На вопросы хабрааудитории ответил технический директор и владелец компании «Доктор Веб» Игорь Данилов.
Какой из последних вирусов вам понравился (зацепил методами работы, схемой распространения, противодействиями работе антивирусов) более всего и почему?
Одним из последних «понравившихся» мне вирусов был PM.Wanderer, который был написан очень давно, в 1996-97 году. Интересен он был тем, что использовал защищённый режим процессора. В те далёкие времена вирусописатели (и не только вирусописатели, но и антивирусописатели) никак не могли освоить защищённый режим. Я всё ждал, ждал, когда появится хоть один «нормальный образец». И дождался — здесь можно почитать об этом вирусе.
Есть «интересные» образцы и сейчас. Но меня они не «цепляют». Да, реализация более сложная, да, технологически более совершенные. Но идей нет. Всё уже было создано до них. Из последних запомнившихся — Win32.Polipos и Trojan.Skimer. Последний продемонстрировал нам, с какой чудовищной лёгкостью можно «вышибать» чужие деньги из банкоматов. Изучение инфицированных банкоматов было очень интересным событием для наших аналитиков.
Игорь! Как вы прокомментируете последнее крупное ложное срабатывание антивируса Dr.Web, в результате которого были удалены сотни тысяч файлов ctfmon.exe и испорчена жизнь сотням системным администраторам?
Да, каюсь, очень неприятное событие для нас. И не только для нас, но и для наших пользователей. Приношу свои извинения всем пострадавшим. Только немного поправлю Вас — всё-таки количество пострадавших было значительно меньше, чем сотни тысяч, о которых Вы говорите. Но это не меняет дело. На самом деле произошёл очень курьёзный случай, когда в результате ошибки вирусным аналитиком вручную были отключены все автоматы, блокирующие выпуск дополнения, имеющего ложные срабатывания после тестового сканирования. В настоящее время установлен дополнительный контроль над всевозможными отключениями защиты.
Какой антивирус (кроме Dr.Web), платный и бесплатный, вы считаете лучшим и почему? Только честно.
Лучший антивирус лично я выделить не могу. И что значит лучший? Лучшего не может быть по определению. Если только по набору каких-либо заданных параметров. Но кто будет классифицировать эти параметры? Просто превосходно, если у какого-либо антивируса будет хоть одно какое-то собственное технологическое свойство, которое будет выделять его из толпы конкурентов. Но, как правило, все похожи друг на друга, как братья-близнецы. Особенно сегодня, когда практически все антивирусные компании воруют друг у друга технологии и детектирование вирусов. Надеюсь, я честно ответил на Ваш вопрос.
Знакомы ли вы с Евгением Касперским? Если да, то какие у вас отношения?
Знакомы. Наверное, сможем узнать друг друга на улице. Никаких отношений между нами нет.
Ваше мнение о Microsoft Security Essentials как антивирусе?
Такой же, как и все. Могу отметить, пожалуй, неплохой эмулятор процессора, который позволяет распаковать упакованные объекты. Но из-за этого значительно страдает скорость сканирования у MSE — он один из самых медленных антивирусов при сканировании нами вирусных коллекций. Более ничего выдающегося за ним выделить не могу.
Как можете прокомментировать недавнее сообщение о запуске «Яндексом» собственной системы проверки сайтов на наличие вредоносного кода?
Вот в данном случае я никак не могу прокомментировать это недавнее событие. Что-то они, может быть, и сделали. Но как и насколько хорошо, я не знаю. И, честно говоря, меня это не особенно волновало. Если сделали хорошо — молодцы. Если плохо, то не очень-то и молодцы.
Как вы думаете, когда закончится эпоха вирусов SMS-вымогателей? И почему эта эпоха так затянулась на просторах Рунета?
С позиции технического специалиста в области IT-безопасности я могу только констатировать, что у нас в стране творится полная неразбериха и бардак в сфере компьютерных преступлений и мошенничества. И не только в ней. Когда бардак закончится, когда операторов научат контролировать контент-провайдеров, когда правоохранительные органы займутся наконец-то поиском преступников, когда… И много еще всяческих «когда». К сожалению, при нынешней ситуации в стране, я думаю, что произойдёт это ещё очень не скоро. Если вообще когда-нибудь произойдёт. Потому эта «эпоха» так и затянулась.
