Clound AntiVirus

W mediach internetowych trwa kłótnia między Pandą i G Datą.

Punkty z heurystyki: plik jest ukryty lub systemowy; plik jest w koszu; plik jest skompresowany UPX-em albo czymś podobnym; plik podejrzanie używa GetProcAddress32 i VirtualAlloc; plik ma funkcjonalność wysyłania poczty; plik dodaje się do autostartu itd.
Jeżeli suma punktów przekroczy entry-level to dane o pliku są zapisywane w chmurze: nazwa, scieżka, md5sum, punkty z heurystyki, [blob]. Jezeli rekordów w bazie jest wystarczająco dużo w jednostce czasu to przekraczamy low-level i możemy automatycznie okreslić plik jako podejrzany (1). Następnie plik idzie do standardowej analizy i ewentualnie trafia do definicji wirusów albo ulepszane są definicje heurystyczne (2). Żeby botnet nie triggerował niszczenia plików systemowych przez Cloud Antivirus-a w przypadku (1) producent antywirusa dysponuje bazą white-list (3). Tak mniej więcej działa G Data. Chmura zapewnia bezpieczeństwo w okresie czasu od (1) do (2) uwzględniając (3).

Antywirus w wydaniu Pandy jednak ma definicje (w folderze C:\ProgramData\Panda Security\Panda Cloud Antivirus\NPS), a wirusy "chmurowo" identyfikuje za pomocą sum kontrolnych (CRC32, SHA, SHA512, MD5) wysyłanych na serwer protokołem HTTP (dane wysyłane są w paczkach dla wielu plików w przypadku skanowania wielu obiektów). W odpowiedzi dostaje informacje o stanie pliku (czysty, zawirusowany, podejrzany - wymaga wysłania do analizy). Dodatkowo wykrycie wirusa z baz powoduje przesłanie informacji statystycznej do serwera Pandy.

Dostęp do chmury można zepsuć modyfikując plik %WINDIR%\system32\drivers\etc\hosts:

127.0.0.1 cache2.pandasecurity.com
127.0.0.1 iext.pandasecurity.com
127.0.0.1 cache1.pandasecurity.com
127.0.0.1 acs.pandasoftware.com

Podsumowując: Panda i G Data koncepcyjnie mają podobne produkty. Panda posiada definicje antywirusowe oraz silnik chmurowy. Heurystyka z definicji powoduje w razie potrzeby sprawdzenie pliku w chmurze - tak samo robi G Data AntiVirus. Dlaczego Panda jest darmowa? Firma pewnie chce przetestować rozwiązanie, które myśli udostępnić za pieniądze użytkownikom korporacyjnym. Silnik skanujący Pandy PSANHost.exe podczas pracy wcale nie jest taki lekki, a cały pakiet łatwo zepsuć. Panda zrobiona jest po części w C++ Builderze.

Kłócą się panowie, którzy chyba mają stanowiska marketingowców...