Пользователь
0,0
рейтинг
16 марта 2010 в 06:19

Хабраинтервью с Игорем Даниловым (Dr.Web)

На вопросы хабрааудитории ответил технический директор и владелец компании «Доктор Веб» Игорь Данилов.

Какой из последних вирусов вам понравился (зацепил методами работы, схемой распространения, противодействиями работе антивирусов) более всего и почему?

Одним из последних «понравившихся» мне вирусов был PM.Wanderer, который был написан очень давно, в 1996-97 году. Интересен он был тем, что использовал защищённый режим процессора. В те далёкие времена вирусописатели (и не только вирусописатели, но и антивирусописатели) никак не могли освоить защищённый режим. Я всё ждал, ждал, когда появится хоть один «нормальный образец». И дождался — здесь можно почитать об этом вирусе.

Есть «интересные» образцы и сейчас. Но меня они не «цепляют». Да, реализация более сложная, да, технологически более совершенные. Но идей нет. Всё уже было создано до них. Из последних запомнившихся — Win32.Polipos и Trojan.Skimer. Последний продемонстрировал нам, с какой чудовищной лёгкостью можно «вышибать» чужие деньги из банкоматов. Изучение инфицированных банкоматов было очень интересным событием для наших аналитиков.

Игорь! Как вы прокомментируете последнее крупное ложное срабатывание антивируса Dr.Web, в результате которого были удалены сотни тысяч файлов ctfmon.exe и испорчена жизнь сотням системным администраторам?

Да, каюсь, очень неприятное событие для нас. И не только для нас, но и для наших пользователей. Приношу свои извинения всем пострадавшим. Только немного поправлю Вас — всё-таки количество пострадавших было значительно меньше, чем сотни тысяч, о которых Вы говорите. Но это не меняет дело. На самом деле произошёл очень курьёзный случай, когда в результате ошибки вирусным аналитиком вручную были отключены все автоматы, блокирующие выпуск дополнения, имеющего ложные срабатывания после тестового сканирования. В настоящее время установлен дополнительный контроль над всевозможными отключениями защиты.

Какой антивирус (кроме Dr.Web), платный и бесплатный, вы считаете лучшим и почему? Только честно.

Лучший антивирус лично я выделить не могу. И что значит лучший? Лучшего не может быть по определению. Если только по набору каких-либо заданных параметров. Но кто будет классифицировать эти параметры? Просто превосходно, если у какого-либо антивируса будет хоть одно какое-то собственное технологическое свойство, которое будет выделять его из толпы конкурентов. Но, как правило, все похожи друг на друга, как братья-близнецы. Особенно сегодня, когда практически все антивирусные компании воруют друг у друга технологии и детектирование вирусов. Надеюсь, я честно ответил на Ваш вопрос.

Знакомы ли вы с Евгением Касперским? Если да, то какие у вас отношения?

Знакомы. Наверное, сможем узнать друг друга на улице. Никаких отношений между нами нет.

Ваше мнение о Microsoft Security Essentials как антивирусе?

Такой же, как и все. Могу отметить, пожалуй, неплохой эмулятор процессора, который позволяет распаковать упакованные объекты. Но из-за этого значительно страдает скорость сканирования у MSE — он один из самых медленных антивирусов при сканировании нами вирусных коллекций. Более ничего выдающегося за ним выделить не могу.

Как можете прокомментировать недавнее сообщение о запуске «Яндексом» собственной системы проверки сайтов на наличие вредоносного кода?

Вот в данном случае я никак не могу прокомментировать это недавнее событие. Что-то они, может быть, и сделали. Но как и насколько хорошо, я не знаю. И, честно говоря, меня это не особенно волновало. Если сделали хорошо — молодцы. Если плохо, то не очень-то и молодцы.

Как вы думаете, когда закончится эпоха вирусов SMS-вымогателей? И почему эта эпоха так затянулась на просторах Рунета?

С позиции технического специалиста в области IT-безопасности я могу только констатировать, что у нас в стране творится полная неразбериха и бардак в сфере компьютерных преступлений и мошенничества. И не только в ней. Когда бардак закончится, когда операторов научат контролировать контент-провайдеров, когда правоохранительные органы займутся наконец-то поиском преступников, когда… И много еще всяческих «когда». К сожалению, при нынешней ситуации в стране, я думаю, что произойдёт это ещё очень не скоро. Если вообще когда-нибудь произойдёт. Потому эта «эпоха» так и затянулась.

