суббота, 29 мая 2010 г.

CARO'2010: Итоги

Конференция в этом году была посвящена "Большим числам" и лишь немногие доклады не попадали под эту тему. Еще интересной особенностью этой конференции является то, что не все доклады рассчитаны на широкую огласку и их презентации не будут доступны для скачивания. Таких докладов было немного и некоторые из них не содержали ничего такого, что нельзя было разгласить, но авторы решили перестраховаться. К примеру, один из таких докладов был «Anatomy of a Targeted Attack with Global consequences» , где на примере нашумевшей атаки Aurora, рассказали о возможных целенаправленных атаках. В принципе ничего нового я из доклада для себя не узнал, но презентация была хорошая, вся информация по этой атаки была хорошо структурирована.
Хорошая презентация была «Virtual Machine Protection Technology and AV Industry»но обфусцированный китайский-английский воспринимался очень сложно. Докладчик поднял вопрос о проблемах анализа виртуализованного кода и возможных подходах к решению этой проблемы.
Докладчик из G-Data рассказал о системе MonkeyWrench «Detecting malicious web pages with MonkeyWrench» для обнаружения вредоносной активности на веб-страницах. Планы у них грандиозные и они даже готовы сотрудничать и обмениваться коллекциями. Система интересная, но пока Wepawet круче. Песочница MonkeyWrench основана на принципе эмуляции работы различных браузерных платформ. В ней так же реализованы некоторые эвристические подходы к распознаванию shellcode-последовательностей.
Наверное, больше всех мне понравился доклад “Indexing Large Volumes of Binary Content for Fast Search”, речь там шла о реализации системы быстрого поиска последовательностей в бинарных файлах (PE, ELF …). Сам докладчик очень живенько рассказывал о своей системе, но кроме слов демонстрировал полученные результаты на реальной системе.
Все остальные доклады были тоже интересные, но почему –то больше всего запомнились именно вышеописанные.

Организаторами конференции этого года выступила финская антивирусная компания F-Secure и хочется отдельно поблагодарить Mikko Hyppönen за то, что он приложил много усилий, чтобы от конференции остались только положительные впечатления.

P.S.: Лишь в первый день была хорошая погода и удалось немного по фотографировать достопримечательности Хельсинки.

пятница, 28 мая 2010 г.

CARO'2010: Day2

Заключительной день конференции был менее насыщенным. Хотя достойные доклады тоже были:
- "Detecting malicious web pages with MonkeyWrench"
- "Using Value Set Analysis for Classification of metamorphic Malware Samples"
В этот день ко мне доматались корейцы из компании AhLab, которые всячески пытались от меня получить информацию о внутренних тулзах :)

среда, 26 мая 2010 г.

CARO'2010: Day1

Собственно сегодня с 9:00 уже начала свою работу конференция CARO'2010. Тема этой конференции "Большие числа". Речь идет о постоянном росте кол-ва вредоносных объектов, увлечения числа сигнатур и собственно размера самих антивирусных баз. Именно об этом сегодня много говорили, да и пожалуй завтра тоже продолжат :). Интересно, что самое большое число докладчиков на конференции представляют компанию Microsoft. А еще более интересно то, что доклады у них очень даже заслуживающие внимания. Частично презентации уже выложили здесь.

Пока на этом все, подробнее о докладах напишу в итоговом посте :)

понедельник, 24 мая 2010 г.

CARO'2010


Завтра выдвигаюсь на конференцию CARO'2010. В этом году она проходит в Хельсинки и организаторами выступают F-Secure. Достаточно много интересных докладов в программе, по итогам обязательно отпишу и расскажу как оно вообще было.

вторник, 4 мая 2010 г.

Статистика распространенности различных версий TDSS

Недавно в сети появился интересный отчет от MS о распространенности различных версий TDSS. Распространенность по версиям очевидна, самые популярные экземпляры относятся к последними модификациям этого зловреда.

Достаточное большое распространение имеют дроперы устанавливающие этого руткита в систему. Интересные данные по обнаруженным инцидентам на разных ОС семейства MS Windows:

По количеству инцидентов по прежнему лидирует платформа WinXP, что в принципе очевидно. Причем среди этих инцидентов не малая доля приходится на пользователей XP SP2, по всей видимости это пользователи пиратских версий, иначе нельзя объяснить столь длительное игнорирование напоминаний об обновлении. Ну разве, что это все пользователи Soft-Ice :)
Если говорить о региональной активности, то среди стран лидирует США, причем с громадным отрывом от остальных.

Это можно объяснить наибольшей популярностью антивирусных продуктов от MS в этом регионе, хотя в целом активность этого руткита в США очень велика.

Update: Опубликован обновленный вариант этой статистики за май. В объемах сильно подросла последняя модификация, а вот распространенность более старых версий, как и предполагалось, стремительно падает.