Базы с сигнатурами продолжают расти, обновляясь по нескольку раз на дню. Стоит только запаковать тот же вирус по другому — и сигнатура меняется. Есть ли удачные (надёжные/быстрые) решения этой проблемы (типа эвристического анализа), или новые вирусы должны сперва навредить и попасть в базы, чтобы антивирус начал с ними бороться?
Конечно, такие решения существуют. И применяются различными антивирусами. Например, Avira или BitDefender все упакованные исполняемые файлы, контрольной суммы которых нет в их «белом списке» базы данных, считает сразу же вредоносными и содержащими вирусный или троянский код. Но вирусам или троянским программам это не мешает зачастую попадать на компьютеры, находящиеся под защитой данных антивирусов. Как-то мне в руки попал компьютер, в котором жили и прекрасно себя чувствовали десятки модификаций всяческих троянцев. Один из указанных выше антивирусов очень толерантно вёл себя по отношению к ним. Поэтому я бы не стал говорить на нынешнем этапе о быстрых и надёжных решениях. Проблема существует.
Буквально только что к нам пришло письмо от пользователя, который упаковал один из антивирусов с помощью архиватора RAR и создал саморазворачивающийся дистрибутив. Результаты вы можете посмотреть здесь. Вот такое вот детектирование уважаемыми антивирусами. В том числе и антивирусом, который проверял свою собственную копию.
Вы говорили в других интервью, что фантазия нынешних вирусописателей совсем оскудела, из-за чего писать антивирус под штамповку становится скучно. В чём сейчас вы находите интерес в работе? Какие программные проекты продвигаете в компании лично вы?
Я говорил это в то время, когда сам по роду своей деятельности был связан непосредственно с разбором и анализом вирусного кода. В настоящее время, к сожалению или к радости, я уже так близко с вирусами не контактирую. Мне приходится отвечать за все технические решения компании. Также я лично участвую в разработке нового антивирусного поискового модуля (двигателя или engine в простонародье). А интерес нахожу в генерации идей. В создании технологических решений, аналогов которых у конкурентов нет. Нам (и лично мне) есть чем гордиться. Немногие из компаний могут похвастаться наличием или качеством продуктов, например, таких как Dr.Web для Novell NetWare, Dr.Web для Unix/Linuх, Dr.Web ES или Dr.Web AV-Desk. А такого продукта как Dr.Web CureNet! вообще ни у кого нет. Если кто-либо и может этим похвалиться, то эти компании происходят из «большой тройки». Можете вы мне подсказать хоть одну компанию рангом пониже, у которой существуют подобные технологические решения? Я не могу. Это и есть мой интерес — делать такие вещи, которые далеко не все смогут создать. Это на самом деле пока ещё доставляет мне удовольствие.
Как вы считаете, не проигрывают ли антивирусы войну? Распространение скоростного интернета, доступность компьютеров, повальное увлечение Windows делают вирусные эпидемии предсказуемыми. Антивирус по принципам своей работы всегда отстаёт на шаг от вируса и этого шага хватает чтобы заразить миллионы машин. Какой выход видит ваша компания из этого тупика?
Считаю, что проигрывают. Но антивирусы априори должны проигрывать. Таков закон жанра — атакующий всегда имеет некоторое преимущество и фору. И дело даже не в Windows и скоростном интернете, хотя эти факторы немаловажны. Вирусы выигрывали и в DOS. Просто тогда масштабы поражения компьютеров были не так велики, как сейчас. И вирусы писались ради баловства или собственного тщеславия. Сейчас же для баловства никто вирусы и троянские программы не создает. Цель другая, более меркантильная. Это уже мафия. А с мафией бороться значительно сложнее. Особенно если, в действительности, в некоторых «развивающихся» странах (Россия, Украина, Китай...) с ней вообще никто не борется и не собирается бороться.
Если же говорить о нас — конечно, мы постоянно думаем о том, чтобы усовершенствовать собственную технологию детектирования. И ситуация постепенно улучшается. Существенно модернизируются или появляются новые методы: эвристики, «похожести», FLY-CODE, брандмауэр… Скоро появится наша новая технология SpIDer Netting. Надеюсь, она понравится нашим пользователям. И вирусописателям. Мы не можем стоять на месте, впрочем, как и остальные антивирусные компании. Но вы сами можете отметить, что сейчас ситуация значительно лучше, чем 3-4 года назад, когда все антивирусные решения значительно проигрывали вирусам.
Что случилось с вирусами за последний год, что лечащая утилита CureIt выросла в объёме вдвое?
Ничего существенного. Просто их, вирусов, становится всё больше и больше. К тому же мы реализовали некоторые дополнительные возможности для собственной маскировки, защиты и противодействия вредоносным программам.
Какой следующий шаг в развитии антивирусов считаете самым интересным/перспективным?
Улучшение детектирования и распознавания вирусного кода на ранних стадиях проникновения в систему. Любым доступным способом.
Вообще, что сейчас интересного происходит «в сумраке», за той ширмой, что показывают конечным пользователям? Произошло ли что-нибудь интересного в связи с выходом Windows 7?
Я ничего не понял про «сумрак». Если Вы про антивирусную индустрию, то я не знаю, что вас интересует. Кто-то делает деньги, кто-то — технологии. Но все, вроде бы, сражаются со «злом». Если вы про вирусную мафию, то я не знаю, что они делают «интересного» в данный момент. Собираются воровать деньги пользователей компьютеров с помощью написанного ими кода, видимо.
А что могло произойти с выходом Windows 7? Мир должен был перевернуться от восторга? Я ничего принципиально нового не заметил. Может быть плохо смотрел? Марк Збиковски под красное вино целых два часа рассказывал мне, что Windows 7 — это лучшее, что было сделано в Microsoft. Я ему верю. Такому человеку не поверить нельзя.
Ваше мнение о российской «Силиконовой долине»?
Восторженное. Только я не знаю, где эта «долина» расположена в Российской Федерации.
Почему Dr. Web применяет схемы распространения своих продуктов, напоминающие сетевой маркетинг? Пару раз ко мне обращались назойливые люди с предложениями типа: «У нас есть предложение для Вас, Вашей фирмы и Ваших клиентов — антивирус Dr. Web по цене ниже официальной». Вежливый отказ игнорируют, приходится посылать. Некоторые провайдеры навязывают своим абонентам опять же Dr. Web, т.к. заключают договоры с подобными распространителями.
Вы открываете мне глаза на наши схемы распространения. А я до сих пор считал, что мы продаём свой продукт через партнёров и непосредственно через интернет-магазины. А, оказывается, мы используем какой-то сетевой маркетинг. Вы в следующий раз приводите этих людей к нам. Может быть, это обыкновенные пираты или мошенники?
Помнится, раньше зачитывался одним файликом с описанием вирусов, который шёл в комплекте с DrWeb, в нем было множество перлов вроде «В дисководе А: две дискеты!!», «Вентилятор защищён от записи», и т.д. Есть ли сейчас такое? Кажется, это была традиция начатая Дмитрием Лозинским и подобный файлик шёл в комплекте с его полифагом Aidstest?
Именно так. У нас началось всё это с Дмитрия Николаевича Лозинского. Я просто продолжил его традицию. Хотя раньше практически все антивирусные производители вели такие более или менее подробные описания вирусов. Благо, вредоносных программ было не так много, и можно было на каждый экземпляр составить свой формуляр. Сегодня это невозможно. Уж слишком много всяческой вирусной дряни. И «функционал» у всех похож друг на друга до безобразия. Мы делаем описания только наиболее интересных, на наш взгляд, образцов или получивших наибольшее распространение — вызвавших серьёзные вирусные эпидемии.
Интересно, такие брошюры Dr.Web образца 1997 года создавались при вашем участии?
Нет, в создании этих брошюр я не участвовал. Выступал только как критик.
Создавали эти неповторимые образы Алексей Абрамкин (художник) и Сергей Островский (генератор идей).
Спасибо за вопросы. Спасибо за внимание. Если вы считаете, что я недостаточно подробно или недобросовестно ответил на какой-либо вопрос, если у вас появились новые вопросы — добро пожаловать на наш форум в раздел «Вопросы Игорю Данилову». Там мы можем продолжить дискуссию.
Какой из последних вирусов вам понравился (зацепил методами работы, схемой распространения, противодействиями работе антивирусов) более всего и почему?
Одним из последних «понравившихся» мне вирусов был PM.Wanderer, который был написан очень давно, в 1996-97 году. Интересен он был тем, что использовал защищённый режим процессора. В те далёкие времена вирусописатели (и не только вирусописатели, но и антивирусописатели) никак не могли освоить защищённый режим. Я всё ждал, ждал, когда появится хоть один «нормальный образец». И дождался — здесь можно почитать об этом вирусе.
Есть «интересные» образцы и сейчас. Но меня они не «цепляют». Да, реализация более сложная, да, технологически более совершенные. Но идей нет. Всё уже было создано до них. Из последних запомнившихся — Win32.Polipos и Trojan.Skimer. Последний продемонстрировал нам, с какой чудовищной лёгкостью можно «вышибать» чужие деньги из банкоматов. Изучение инфицированных банкоматов было очень интересным событием для наших аналитиков.
Игорь! Как вы прокомментируете последнее крупное ложное срабатывание антивируса Dr.Web, в результате которого были удалены сотни тысяч файлов ctfmon.exe и испорчена жизнь сотням системным администраторам?
Да, каюсь, очень неприятное событие для нас. И не только для нас, но и для наших пользователей. Приношу свои извинения всем пострадавшим. Только немного поправлю Вас — всё-таки количество пострадавших было значительно меньше, чем сотни тысяч, о которых Вы говорите. Но это не меняет дело. На самом деле произошёл очень курьёзный случай, когда в результате ошибки вирусным аналитиком вручную были отключены все автоматы, блокирующие выпуск дополнения, имеющего ложные срабатывания после тестового сканирования. В настоящее время установлен дополнительный контроль над всевозможными отключениями защиты.
Какой антивирус (кроме Dr.Web), платный и бесплатный, вы считаете лучшим и почему? Только честно.
Лучший антивирус лично я выделить не могу. И что значит лучший? Лучшего не может быть по определению. Если только по набору каких-либо заданных параметров. Но кто будет классифицировать эти параметры? Просто превосходно, если у какого-либо антивируса будет хоть одно какое-то собственное технологическое свойство, которое будет выделять его из толпы конкурентов. Но, как правило, все похожи друг на друга, как братья-близнецы. Особенно сегодня, когда практически все антивирусные компании воруют друг у друга технологии и детектирование вирусов. Надеюсь, я честно ответил на Ваш вопрос.
Знакомы ли вы с Евгением Касперским? Если да, то какие у вас отношения?
Знакомы. Наверное, сможем узнать друг друга на улице. Никаких отношений между нами нет.
Ваше мнение о Microsoft Security Essentials как антивирусе?
Такой же, как и все. Могу отметить, пожалуй, неплохой эмулятор процессора, который позволяет распаковать упакованные объекты. Но из-за этого значительно страдает скорость сканирования у MSE — он один из самых медленных антивирусов при сканировании нами вирусных коллекций. Более ничего выдающегося за ним выделить не могу.
Как можете прокомментировать недавнее сообщение о запуске «Яндексом» собственной системы проверки сайтов на наличие вредоносного кода?
Вот в данном случае я никак не могу прокомментировать это недавнее событие. Что-то они, может быть, и сделали. Но как и насколько хорошо, я не знаю. И, честно говоря, меня это не особенно волновало. Если сделали хорошо — молодцы. Если плохо, то не очень-то и молодцы.
Как вы думаете, когда закончится эпоха вирусов SMS-вымогателей? И почему эта эпоха так затянулась на просторах Рунета?
С позиции технического специалиста в области IT-безопасности я могу только констатировать, что у нас в стране творится полная неразбериха и бардак в сфере компьютерных преступлений и мошенничества. И не только в ней. Когда бардак закончится, когда операторов научат контролировать контент-провайдеров, когда правоохранительные органы займутся наконец-то поиском преступников, когда… И много еще всяческих «когда». К сожалению, при нынешней ситуации в стране, я думаю, что произойдёт это ещё очень не скоро. Если вообще когда-нибудь произойдёт. Потому эта «эпоха» так и затянулась.
