Support us

VBA32: «тутэйшы» боец malware-фронта

Оставить комментарий
VBA32: «тутэйшы» боец malware-фронта

Несмотря на то, что многие наши читатели догадываются о существовании белорусского антивируса ВирусБлокАда (VBA32), мало кто им реально пользовался. Отсюда – мизер объективной информации об его реальных возможностях. Мы решили хотя бы отчасти нивелировать этот пробел, связанный с его небольшой популярностью, для чего взяли интервью с представителем компании ОДО «ВирусБлокАда».

Под катом – разговор с Юрием Резниковым, руководителем группы по работе с клиентами, в котором мы рассуждаем о базовых возможностях и «фичах» VBA32. Завершает интервью – небольшой обзор белорусского антивируса, для получения первого пользовательского впечатления от этого, по моему мнению, весьма добротного «тутэйшего» продукта.

Последние новости от антивируса ВирусБлокАда (VBA32)

В самых общих чертах, что из себя представляет «Вирусблокада» сегодня? Из каких составляющих состоит этот антивирусный комплекс? Является ли он по-прежнему чисто белорусским?

В настоящий момент антивирус является представителем «классической ветки» антивирусов и предоставляет стандартный функционал. В качестве перспективных разработок существует вариант класса Internet Security, который обладает рядом уникальных особенностей, однако о выходе его на рынок пока говорить рано. В рамках разработки Антируткита так же есть основная и экспериментальные ветки, развиваемые в том числе в рамках государственных научно-технических программ.

В разработке мы используем только собственные знания и умения (то есть, если говорить об иностранном участии, то его нет). С одной стороны, достаточно сложно разрабатывать продукт в таких условиях, но у нас получается. Мы действительно гордимся нашими специалистами и теми технологическими решениями, которые они реализуют.


Юрий Резников – музыкант и технарь в одном лице,
ОДО «ВирусБлокАда»(Минск)

Логично сразу уточнить, какие награды у вас есть?

Что касается наград – тут есть большая проблема в рамках белорусского законодательства. Мы рады предоставить наши продукты на тестирование и даже заплатить за него деньги (что в большинстве случаев необходимо), однако необходимость предоставления оригиналов документов о переводе денег выходит за рамки понимания у западных компаний.

Поучаствовав один раз в тестах AV Comparatives, мы получили достаточное количество юридических проблем, чтобы принять решение о дальнейшем отказе от платных тестов. Что касается бесплатных тестов – там, где можно участвовать и наше участие будет справедливо (например, тесты антируткитов) – мы участвуем. И результаты нас радуют.

Каково распространение и популярность вашего антивируса? Из каких стран ваши текущие заказчики?

Наш антивирус распространён в основном в Беларуси и Иране. В России (в силу особенностей местного рынка) распространение небольшое, есть малое количество пользователей с большой географией распространения.

Недавно в Беларуси была приостановлена продажа лицензионных антивирусов в связи c новым указом ОАЦ, какова ситуация с VBA32 и с этим указом? Как вы оцениваете смысл этой дополнительной сертификации?

На момент моего ответа продажи уже возобновлены. На мой взгляд, введение нормативной документации (в частности Технического Регламента) является большим шагом к упорядочиванию рынка программных средств защиты информации. Да, некоторые моменты не были проработаны до конца и повлекли за собой неразбериху (от которой пострадали и мы), некоторые моменты позволили нашим недобросовестным конкурентам вводить в заблуждение наших потенциальных потребителей, но в целом документ представляет достаточно логичное видение порядка в сфере информационной безопасности. Как компания мы выступаем за упорядочивание рынка, на котором мы работаем.

Чем выделяется этот белорусский антивирус на фоне своих многочисленных маститых конкурентов, в чём его особенности и самые сильные стороны?

Рынок антивирусов не так уж и многочисленен. На зарубежных рынках мы продвигаем наше SDK, продукт с модулем для контроля USB-накопителей (для корпоративного пользователя), антируткит. В качестве преимуществ продукта мы выделяем наше антивирусное ядро в целом (в нём присутствует ряд уникальных технологий, среди которых технология поведенческого анализа вредоносных программ MalwareScope и её дальнейшее развитие OScope), модуль контроля USB-накопителей и удобство удаленного управления.

