Сижу как-то на работе, мне звонит менеджер коммерческого отдела. На общий адрес электронной почты нашей компании пришло грозное письмо от какой-то организации, что они подают на нас в суд, повестка во вложении.
Компания не значилась в списках контрагентов, поэтому тертые жизнью операторы заподозрили неладное. Открывать повестку они не стали. Вместо этого они сохранили файл на жесткий диск и проверили антивирусом. К их удивлению, антивирус заявил, что никаких угроз не нашел. Ребята не успокоились на этом, и сообщили своему руководству. Ну а менеджер позвонил в службу информационной безопасности и переправил файл мне.
Антивирус и правда ничего не говорил. Я закинул файл на VirusTotal, сайт, который проверяет файлы разными антивирусами, но все антивирусы сообщили что угроз не обнаружено.
Тогда я отправил файл производителю нашего антивируса на проверку. Через несколько минут получил ответ - файл проверен в автоматическом режиме, угроз по-прежнему не обнаружено. Ждите пока файл будет проверен специалистом.
И только через несколько часов пришел ответ: специалист лаборатории добрался до файла, проверил его, это действительно вредоносная программа. Вместе с ответом нам пришло экстренное обновление сигнатурных баз нашего антивируса, содержащее сигнатуры только что исследованного вируса.
Я сразу же обновил наш главный сервер антивирусной защиты и с него начал распространять обновления на каждый компьютер нашей организации. Через некоторое время я получил сообщение от нашего антивируса - обнаружена вредоносная программа в почте! Смотрю, а он наконец обнаружил то самое письмо, с которого все началось. Вернее, только получив обновления сигнатур он сообразил, что файл вредоносный.
Получается, вредоносная программа была настолько новой, что производители антивирусов ничего не знали о ней. И достаточно неплохо сделанной, поскольку в автоматическом режиме обнаружить ее не удавалось, потребовался целый специалист лаборатории! Зато после того, как специалист добавил ее в базу, а мы эту базу обновили на своих компьютерах, антивирус стал обнаруживать этот вредонос.
Собственно, так и работает сигнатурный метод: обнаруживает надежно, но только известные вредоносные программы.
Интереса ради я опять закинул файл на VirusTotal. На этот раз некоторые антивирусы (в том числе нашего производителя) сообщили, что файл вредоносный, другие ничего не заметили. На следующий день повторил эксперимент - все антивирусы на сайте сказали что файл вредоносный. То есть обмен разведданными между разными антивирусами есть, но занимает некоторое время.