Pull to refresh
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Рабочий день дятла

Reading time 3 min
Views 29K
Доброе время суток, уважаемый Хабр. Меня зовут Голованов Сергей, я являюсь ведущим вирусным аналитиком в «Лаборатории Касперского». Наши редакторы уже очень долго уговаривают меня написать тут «ну хоть что-нибудь». И с одной стороны, я бы с радостью, но вот времени всё никак не хватает. Поэтому, чтобы мне долго не придумывать и не искать тему для поста, давайте я просто опишу свой обычный рабочий день и проекты, в которых я принимаю участие. Для продолжения нажмите ALT+F4 8)

image

Утро

Каждый день по приходу на работу я просматриваю информацию о самых быстрорастущих угрозах, которую собирают наши статистические сервисы. Выглядит это вот так:

image

В этой табличке указаны семейства вредоносных программ, которые за предыдущие семь дней «выстрелили» по детектированию у наших пользователей. Что такое «выстрелили», и как это произошло, мне и предстоит выяснить за ближайшую пару часов.

Заслуженно первые места в этой статистике занимают веб-угрозы. Trojan-Downloader.JS.Iframe — это упакованные/обфусцированные скрипты, которые вставляют IFRame’ы на взломанных сайтах, дабы перенаправить пользователя на сайт, раздающий эксплойты. Смотрим теперь статистику по сайтам, где эти скрипты задетектировались.

image

Видим «ITN TV — Independent Television Network — Sri Lanka», смотрим, что рефереры указывают на тот же сайт. Если бы реферер был другой, то это означало бы, что скрипт находится на промежуточном сервере между взломанным сайтом и сайтом с эксплойтом (за это можно банить). Проверяем сайт по указанному URL с реферером.

image

Видим, что IFRAME будет указывать на бесплатный домен 3-го уровня от cydots.com. Проверяем, что домен уже забанен роботом и переходим к следующий заразе из списка. Trojan.Java.Agent.aw — фото апплет JAVA, устанавливающий TDSS. О нём уже писали не один раз, поэтому проверяем, что все детектируется/банится, и продолжаем идти по списку в поисках интересного. Хорошо, если интересного не найдётся, иначе придётся на это полдня убить…

Почти день

Как-то так получается, что во многих изданиях редколлегии проводятся утром и вечером, соответственно часов в 11-12 начинают сыпаться запросы от журналистов на «темы дня». Обычно их к этому времени уже 3-5. Просматриваем их и отвечаем на наиболее понравившиеся, остальные вешаем на коллег. Благо, что ведущий аналитик, стоит над старшими аналитиками ^_^ (Плохо, что надо мной Гостев…)

image
Отвечать надо просто и вкусно, иначе не опубликуют. Тратим на это час-полтора времени и наступает…

День

Совещания… Гадкие. Противные. Скучные. Не интересные. Сидишь, хоть в телефон играй. Картинка точно описывает весь процесс.

image

Статус проектов, отчеты, обсуждение идей и т.д. Стараешься забиться в угол, чтобы тебя не заметили, иначе хана. Люди на этих совещаниях, в основном, — менеджеры, которые по определению ничего делать руками не умеют, поэтому, если надо будет что-то сделать, то это делать будешь ТЫ! Я — человек ленивый, делать что-то просто так не хочу, поэтому надо молчать, прятаться и делать вид, что тебя здесь нет. Но… Иногда надо.

Почти не день

На меня вешают какой-нибудь очередной «мини-ресерч», например, по будущим продуктам. Цель — узнать, например, какие существуют отдельные банковские тулзы для удаленного доступа счетам для совершения транзакциям. Начинаем смотреть в трояны. Делаем выборку по самым распространённым банковским троянам: Zeus, SHIZ, SpyEye, Carberp, FIBIT и т.д. Смотрим, что в них где, и собираем информацию о тулзах.

image
Вот пример строчек из дампа трояна для бело-синей платёжной системы, не PayPal. В результате быстрого анализа по коллекции (да-да, прям по строчкам — это же мини-ресерч) делаем список из 200 тулзов, с которыми работает банковская малваря. Всё. Аналитики отмазались, дальше дело менеджеров.

Вечер

Вечер начинается сразу после окончания официального рабочего дня, когда все менеджеры ровно в 18:30 садятся по своим машинкам и разъезжаются по домам. После этого начинается самое плодотворное время для работы. В почту пишут только роботы, и можно не отвлекаться на 8 параллельных переписок на одну тему. В это время лучше всего сначала чуть почитать новости и … и заняться, например, DUQU, или аналогично сложной малварей а-ля Stuxnet. Если такой малвари под рукой нет, то можно заняться программированием очередного робота, краулера или автодятла, которые смогут однажды таки захватить мир и изобрести машину времени. В 9-10 часов домой к семье и детям.

ИТОГО

Думаю, что на Хабре найдётся много аналогичных историй, однако именно эта моя. Вроде всё. Надеюсь, было интересно. Спасибо. До свидания.

PS. Меня очень часто спрашивают один и тот же вопрос. «Пишут ли антивирусные компании вирусы?». Отвечаю. В гробу я видал эти вирусы, и тех кто их пишет!

PPS. Если есть личные вопросы — можете писать мне в личку на Хабре. Пользователь k1k. Удачи.
Tags:
Hubs:
+51
Comments 40
Comments Comments 40

Articles

Information

Website
www.kaspersky.ru
Registered
Founded
Employees
5,001–10,000 employees
Location
Россия