В рамках белорусского рынка наша «фишка», помимо технологий, – это оперативная локальная техническая поддержка, которая сможет помочь разобраться в любой ситуации. Многие организации, которые используют антивирусы других вендоров, обращаются к нам за помощью в различных спорных ситуациях. Некоторых привлекает помощь наших специалистов при расследовании инцидентов информационной безопасности. Других – разработка различного рода документации, связанной с информационной безопасностью. Мы всегда готовы помочь людям, которые пострадали от вредоносных программ. Наш девиз – помогать всем и вовремя!

Помимо всего прочего, наш антивирус может использоваться без ограничений на классы защищаемой информации (по СТБ 34.101.30), что позволяет его использование на компьютерах, где обрабатываются персональные данные или государственная тайна.

Давайте остановимся на наиболее сложных случаях. Например, не секрет, что некоторые известные антивирусы не способны корректно излечивать сложнополиморфные вирусы. Чем можете в этом плане похвастаться вы? Есть ли конкретно у вас программный эмулятор процессора, что можете рассказать о вашей эвристике?

Сведения о сложнополиморфных вирусах – слегка устаревшие. Это скорее относится к эре MS-DOS, когда полиморфные вредоносные программы вызывали сложности у антивирусных компаний. Сейчас эмулятором процессора в составе антивирусного ядра никого не удивишь, более того, сейчас речь идет даже не об эмуляторе процессора, а об эмуляторе операционной системы.

Говоря о вредоносных тенденциях, можно сказать, что основной угрозой сейчас являются не вирусы и не троянские программы, а руткиты и буткиты — вредоносы, которые скрывают своё присутствие в системе и совершают вредоносные действия незаметно для пользователя. Специально для лечения подобного рода заражений нами был разработан Антируткит — утилита для глубокого анализа операционной системы. По результатам тестов – она одна из лучших в мире. Данная утилита и накопленный уникальный опыт позволяет нам заявлять, что мы можем обнаружить и справиться с любой неизвестной вредоносной программой.

Использует ли Вирусблокада низкоуровневый доступ к диску для борьбы со стелс-вирусами или руткитами? Что вы можете в этом плане рассказать про ваши возможности по детектированию таких особо продвинутых зловредов?

Низкоуровневый доступ к диску как раз реализован в нашем Антирутките. Данная утилита позволяет справиться с любым вирусным заражением (при наличии соответствующих знаний). Мы планируем перенос данных антируткит-технологий в наш основной продукт, но пока что данный этап находится в стадии proof-of-concept и говорить подробно о нём мы не можем.

Планируется ли включение в ВирусБлокаду отдельного антивирусного ревизора, что вы вообще думаете про такого рода  «универсальные» инструменты обнаружения вирусов?

«Антивирусный ревизор» – это термин из давно ушедшей эпохи DOS.

Но есть ли какие-либо аналогичные средства для обнаружения заведомо неизвестных вирусов? Насколько надежна эвристика или резидентный монитор в этом плане? В своё время контроль системных файлов Windows тем же устаревшим ревизором давал практически гарантированное обнаружение новых зловредов, есть ли какие-то альтернативы такой стратегии в VBA сегодня?

Если говорить о новых, неизвестных ранее вредоносных программах, то можно классифицировать три потенциальных варианта угроз:

  1. Использование нового механизма заражения (например, классы программ Bootkit и Bioskit используют возможности, которые ранее не использовались вредоносными программами. То есть, по сути, являют собой технологическое усложнение вредоносных программ. В таких случаях помогут антируткит-технологии и глубокий анализ операционной системы).
  2. Вредоносная программа использует новую, ранее неизвестную уязвимость ОС, которая позволяет заразить компьютер даже минуя антивирус (как это было с червём Kido, червём Stuxnet и ещё рядом вредоносных программ). Здесь так же помогут антируткит-технологии + знания специалиста, который вручную анализирует результаты работы программы). Так же в этом случае могут сработать механизмы эвристического анализа либо поведенческие сигнатуры антивируса.
  3. Модификация уже известной вредоносной программы. В этом случае либо срабатывает правильно сформированная сигнатура, либо срабатывает эвристика. В нашем случае мы опираемся главным образом на антируткит-технологии, которые разрабатываются в рамках совершенствования Vba32 Antirootkit.

Что можете сказать о полностью бесплатных антивирусах в качестве альтернативы и реального конкурента вашему сугубо коммерческому продукту?

Что касается бесплатных антивирусов, то вызывает сомнение уже то, что бесплатность подразумевает некую рекламность, мотивацию пользователей переходить на платные продукты этих компаний. Или, как вариант, лоббирование сервисов, за которое производители антивирусов получают отступные (например, бесплатный Avast лоббирует сервисы Google). Естественно, рассчитывать на техподдержку или на какую-либо помощь забесплатно тоже не приходится.