Базы с сигнатурами продолжают расти, обновляясь по нескольку раз на дню. Стоит только запаковать тот же вирус по другому — и сигнатура меняется. Есть ли удачные (надёжные/быстрые) решения этой проблемы (типа эвристического анализа), или новые вирусы должны сперва навредить и попасть в базы, чтобы антивирус начал с ними бороться?

Конечно, такие решения существуют. И применяются различными антивирусами. Например, Avira или BitDefender все упакованные исполняемые файлы, контрольной суммы которых нет в их «белом списке» базы данных, считает сразу же вредоносными и содержащими вирусный или троянский код. Но вирусам или троянским программам это не мешает зачастую попадать на компьютеры, находящиеся под защитой данных антивирусов. Как-то мне в руки попал компьютер, в котором жили и прекрасно себя чувствовали десятки модификаций всяческих троянцев. Один из указанных выше антивирусов очень толерантно вёл себя по отношению к ним. Поэтому я бы не стал говорить на нынешнем этапе о быстрых и надёжных решениях. Проблема существует.

Буквально только что к нам пришло письмо от пользователя, который упаковал один из антивирусов с помощью архиватора RAR и создал саморазворачивающийся дистрибутив. Результаты вы можете посмотреть здесь. Вот такое вот детектирование уважаемыми антивирусами. В том числе и антивирусом, который проверял свою собственную копию.

Вы говорили в других интервью, что фантазия нынешних вирусописателей совсем оскудела, из-за чего писать антивирус под штамповку становится скучно. В чём сейчас вы находите интерес в работе? Какие программные проекты продвигаете в компании лично вы?

Я говорил это в то время, когда сам по роду своей деятельности был связан непосредственно с разбором и анализом вирусного кода. В настоящее время, к сожалению или к радости, я уже так близко с вирусами не контактирую. Мне приходится отвечать за все технические решения компании. Также я лично участвую в разработке нового антивирусного поискового модуля (двигателя или engine в простонародье). А интерес нахожу в генерации идей. В создании технологических решений, аналогов которых у конкурентов нет. Нам (и лично мне) есть чем гордиться. Немногие из компаний могут похвастаться наличием или качеством продуктов, например, таких как Dr.Web для Novell NetWare, Dr.Web для Unix/Linuх, Dr.Web ES или Dr.Web AV-Desk. А такого продукта как Dr.Web CureNet! вообще ни у кого нет. Если кто-либо и может этим похвалиться, то эти компании происходят из «большой тройки». Можете вы мне подсказать хоть одну компанию рангом пониже, у которой существуют подобные технологические решения? Я не могу. Это и есть мой интерес — делать такие вещи, которые далеко не все смогут создать. Это на самом деле пока ещё доставляет мне удовольствие.

Как вы считаете, не проигрывают ли антивирусы войну? Распространение скоростного интернета, доступность компьютеров, повальное увлечение Windows делают вирусные эпидемии предсказуемыми. Антивирус по принципам своей работы всегда отстаёт на шаг от вируса и этого шага хватает чтобы заразить миллионы машин. Какой выход видит ваша компания из этого тупика?

Считаю, что проигрывают. Но антивирусы априори должны проигрывать. Таков закон жанра — атакующий всегда имеет некоторое преимущество и фору. И дело даже не в Windows и скоростном интернете, хотя эти факторы немаловажны. Вирусы выигрывали и в DOS. Просто тогда масштабы поражения компьютеров были не так велики, как сейчас. И вирусы писались ради баловства или собственного тщеславия. Сейчас же для баловства никто вирусы и троянские программы не создает. Цель другая, более меркантильная. Это уже мафия. А с мафией бороться значительно сложнее. Особенно если, в действительности, в некоторых «развивающихся» странах (Россия, Украина, Китай...) с ней вообще никто не борется и не собирается бороться.

Если же говорить о нас — конечно, мы постоянно думаем о том, чтобы усовершенствовать собственную технологию детектирования. И ситуация постепенно улучшается. Существенно модернизируются или появляются новые методы: эвристики, «похожести», FLY-CODE, брандмауэр… Скоро появится наша новая технология SpIDer Netting. Надеюсь, она понравится нашим пользователям. И вирусописателям. Мы не можем стоять на месте, впрочем, как и остальные антивирусные компании. Но вы сами можете отметить, что сейчас ситуация значительно лучше, чем 3-4 года назад, когда все антивирусные решения значительно проигрывали вирусам.

