Comodo Valkyrie
#1

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]



Comodo Valkyrie (nieformalnie: VK) - usługa online pozwalająca określić czy dany plik wykonywalny jest złośliwy czy bezpieczny. Funkcja opiera się na 17 wyspecjalizowanych detektorach heurystycznychposzukujących w kodzie i budowie pliku cech, które mogłyby świadczyć o jego szkodliwości. Ponadto wyposażona jest w zaawansowaną heurystykę , gdzie 3 powiązane ze sobą silniki starają się wykryć malwareopierając się na zestawie reguł.

Jako ostatni element analizy traktowany jest skaner behawioralny- plik uruchamiany jest w wirtualyym środowisku i obserwowany, a wszelkie podejrzane akcje są raportowane.


1.Artificial Intelligence - sztuczna inteligencja.

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak właśnie nazwano 17 detektorów umożliwiających wykryć szkodliwy czy bezpieczny kod w plikach.
Informacje o ich sposobie działania są powierzchowne, producent woli zachować je dla siebie - są tylko ogólnikowo omówione.
Porównano je do "mózgów analityków złośliwego oprogramowania".
Podczas analizy nie wszystkie wydają werdykt - zazwyczaj tylko kilka z nich może "wypowiedzieć się" na temat stanu pliku. Werdykty są sumowane i drogą głosowania otrzymujemy werdykt ostateczny.

2. Analiza Dynamiczna - obserwowanie zachowania aplikacji.

[Aby zobaczyć linki, zarejestruj się tutaj]

Plik zostaje uruchomiony, a jego akcje notowane. Zestaw podejrzanych zachowań zawiera zasady, które determinują werdykt o szkodliwości. Typowe akcje wirusa są wykrywane. Są to np. kopiowanie i umieszczanie się w różnych lokacjach, usuwanie samego siebie, wstrzykiwanie kodu, tworzenie sterowników, wyłączanie systemowego firewalla i wiele, wiele więcej.

Usługa ta dostępna jest też osobno pod adresem

[Aby zobaczyć linki, zarejestruj się tutaj]

.

3. Zaawansowana heurystyka (Advenced Heuristics) .

[Aby zobaczyć linki, zarejestruj się tutaj]

Ta metoda owiana jest jeszcze większą tajemnicą. Możemy podejrzewać, że to podobne, chociaż bardziej zaawansowane metody od detektorów AI. Zaawansowana heurystyka cechuje się bardzo dobrą wykrywalnością i dokładnością w określaniu złośliwych plików. Zaraz po analizie eksperta (patrz dalej) ma największe znaczenie w ostatecznym werdykcie.

4. Analiza ekspertów.

[Aby zobaczyć linki, zarejestruj się tutaj]

Dodatkowo, aby być w 100% pewnym plik można przekazać do ręcznej analizy przez jednego z siedmiu ekspertów w tej dziedzinie. W ciągu 24 godzin (nie licząc weekendów) powinniśmy otrzymać werdykt ostateczny z komentarzem do pliku. Werdykt wydany podczas tej analizy jest przechowywany i każdorazowo wyświetlany po przesłaniu pliku dla każdego użytkownika.

5. Opinie użytkowników o pliku.

[Aby zobaczyć linki, zarejestruj się tutaj]

Ostatnią funkcją jaką oferuje serwis to pozostawianie opinii i komentarzy na temat pliku. Każdy może wskazać status pliku (Normal, Malware, Unwanted, Unknown) oraz napisać na jego temat krótki komentarz.

Podsumowanie.

5 metod do określania pliku - to sporo. Daje nam to całkiem sporą skuteczność przy niskich fałszywych alarmach (stwierdzeniach bezpiecznego pliku jako niebezpiecznego).
Z mojego testu, przeprowadzonego łącznie na 400 plikach wynika, iż skuteczność w wykrywaniu złośliwego kodu to 85-90%, a ilość fałszywych alarmów jest bardzo mała (pośród kolekcji 150 zdrowych plików 2 zostały oznaczone błędnie).

Po co to wszystko?

Przecież mamy serwisy typu

[Aby zobaczyć linki, zarejestruj się tutaj]