В случае корпоративного пользователя использование бесплатных антивирусов становится сущим кошмаром (большинство инцидентов, в расследовании которых я принимал участие, были связаны либо с нелегальным использованием платных, либо с использованием бесплатных антивирусов).

В давние времена бытовало расхожее мнение, что необходимо иметь на компьютере какой-то «мировой» антивирус, а также в дополнение к нему некий местный, для поиска региональных вирусов, встречающихся только в местной «дикой природе». С учетом глобализации и повсеместного проникновения Интернета, возможно, такой гибридный подход уже устарел.

А какие бы вы дали самые общие практические советы для тех, кто желает держать свой компьютер в безопасности от троянов и вирусов?

Если говорить о безопасности – здесь есть несколько советов, значительно повышающих уровень защищенности.

  1. Использовать последнюю обновленную версию системного ПО (например, операционной системы). При защите от вредоносов, которые используют уязвимости, это очень помогает.
  2. Использовать легальную версию антивирусного продукта и в непонятных ситуациях обращаться за помощью напрямик в службу технической поддержки.
  3. Понимать и принимать те риски, которые связаны с использованием сети интернет (для примера, каждый час появляется порядка 2500 новых уникальных вредоносных программ).
  4. Защита компьютера антивирусом – лишь дополнение к сознательности и компьютерной грамотности самого пользователя.

В заключение нашего интервью можете ли вы дать самую общую информацию и статистику интересную технарям: на каком языке написана ВирусБлокада, каков объем кода, сколько человек в команде работает над его разработкой?

Антивирус написан на языках ассемблера и С++. В технологических целях используются Python, Ruby, Haskell. В команде около 40 человек, 30 из них занимаются разработкой наших продуктов: Антивирусного ядра, Антируткита, Центра Управления, Антивирусного комплекса. Помимо этого в состав компании входит собственная вирусная лаборатория.

Объем кода антивируса не статичен, постоянно меняется, поэтому говорить об его объёме сложно. Объём же антивирусной базы – порядка 180 Мб, наполняется как технологическими роботами, так и вирусными аналитиками. База выходит раз в сутки (время обусловлено тестированием на ложные срабатывания), но в экстренных ситуациях мы можем выпустить новую версию базы в течение 2-х часов.

Послесловие к интервью: осмотр мануального специалиста

Вообще, VBA32 неоднократно привлекал моё внимание, главным образом благодаря достаточно высокой активности людей, желающих на халяву заполучить его рабочий ключ в самых разных российских «варезниках». Уже один этот факт заставил меня всерьёз присмотреться к этому малоизвестному для широкой публики белорусскому антивирусу.

Начну этот короткий, поверхностный и субъективный обзор с очень важного факта: VBA32 – это 100% оригинальный продукт, который полностью создан своими собственными («эндогенными») силами одноименной белорусской компании. В отличие от некоторых других национальных антивирусов (не буду указывать пальцем), где стал стандартным подход лицензировать некий сторонний известный «антивирусный движок», чтобы уже на его базе ваять свою собственную графическую обвязку-продукт, VBA32 полностью (от движка до GUI) разработан нашими отечественными специалистами. И что интересно, по всем отзывам, что я слышал от весьма уважаемых мною в профессиональном плане ИТ-людей, белорусский антивирус получился достаточно качественный, как минимум, с учётом тех скромных ресурсов, которые доступны небольшому отечественному софтверному предприятию.

Всё это вместе заставило меня установить этот продукт на свой компьютер, чтобы выполнить его ознакомительный осмотр, который вполне сгодится в качестве живого дополнения к интервью.

***

Итак, ниже скриншот главного окна антивируса – диспетчера VBA32, который позволяет сразу окинуть взором небогатое содержимое его «богатого внутреннего мира».

Первое ,что приходит в голову – по своим возможностям и настройке этот антивирус своим минимализмом очень похож на российский DrWeb. Конечно, функциональность NOD32 и Kaspersky Anti-Virus значительно более продвинута и неисчислимо многообразна, тут даже нет смысла сравнивать. Но с другой стороны, VBA32 не тормозит компьютер настолько жёстко, как это делает последний Касперский, аккумулируя в себе лишь самый необходимый минимум, которого, впрочем, чаще всего для стандартных задач должно хватить с лихвой.