Базы с сигнатурами продолжают расти, обновляясь по нескольку раз на дню. Стоит только запаковать тот же вирус по другому — и сигнатура меняется. Есть ли удачные (надёжные/быстрые) решения этой проблемы (типа эвристического анализа), или новые вирусы должны сперва навредить и попасть в базы, чтобы антивирус начал с ними бороться?
Конечно, такие решения существуют. И применяются различными антивирусами. Например, Avira или BitDefender все упакованные исполняемые файлы, контрольной суммы которых нет в их «белом списке» базы данных, считает сразу же вредоносными и содержащими вирусный или троянский код. Но вирусам или троянским программам это не мешает зачастую попадать на компьютеры, находящиеся под защитой данных антивирусов. Как-то мне в руки попал компьютер, в котором жили и прекрасно себя чувствовали десятки модификаций всяческих троянцев. Один из указанных выше антивирусов очень толерантно вёл себя по отношению к ним. Поэтому я бы не стал говорить на нынешнем этапе о быстрых и надёжных решениях. Проблема существует.
Буквально только что к нам пришло письмо от пользователя, который упаковал один из антивирусов с помощью архиватора RAR и создал саморазворачивающийся дистрибутив. Результаты вы можете посмотреть здесь. Вот такое вот детектирование уважаемыми антивирусами. В том числе и антивирусом, который проверял свою собственную копию.
Вы говорили в других интервью, что фантазия нынешних вирусописателей совсем оскудела, из-за чего писать антивирус под штамповку становится скучно. В чём сейчас вы находите интерес в работе? Какие программные проекты продвигаете в компании лично вы?
Я говорил это в то время, когда сам по роду своей деятельности был связан непосредственно с разбором и анализом вирусного кода. В настоящее время, к сожалению или к радости, я уже так близко с вирусами не контактирую. Мне приходится отвечать за все технические решения компании. Также я лично участвую в разработке нового антивирусного поискового модуля (двигателя или engine в простонародье). А интерес нахожу в генерации идей. В создании технологических решений, аналогов которых у конкурентов нет. Нам (и лично мне) есть чем гордиться. Немногие из компаний могут похвастаться наличием или качеством продуктов, например, таких как Dr.Web для Novell NetWare, Dr.Web для Unix/Linuх, Dr.Web ES или Dr.Web AV-Desk. А такого продукта как Dr.Web CureNet! вообще ни у кого нет. Если кто-либо и может этим похвалиться, то эти компании происходят из «большой тройки». Можете вы мне подсказать хоть одну компанию рангом пониже, у которой существуют подобные технологические решения? Я не могу. Это и есть мой интерес — делать такие вещи, которые далеко не все смогут создать. Это на самом деле пока ещё доставляет мне удовольствие.
Как вы считаете, не проигрывают ли антивирусы войну? Распространение скоростного интернета, доступность компьютеров, повальное увлечение Windows делают вирусные эпидемии предсказуемыми. Антивирус по принципам своей работы всегда отстаёт на шаг от вируса и этого шага хватает чтобы заразить миллионы машин. Какой выход видит ваша компания из этого тупика?
Считаю, что проигрывают. Но антивирусы априори должны проигрывать. Таков закон жанра — атакующий всегда имеет некоторое преимущество и фору. И дело даже не в Windows и скоростном интернете, хотя эти факторы немаловажны. Вирусы выигрывали и в DOS. Просто тогда масштабы поражения компьютеров были не так велики, как сейчас. И вирусы писались ради баловства или собственного тщеславия. Сейчас же для баловства никто вирусы и троянские программы не создает. Цель другая, более меркантильная. Это уже мафия. А с мафией бороться значительно сложнее. Особенно если, в действительности, в некоторых «развивающихся» странах (Россия, Украина, Китай...) с ней вообще никто не борется и не собирается бороться.
Если же говорить о нас — конечно, мы постоянно думаем о том, чтобы усовершенствовать собственную технологию детектирования. И ситуация постепенно улучшается. Существенно модернизируются или появляются новые методы: эвристики, «похожести», FLY-CODE, брандмауэр… Скоро появится наша новая технология SpIDer Netting. Надеюсь, она понравится нашим пользователям. И вирусописателям. Мы не можем стоять на месте, впрочем, как и остальные антивирусные компании. Но вы сами можете отметить, что сейчас ситуация значительно лучше, чем 3-4 года назад, когда все антивирусные решения значительно проигрывали вирусам.