Что случилось с вирусами за последний год, что лечащая утилита CureIt выросла в объёме вдвое?

Ничего существенного. Просто их, вирусов, становится всё больше и больше. К тому же мы реализовали некоторые дополнительные возможности для собственной маскировки, защиты и противодействия вредоносным программам.

Какой следующий шаг в развитии антивирусов считаете самым интересным/перспективным?

Улучшение детектирования и распознавания вирусного кода на ранних стадиях проникновения в систему. Любым доступным способом.

Вообще, что сейчас интересного происходит «в сумраке», за той ширмой, что показывают конечным пользователям? Произошло ли что-нибудь интересного в связи с выходом Windows 7?

Я ничего не понял про «сумрак». Если Вы про антивирусную индустрию, то я не знаю, что вас интересует. Кто-то делает деньги, кто-то — технологии. Но все, вроде бы, сражаются со «злом». Если вы про вирусную мафию, то я не знаю, что они делают «интересного» в данный момент. Собираются воровать деньги пользователей компьютеров с помощью написанного ими кода, видимо.

А что могло произойти с выходом Windows 7? Мир должен был перевернуться от восторга? Я ничего принципиально нового не заметил. Может быть плохо смотрел? Марк Збиковски под красное вино целых два часа рассказывал мне, что Windows 7 — это лучшее, что было сделано в Microsoft. Я ему верю. Такому человеку не поверить нельзя.

Ваше мнение о российской «Силиконовой долине»?

Восторженное. Только я не знаю, где эта «долина» расположена в Российской Федерации.

Почему Dr. Web применяет схемы распространения своих продуктов, напоминающие сетевой маркетинг? Пару раз ко мне обращались назойливые люди с предложениями типа: «У нас есть предложение для Вас, Вашей фирмы и Ваших клиентов — антивирус Dr. Web по цене ниже официальной». Вежливый отказ игнорируют, приходится посылать. Некоторые провайдеры навязывают своим абонентам опять же Dr. Web, т.к. заключают договоры с подобными распространителями.

Вы открываете мне глаза на наши схемы распространения. А я до сих пор считал, что мы продаём свой продукт через партнёров и непосредственно через интернет-магазины. А, оказывается, мы используем какой-то сетевой маркетинг. Вы в следующий раз приводите этих людей к нам. Может быть, это обыкновенные пираты или мошенники?

Помнится, раньше зачитывался одним файликом с описанием вирусов, который шёл в комплекте с DrWeb, в нем было множество перлов вроде «В дисководе А: две дискеты!!», «Вентилятор защищён от записи», и т.д. Есть ли сейчас такое? Кажется, это была традиция начатая Дмитрием Лозинским и подобный файлик шёл в комплекте с его полифагом Aidstest?

Именно так. У нас началось всё это с Дмитрия Николаевича Лозинского. Я просто продолжил его традицию. Хотя раньше практически все антивирусные производители вели такие более или менее подробные описания вирусов. Благо, вредоносных программ было не так много, и можно было на каждый экземпляр составить свой формуляр. Сегодня это невозможно. Уж слишком много всяческой вирусной дряни. И «функционал» у всех похож друг на друга до безобразия. Мы делаем описания только наиболее интересных, на наш взгляд, образцов или получивших наибольшее распространение — вызвавших серьёзные вирусные эпидемии.

Интересно, такие брошюры Dr.Web образца 1997 года создавались при вашем участии?

Нет, в создании этих брошюр я не участвовал. Выступал только как критик.
Создавали эти неповторимые образы Алексей Абрамкин (художник) и Сергей Островский (генератор идей).

Спасибо за вопросы. Спасибо за внимание. Если вы считаете, что я недостаточно подробно или недобросовестно ответил на какой-либо вопрос, если у вас появились новые вопросы — добро пожаловать на наш форум в раздел «Вопросы Игорю Данилову». Там мы можем продолжить дискуссию.
Хабриель @habriel
карма
183,3
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (43)

  • +1
    Слышал, что команде программистов, работавших с ядром Dr.Web была предложена работа на более выгодных условиях в команде Касперского, и что компания Dr.Web переживает не самые лучшие времена, сам лично вполне допуская такую ситуацию, хотя и думаю спрашивать Игоря Данилова об этом бессмысленно.
    • +2
      Что-то как-то не видно этого, уважаемый

      Они вчера вот новую линейку продуктов выпустили — news.drweb.com/show/?i=999&c=5&p=0

      Всем бы такие времена))
      • 0
        Молодцы!

        Менять номера версий по порядку осей в Ниве (4.33, 4.44, 4.7..) было важно раньше, теперь важно менять на 1 — темп держать :)

        Хотя сказанное в 1ом комменте вполне =… [True?False?] (зависит от фанатизма и осведомленности).
  • 0
    ИМХО: Dr.Web по функциональнее будет некоторых антивирусных программ. Практика! )
    з.ы. тестирую 30 дневку, планирую приобрести полноценку.
    • +1
      можно использовать ключ бета-тестера
  • +4
    Вчера прочитал ответы Касперского тут: www.3dnews.ru/interactive/
    У меня возникло стойкое желание выкинуть своего лицензионного касперского в окно. Уж очень сильно чувствуется задранный вверх нос у Евгения К.

    Сегодня прочитал это интервью, тут гораздо лучше и познавательней… Хотя наверное сравнивать нельзя… Продукты вобщем ориентированы на разных пользователей.

    Спасибо интервью.
    • +1
      Я тоже после ответов Евгения К испытал некоторое отвращение к этому товарищу, грубовато себя вел, местами по хамски
    • –1
      Денис Масленников — кошмар, как они эту фотку для официального мероприятия допустили. Хоть бы патлы свои в хвост собрал…
      • 0
        Выглядит как Heavy-гитарист, на которого надели пиджак…
    • 0
      Ничего себе, я думал у этого нос задранный. Интервью Касперского я теперь читать точно не хочу, если оно «хуже» этого :)
    • +9
      Касперский жжот:
      > Пользуясь этой подсказкой, отвечаю, что если стоимость информации на Вашем компьютере и цена Вашего
      > личного времени на ручную чистку вирусов превышает $50 в год – то есть прямой смысл заплатить указанную
      > сумму. Если же не превышает… — увы, здесь я Вам ничем не помогу. Только, наверное, советом – Вам или в Тибет > к монахам надо, либо научиться зарабатывать.

      У него кроме ЧСВ over 9000 еще и маразм старческий наклевывается.
      • +1
        Он клоун =)
  • +9
    Хм, сейчас меня наверное заминируют, но все равно скажу. Какое-то немного скучное интервью получилось. Почти все ответы на вопросы полны расплывчатости и неопределенности. Хотя по сравнению с интервью Касперского, Данилов отвечал может быть и лучше.
    • +7
      Почитал, интервью Касперского, там ППЦ. Как быдто на вопросы отвечает дворовое быдло, а не глава крупной фирмы.
      • +4
        Точно.
    • +2
      Ага. Что ни спросят — я этого не знаю, этим не интересовался, это не наше дело. Ёлки, ты в этой области работаешь, вообще всё и вся должен знать. Как будто заставляют его тянуть этот крест.
    • 0
      Поддерживаю. Данилов так ловко съехал со всех вопросов, что ничего интересного и не рассказал.
  • +3
    Это только меня передернуло от «Особенно сегодня, когда практически все антивирусные компании воруют друг у друга технологии и детектирование вирусов.»

    Нет, мать твою, пусть каждый разработчик антивируса, напишет свою технологию по отлавливанию каждого вируса. Вот это — эффективное использование человеческих ресурсов.

    Получается вместо эффективной борьбы с вирусами — рубка бабла, каждый в своем углу. Ну а комментарии в духе «все в го%№не, а я д'Артаньян» — это уже следствие такого подхода к делу.
  • –12
    Это таки худший антивирус :(
    У нас в организации стоит клиент-серверный др.веб, так вот оно буквально вчера удаляло файл который я пытался достать из архива, посмотрел на статистику — говорит нашел вирус. Но вот в чем соль: какой вирус не смог найти ни я, ни админы по моей просьбе на локальном сервере статистики и обновлений. Включил все оповещения: ни чего. Решили что данные по вирусу ещё не передались на сервак, нажал синхронизировать — так оно мне обновило базы, и сказало срочно перезапустить комп, что и было сделано. Ни какой инфы о происходящем так и не нашли. Только цифры статистики: найдено ХХ вирусов (по разу на попытку распаковать)

    Попытка пользоваться в домашних условиях — закончилась форматированием не работающей системы, зараженной в хлам (проверил триальным каспером).

    Не то что покупать — его и бесплатно стремно ставить.

    • +2
      Подобные комментарии как ваш можно прочесть про любой антивирус. Всегда найдется «гений», у которого после веба, есета, каспера, установленные есет, каспер, веб находили кучу вирусов.
      • –1
        Вы хотите сказать — что в рейтинге антивирусов последняя строчка случайность, и там мог оказаться «любой другой»?
        И что за «гений»? Вы хотите сказать что от пользователя зависит — есть ли у него на компе вирусы или нет (при наличии антивируса)?

        Сомнительно насчет «после каспера». Ни разу не слышал чтоб каспер не поймал что-то, что ловят другие.
  • +1
    как они там трудятся. у меня в террариуме уже месяца 2 вирусяка живет, которого обнаруживает только 1 антивирус на «вирустотале». отправлял и этим, и прочим на исследования, и нифига.
    • 0
      Сейчас и вам минус поставят за черный пиар. А факт остается. От былого эвристического анализатора осталась только память. А может он стал настолько умным — что теперь ему и удалять вирусы не нужно? :) И он их просто контролирует.
    • 0
      видишь суслика? и я нет. а он есть.
    • 0
      вы бы хоть ссылочку на результаты вирустотала скинули
  • 0
    Использую Dr.Web Enterprise Suite в компании, но планирую мигрировать на что-то другое. Такие приколы, как удаление ctfmon и внезапные перезагрузки серверных систем мне как-то не подходят, не нравится быть бета-тестером.
    • 0
      внезапные перезагрузки серверных систем
      А это при настроенных соответствующих параметрах?
      У меня тоже Dr.Web ES стоит, ничего сам не перезагружал пока…
      • 0
        Правда, всего 2.5 месяца стоит — стоит готовиться?
        • 0
          В прошлом году было, дату точную не скажу, лень рыться в логах. Ориентировочно октябрь-ноябрь. Уж очень поработал тогда.
  • +2
    чем-то на Светлакова похож
    • +1
      А может они братья? =)
    • 0
      Тоже самое хотел написать
  • 0
    не раз сталкивался с ситуацией, когда ставишь Др.Веб на комп, чтобы мочкануть троян типа «рекламный-баннер» — не справляется…
    обязательна связка с программой типа Троян.ремувер
    ps: не смотря на это он лучше чем всякие Касперские
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Интересно, какой антивирус выберут наши гос. чиновники-коррупционеры для отмыва денег по программе защиты данных муниципальных предприятий
    • +1
      по документам — возьмут денег на разработку своего ;)
  • 0
    Расскажу на своем примере.

    У нас в компании DrWeb используется пару лет. До этого нод был. На самом деле достаточно нормально работает, тормозов нет. Ну если только очень редко, что не проблема. Особенно в сравнении с нодом, который на каждом шагу говорит, что быстрый, а на самом деле… В остальном — мне показалось, что консоль управления очень удобная. Ну для наших админов — точно. Что касается детекта — вообще лучший.
  • +1
    Хорошее интервью, хотя, как и заметили выше, не слишком интересное что ли… Но ведь это интервью с техническим специалистом, вполне логично что и ответы по сути и без особых эмоций. Начал читать интервью с Каспером — закрыл после первого же поста: ему вопрос, а у него целый абзац в каком отеле он находится, в какой стране и какая пицца под носом благоухает… У Игоря нет воды в ответах, тон вежливый и корректный. И сразу чувствуется, что он нисколько не «звездит».
  • 0
    Насчёт скороти Майкрософтовского детища Данилов не совсем прав. ДрВеб мой мобильный Кор Дуо 2 останавливает при попытке работы с 1000Мб архивами, а Майкрософтовский продукт делает это в фоне. Мне важна скорость и качество резидентной защиты, а скорость сканированирования может и отличатся, благо идёт в фоновом режиме.
  • 0
    > (двигателя или engine в простонародье)

    «Двигатель антивируса», «двигатель сайта» — так кто-нибудь говорит, или я что-то пропустил :D
  • 0
    Было приятно читать «не шаблонные» ответы. Понравилось искренность Игоря.

    А Касперский хотел был ближе к народу, благодаря своим «специфичным» ответам — видно не получилось :)
  • 0
    Адекватное интервью адекватного человека. Спасибо за интервью

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.