Загрузчик VBA32 при каждом старте (загрузке) обшаривает все потаенные закоулки вашей системы, традиционно излюбленные места вирусов (типа бут-сектора), выполняя в терминологии DrWeb «быстрое сканирование системы»:

Сканер – центральная часть программы, который в общем-то стандартен и не вызывает никаких вопросов или сюрпризов:

Хотелось бы ещё раз отметить скорость работу антивируса – она высокая, при этом нагрузка на систему минимальна (все эти параметры доступны для более тонкой настройки). При сопоставимом размере антивирусной БД с тем же DrWeb, чисто субъективно VBA32 работает быстрее. Опять же, оставим за кадром этого поверхностного мануального осмотра, насколько качественно и глубоко зарывается в исследуемые файлы сканер – чисто внешне всё смотрится весьма позитивно.

Несмотря на несколько уныло-аскетичный вид «Диспетчера VBA32», у белорусского антивируса есть, конечно же, полноценная сетевая версия, которая позволяет администрировать удалённо в варианте его множественной установки в рамках большой корпоративной сети (+ собирать самую разную полезную статистику по своей активности в такой сети). Так ещё на этапе установки засветился агент удаленного администрирования:

Эта возможность специально реализована для организации корпоративной системы антивирусной защиты как для среднего и малого бизнеса, так и для крупных предприятий с множеством территориально распределенных отделений.

Данный «Центр Управления VBA32» (АРМ ААЗ) представляет собой клиент-серверное приложение, состоящее из управляющей части, базы данных и веб-интерфейса (устанавливаются на сервере антивирусной защиты), а также из уже упомянутой выше клиентской части – «Агента удаленного администрирования», входящего в состав антивирусного комплекса VBA32. В качестве альтернативного клиента есть также вариант консольного сканера с таким же централизованным и удалённым управлением посредством всё той же «Vba32 Центр Управления», который ИМХО очень хорошо подходит для слабых клиентских компьютеров, всё ещё характерных для наших широт.

Более подробно почитать о возможностях удалённого управления VBA32 можно вот здесь. Единственно замечу, что на стороне сервера технологически всё туго завязано на продукты компании Microsoft, что потребует за собой докупки/доустановки длинной вереницы из зависимостей: Microsoft.NET Framework, Internet Information Services, Microsoft SQL Server 2000 и т.д.

Есть и жирный плюс – для создания уже «заточенных» под свою контору инсталл-пакетов предусмотрена штатная фирменная утилита InstallTuner. В этом варианте вам понадобится скачать официальный msi-пакет антивируса нужной вам редакции, после чего вы сможете «прошить» туда нужный вам сценарий настройки и развертывания уже «персонализированного» для вашего предприятия антивируса:

Я не буду останавливаться на рассмотрении всех остальных составных частей системы, потому как они предельно стандартны, просты и немногочисленны (ещё один пример такой аскезы внизу – резидентный антивирусный монитор):

Во всех редакциях антивируса есть множество мелкой лабуды утилит, часть из которых доступна бесплатно. Например, «Vba32 Скрипт-фильтр» перехватывает все исполняемые скрипты в MS IE и MS Outlook, выполняя их предварительную антивирусную проверку. Также есть не менее архаичный «Vba32 Антидиалер», который обеспечивает защиту от несанкционированных попыток установки соединений удаленного доступа (в сети PSTN) с неизвестными телефонными номерами. Есть и свой собственный фирменный загрузочный «Спасательный Образ Vba32 Rescue», который позволяет выполнять аварийные системные операции (кстати, этот образ часто обновляется) – вот пример восстановления системы именно с его помощью, а также вот опись его содержимого.

Ну, вот и всё главное, что можно описать, не погружаясь «под капот» самого продукта. Прочитать же обо всех редакциях антивируса можно на официальном сайте VBA32. Бесплатных версий нет, соответственно,  всё скачать можно лишь в ознакомительном и функционально усечённом виде. Впрочем, от себя добавлю, что у компании есть очень интересная возможность получить ключ для бесплатного полнофункционального тестирования VBA32 ровно на месяц, ознакомиться с условиями чего можно вот здесь. Кроме того, легальные пользователи других антивирусов могут получить скидку в 50% при миграции на VBA32. Иначе говоря, купив любой антивирус, второй белорусский антивирус вы можете приобрести в качестве бонуса за полцены – лично я это условие «импортозамещения» так понял.