Что случилось с вирусами за последний год, что лечащая утилита CureIt выросла в объёме вдвое?
Ничего существенного. Просто их, вирусов, становится всё больше и больше. К тому же мы реализовали некоторые дополнительные возможности для собственной маскировки, защиты и противодействия вредоносным программам.
Какой следующий шаг в развитии антивирусов считаете самым интересным/перспективным?
Улучшение детектирования и распознавания вирусного кода на ранних стадиях проникновения в систему. Любым доступным способом.
Вообще, что сейчас интересного происходит «в сумраке», за той ширмой, что показывают конечным пользователям? Произошло ли что-нибудь интересного в связи с выходом Windows 7?
Я ничего не понял про «сумрак». Если Вы про антивирусную индустрию, то я не знаю, что вас интересует. Кто-то делает деньги, кто-то — технологии. Но все, вроде бы, сражаются со «злом». Если вы про вирусную мафию, то я не знаю, что они делают «интересного» в данный момент. Собираются воровать деньги пользователей компьютеров с помощью написанного ими кода, видимо.
А что могло произойти с выходом Windows 7? Мир должен был перевернуться от восторга? Я ничего принципиально нового не заметил. Может быть плохо смотрел? Марк Збиковски под красное вино целых два часа рассказывал мне, что Windows 7 — это лучшее, что было сделано в Microsoft. Я ему верю. Такому человеку не поверить нельзя.
Ваше мнение о российской «Силиконовой долине»?
Восторженное. Только я не знаю, где эта «долина» расположена в Российской Федерации.
Почему Dr. Web применяет схемы распространения своих продуктов, напоминающие сетевой маркетинг? Пару раз ко мне обращались назойливые люди с предложениями типа: «У нас есть предложение для Вас, Вашей фирмы и Ваших клиентов — антивирус Dr. Web по цене ниже официальной». Вежливый отказ игнорируют, приходится посылать. Некоторые провайдеры навязывают своим абонентам опять же Dr. Web, т.к. заключают договоры с подобными распространителями.
Вы открываете мне глаза на наши схемы распространения. А я до сих пор считал, что мы продаём свой продукт через партнёров и непосредственно через интернет-магазины. А, оказывается, мы используем какой-то сетевой маркетинг. Вы в следующий раз приводите этих людей к нам. Может быть, это обыкновенные пираты или мошенники?
Помнится, раньше зачитывался одним файликом с описанием вирусов, который шёл в комплекте с DrWeb, в нем было множество перлов вроде «В дисководе А: две дискеты!!», «Вентилятор защищён от записи», и т.д. Есть ли сейчас такое? Кажется, это была традиция начатая Дмитрием Лозинским и подобный файлик шёл в комплекте с его полифагом Aidstest?
Именно так. У нас началось всё это с Дмитрия Николаевича Лозинского. Я просто продолжил его традицию. Хотя раньше практически все антивирусные производители вели такие более или менее подробные описания вирусов. Благо, вредоносных программ было не так много, и можно было на каждый экземпляр составить свой формуляр. Сегодня это невозможно. Уж слишком много всяческой вирусной дряни. И «функционал» у всех похож друг на друга до безобразия. Мы делаем описания только наиболее интересных, на наш взгляд, образцов или получивших наибольшее распространение — вызвавших серьёзные вирусные эпидемии.
Интересно, такие брошюры Dr.Web образца 1997 года создавались при вашем участии?
Нет, в создании этих брошюр я не участвовал. Выступал только как критик.
Создавали эти неповторимые образы Алексей Абрамкин (художник) и Сергей Островский (генератор идей).
Спасибо за вопросы. Спасибо за внимание. Если вы считаете, что я недостаточно подробно или недобросовестно ответил на какой-либо вопрос, если у вас появились новые вопросы — добро пожаловать на наш форум в раздел «Вопросы Игорю Данилову». Там мы можем продолжить дискуссию.