией Касперского, компанией Symantec и др.
 
– На ваш взгляд, может ли антивирус распознать всё, и кто сейчас побеждает в соревновании "снаряда" и "брони"?

– Антивирус, к сожалению, распознать всё не может. Цель – распознать всё  - достаточно амбициозная и достичь её тяжело. Антивирус – это не только "сканер по-требованию", который анализирует уже сложившееся состояние на вашем компьютере, но и различные модули, которые перехватывают обращения к вашему компьютеру и об этом сигнализируют. Это различные системы, эвристические анализаторы и т.д., которые могут упредить новые атаки. Но многие пользователи и домашние, и корпоративные считают, что после установки антивируса больше делать ничего не надо, что он и так от всего спасёт. На самом деле, нужно устанавливать те патчи безопасности, которые выпускает тот же Microsoft. Хотя после их установки бывают случаи, что перестаёт работать какая-нибудь программа. Кроме того, используют древние Acrobat Reader 5-й или 6-й версии. Сейчас подавляющее большинство вирусов попадает на компьютер пользователя через уязвимости в обработке PDF. Обновлять нужно не только операционную систему, но и софт.
 
– И всё же, кто пока побеждает? Вирус или антивирус?

– Идет постоянная война. Позиционная. 
 
– Существует огромный рынок угроз, дырок в системе, которые только обнаружены. И, соответственно, под них нет ни антивирусов, ни патчей системы. Как правило, эти дырки продаются, или используются в своих целях. С учетом этого – не является ли весь рынок антивирусов мифом? Потому что удачный 0-day эксплоит – это то, против чего нет приема. Мы можем заразить неограниченное количество компьютеров за смешное время, разместив популярный файл где-то, или взломав популярный сервер. Если вообще "приём" против этих 0-day угроз?

– Если мы имеем в виду ситуацию, когда машина уже заражена через 0-day угрозу, то нам, как минимум нужно её вылечить. Т.е. тут мы без антивируса точно не обойдемся. То, о чем я уже рассказывал, тот же "кедо", это как раз пример 0-day. Понятно, что появляется что-то новое, но антивирусы быстро на это реагируют и противостоят этим угрозам. Тут уже стоит вопрос обновления. Бывают сложные случаи заражения, когда руткит блокирует обновление антивирусных баз.
 
– И что тогда делать?

– Все антивирусные компании выпускают "спасательные образы". Это ISO-образ, который вы можете записать на диск или флэшку, загрузиться и вылечиться. Выпускают бесплатные "сканеры по требованию" с полноценной базой. Его можно запустить и просканировать компьютер. 

– Я знаю, что компания Вирусблокада тестирует сейчас сканер против руткитов. Можете про него что-то рассказать?

– Я уже рассказал про спасательный образ VBA32 – это абсолютно бесплатный продукт, он доступен на наших серверах. Его любой может скачать и им воспользоваться. Весит порядка 100Мб. И мы идем дальше по пути разработки бесплатных утилит, удобных для пользователя. И одна из таких  утилит, третья по счету, утилита VBA32-антируткит. 
 
– Можно в двух словах, что такое руткит?

– Термин "руткит" (root kit) пошел из Линукса. Там есть пользователь "рут" (root), права которого не ограничены. Руткитом принято называть вредоносную программу, которая скрывает следы своего присутствия, либо другой вредоносной программы от пользователя, от антивируса. Сейчас руткиты – сложные и серьёзные программы, которые используют невероятные техники для своего сокрытия. Антивирусные компании разрабатывают специализированные программы – антируткиты, которые обнаруживают аномалии на компьютере пользователя и благодаря этим аномалиям специалист может определить наличие руткита в системе. 
 
– Как пользователю определить, что у него в системе есть руткит и компьютер входит в ботнет? Как правило, это незаметно для пользователя… Какие основные признаки того, что стоит скачать ваш образ  и провериться?

–Например, если с вашего компьютера рассылается спам. Значит у вас, как минимум, растет трафик. И либо ваш провайдер отключает вас от сети, либо просто платите какие-то невероятные деньги за это.

– А если у пользователя безлимитный интернет и он просто не обращает внимания на трафик?

– Он может, отойдя на несколько минут попить кофейку, вернуться и заметить, что красная лампочка обращений к винчестеру у него беспрерывно моргает, хотя на его компьютере никаких активных программ быть не должно. Это тревожный признак. Машина падает в синий экран, возможно, стала "тормозить" машина без каких бы то ни было видимых оснований для этого. Это повод задуматься о проверке на наличие вирусов.
 
– Как лечиться? 

– Доступен наш образ. Можете лечиться.

– И новая утилита?

–Да, она будет отдельно, но доступна. Она больше рассчитана на профессионалов, возможно, на администраторов. Обычный, неподкованный пользователь вряд ли ей сможет воспользоваться. 

– Вопросы от пользователей. Когда вы в последний раз участвовали в независимых сравнительных испытаниях антивирусных программ и когда планируете в следующий раз?

– Мы постоянно участвуем в таких тестированиях. Например, российский независимый портал Antimalware, который производит тестирование различных вендоров. Тестирование разноплановое, по различным направлениям и мы постоянно в  нём участвуем. 
 
– Как можете прокомментировать, что антивирусное ядро Вирусблокада под 64 бита  остаётся 32-битным? Объясните причину быстрого роста антивирусных баз.

– Мы планируем вести разработку 64-битной версии нашего продукта. По поводу баз. Мы каждый день обрабатываем от 20 до 50 ГБ информации – файлы с вирусами. И они все попадают в базу.

Потому ничего удивительного, что база растет. 
 
– Ваше отношение к победе Майкрософт над ботнет-сетью Русток?

– Могу только это приветствовать.
 
– Расскажите поподробнее про борьбу с DoS-атаками и LOIC. Есть ли вообще такие способы?

– Это не компетенция антивирусных вендоров. Это больше компетенция сетевых специалистов.

– Чего нужно и чего не нужно бояться пользователям компьютеров? И можно ли получить ваши советы по антивирусной безопасности для домашнего пользователя, офисного работника, сисадмина-специалиста?

– Обновление баз, обновление программ и софта, который установлен на компьютере. Не попадаться на уловки социальной инженерии – не открывать письма от неизвестных отправителей, не запускать прикрепленные файлы, не ходить по ссылочкам. Это касается всех пользователей. 
 
– Чего стоит бояться и чего не стоит?

– Бояться стоит всего в сети интернет. Пользователи сами добавляют себе проблем, добавляют пути поступления вредоносных программ. Соцсети, к примеру.
 
– Как себя вести в соцсетях?

– В соцсетях нужно вести себя так же как и в своей почте. Если неизвестный пользователь послал вам какое-то сообщение, то это не значит, что нужно сразу ходить по этим ссылкам. Пароли делать достаточные по длине и не хранить их под клавиатурой, не клеить на монитор. 

– Каким вы видите будущее? Пессимистичное, оптимистичное? Может прогнозы ваши  огласите – что мы до конца года увидим от создателей "снарядов" и "брони"?

– Сейчас идет тренд, что вирусные создатели вирусов начали разработку под 64-битную систему и этот тренд будет оставаться. Потому что всё больше и больше таких систем появляется у конечных пользователей. Антивирусные компании сейчас тоже разрабатывают 64-битные версии своих продуктов. Я не склонен думать, что будущее печально. Потому что антивирусы тоже развиваются. Они растут и по своему штату сотрудников по своей технической базе, появляются новые сервера, автоматизация, которая позволят автоматически обрабатывать многие трояны, новые эвристики и т.д. 
 
– Есть расхожее мнение, что создатели антивирусов поддерживают создателей вирусов, потому что те им позволяют заработать на кусок хлеба...

– Это просто бред. Это самое подходящее слово. Поток идет такой, что хватает и без поддержки.

– Что бы вы хотели сказать пользователям TUT.BY, какое-нибудь финальное наставление, пожелание?

– Хотелось бы пожелать, чтобы пользователи не болели и их компьютеры тоже не болели, чтоб были антивирусы и противостояли угрозам. Желаю пользоваться хорошими качественными антивирусами, обновлять их и большинство проблем снимется. 
 

Ещё по теме:

>> Управление "К": В интернете ничего бесследно не исчезает (видео)
>> Эксперт: ежедневно в Беларуси происходит не менее одного инцидента по инфобезопасности (видео)
-35%
-15%
-20%
-20%
-70%
-20%
-25%
-20%
-20%
-10%