Бонус: 5 интересных фактов про VBA32

1. В 2010 году компания ВирусБлокАда прогремела на всю мировую антивирусную индустрию, первой обнаружив знаменитый троян Stuxnet – уникальный SCADA-вирус, заточенный для промышленного шпионажа, который в итоге поставил под угрозу безопасность АЭС Ирана (и, кстати, это исторически первый и пока последний случай наличия валидной цифровой подписи у вредоносной программы). Почитать более подробно об этой истории непосредственно от первоисточника можно тут или здесь.

2. Две ключевые технологии VBA32, которые делают этот антивирус по своему уникальным, – это собственная технология эвристики и поведенческого анализа MalwareScope (OScope), использование которой позволяет уверенно детектировать неизвестные вирусы без обновления сигнатур, а также технологии обнаружения и демаскировки зловредов, реализованные в антирутките «VBA32 AntiRootkit». Благодаря именно этим двум «фишкам» некоторые эксперты ранее пророчили VBA32 лавры «DrWeb-киллера» (особенно много хвалили его за очень хороший эвристик), но… «что-то пошло не так».

3. Основатели проекта ВирусБлокАда – белорусы Вячеслав Коледа и Геннадий Резников. Два подробных и увлекательных интервью о бурной истории зарождения VBA32 с основателем и легендой белорусской антивирусной индустрии Вячеславом Коледой можно почитать вот здесь и ещё там.

4. Специфический фирменный регистр написания названия фирмы/продукта «ВирусБлокАда» как бы намекает, что без ада здесь явно не обошлось (сразу вспоминается, что согласно известному программистскому анекдоту одна набожная старушка в автобусе до смерти испугалась, увидев, что девушка читает книгу «Язык Ада»).


Блок-схема на обложке этого учебного пособия показывает принципиальную схему работы вселенского сборщика мусора, которого ещё Гете описал в образе Мефистофеля («я часть той силы, что вечно хочет зла и совершает благо»). Впрочем, все компьютерщики, даже если они и в самом деле не злоупотребляют программированием на языке Ада, всё равно обречены – более подробно про это в известной статье
Coding Sucks: Why a Job in Programming Is Absolute Hell.

По версии же основателя антивируса VBA32, название их фирмы «просто игра слов» – «вирус блокада» и «вирус блок ада». Название программы (а потом и компании) появилось под влиянием известного альбома «БлокАда» группы «Алиса». Вячеслав Коледа вспоминает, что просто добавил в начало слово «Вирус» – так появилось название белорусского продуктово-антивирусного бренда.

5. Разобравшись со зловещей этимологией названия ОДО «ВирусБлокАда», остаётся напоследок добавить, что на данный момент эта белорусская компания имеет статус резидента Парка высоких технологий и является единственной антивирусной компанией РБ (если не брать в расчет популярный в среде эникейщиков жанр «принципиально новых технологий», типа недавнего брестского антивируса).

Иллюстрации: vk.com, anti-virus.by

Место солидарности беларусского ИТ-комьюнити

Далучайся!

Читайте также
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
Belka Games уволила сотрудников в Беларуси, России и Литве
22 комментария
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
Российская «Леста» стала 100%-м собственником «Гейм Стрим»
VK заплатил около $4 млн за беларусского разработчика мобильных игр
VK заплатил около $4 млн за беларусского разработчика мобильных игр
VK заплатил около $4 млн за беларусского разработчика мобильных игр
В DEIP из-за обвала курса от $1,1 млн осталось $350K, зарплаты не платят. CEO разбирает, как так вышло
В DEIP из-за обвала курса от $1,1 млн осталось $350K, зарплаты не платят. CEO разбирает, как так вышло
В DEIP из-за обвала курса от $1,1 млн осталось $350K, зарплаты не платят. CEO разбирает, как так вышло
Блокчейн-стартап DEIP больше двух месяцев не платит зарплату сотрудникам. Об этом dev.by рассказали несколько человек из компании: «официальная причина — стартап неправильно распорядился финансовыми ресурсами и денег нет. Подробностей не знаем». Сотрудникам сообщили, что топ-менеджмент ищет дополнительный капитал для погашения задолженности и дальнейшего развития. Но часть команды уже ищет новую работу.Мы также поговорили с СЕО DEIP Алексом Шкором — он рассказал, из-за чего у стартапа возникли сложности, как команда пыталась их решать и что собирается делать дальше. «Хочу поделиться опытом, чтобы на нём смогли научиться другие фаундеры, которые хотят идти в web3», — говорит Алекс. Ниже — подробный разбор.
9 комментариев

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.