, wydają się one bardziej wiarygodne.
Tak, ale opierają się na detekcji znanych zagrożeń - to znaczy takich, które przeszły analizę w laboratoriach i zostały oznaczone jako wirusy. Do tego dochodzi czas aktualizacji...
Najnowsze zagrożenia, które mogą nie być wykrywane przez żaden z popularnych skanerów, lub co najwyżej kilka stwarzają ryzyko infekcji, ponieważ bardzo trudno rozpoznać takiego szkodnika (tzw. 0 day).
Werdykt otrzymany z niezależnej usługi jaką jest Valkyrie zawsze będzie taki sam - i dlatego jest bardzo skutecznym narzędziem w rozpoznawaniu nowych (jaki i starszych) zagrożeń.
Teraz możemy pohulać - codziennie powstaje 50 tys. nowych wirusów. 95% z nich jest niewykrywanych przez więcej niż jeden program antywirusowy - dając tutaj 80-90% wykrywalność Valkyrii, która jest stała... niezależna od weekendów czy dni wolnych dla analityków w firmach AV otrzymujemy całkiem przyjemny obraz... Smile
Odpowiedz
#2
Morphiusz...spokojnie Smile...powiedz, czy sprawdzałeś wskazania z Valkyrii z jakimś skanerem on-line? Podejrzenia o FP są chyba uzasadnione, bo skoro tylko heurystyka + behawior?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
Kiedyś testowałem to na ok. 100 malware z paczek z malwares.pl (więc nie wszystkie musiały być wirkami) i Valkyrie wykryła ok. 80% z nich, chyba coś ok. 10 było zaufanych (fake AV głównie). A co do oznaczania bezpiecznych plików to nie wiem Wink.

Jesteśmy spokojni Smile.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
Jest możliwość założenia konta.
Właśnie to zrobiłem. Można mieć pogląd na swoje pliki.
Wysyłam próbkę a tu niespodziankaTongue

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
Znaczy, że specjaliści mogą ustalić czy to wirus czy nie.
Mają jakieś takie obco brzmiące nazwiska Smile ...
Odpowiedz
#6
Comodo zmusza chińskich robotników do pracy w nieludzkich warunkach!Lol
Można wybrać do kogo trafi próbka?
Odpowiedz
#7
Można ale wszyscy są z Covec Wink .
Odpowiedz
#8
Tak, wybierasz do kogo trafi i w ciągu 24 godzin masz wynik czy próbka to wirus czy nie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#9
Na szczęśliwych to oni nie wyglądają
Odpowiedz
#10
Ktoś próbował jakąś próbkę?Smile
Bo ja już stercze 8 godzin bez odpowiedzi.
Mają jeszcze 16 Facepalm

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#11
Pewnie jedzą posiłek, tj. ryż Grin
Odpowiedz
#12
A mógłby ktoś to sprawdzić? Rejestracja to tylko mail, login i hasło.
Na forum piszą, że dostają odpowiedzi raz dwa Tongue.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
SHA-1 4642ddd90c4eada477a97d6aa70a9e45f44968bf
Yaxin.Zhao
Poszło do niego, gdzie zobaczę rezultaty analizy?
Odpowiedz
#14
Ja parę godzin temu (16.00) wysłałem moją próbkę do analizy. Do teraz jeszcze brak odpowiedzi na mejla (choć na stronie mam informację iż static detcion wykryło malware natomiast pod dynamic deteciont mam "Analysing")

[Aby zobaczyć linki, zarejestruj się tutaj]


Ciekawa ta nowa usługa podoba mi się.
Choć raporty threatexperta wydają mi się bardziej informacyjne i przejrzyste, natomiast anubisa bardziej techniczne ;-)
Odpowiedz
#15

[Aby zobaczyć linki, zarejestruj się tutaj]


-

[Aby zobaczyć linki, zarejestruj się tutaj]


Yaslaw, niecierpliwie czekam na analizę, że tak powiem przez panów Azjatów Smile.

Teraz wynik dostaje w przeciągu 10 min.. Tongue

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#16
U mnie już dokonali analizy.
Na konto pocztowe nic nie przyszło.
Odpowiedz
#17
teraz tam jest już wieczór jak wysyłacie po południu to tam jest środek nocy więc nie ma się co dziwić że nie odpowiadają od razu
Odpowiedz
#18
Dzięki Zord, rzeczywiście tak jestGrin

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#19
yaslaw napisał(a):Ja parę godzin temu (16.00) wysłałem moją próbkę do analizy. Do teraz jeszcze brak odpowiedzi na mejla (choć na stronie mam informację iż static detcion wykryło malware natomiast pod dynamic deteciont mam "Analysing")

[Aby zobaczyć linki, zarejestruj się tutaj]


Ciekawa ta nowa usługa podoba mi się.
Choć raporty threatexperta wydają mi się bardziej informacyjne i przejrzyste, natomiast anubisa bardziej techniczne ;-)


Popatrzcie proszę na wynik tego skanowania. Nie bardzo wiem jak go rozumieć
Probability of Static Verdict: 98%
Auto Result: Malware
Analyst Result: Safe
Final Result: Safe
Camas Verdict: Analysing

Hmm....?
Odpowiedz
#20
Który analizował?
Chińczyk jak to chińczyk pewnie się pomylił

[Aby zobaczyć linki, zarejestruj się tutaj]



pamiętajmy też, że usługa jest w fazie BETA.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości