Door LightFrame: Ik heb al zo vaak gezien dat malware samples hier op mijn eigen systeem gewoon werden gedetecteerd d.m.v. definities en op VT werd het niet gedetecteerd op dat moment. Pas uren later had dezelfde scanner op VT de definities om die malware te detecteren.
Dat is ook mijn ervaring, namelijk dat de definities op Virustotal af en toe achterlopen op wat je thuis op je desktop hebt, met name bij de AV boeren die meerdere keren per dag updates aanbieden. Immers VT toont tegenwoordig slechts een datum van laatste update (terwijl ze vroeger de laatste update per product exact specificeerde).
Je kunt VT eigenlijk niet gebruiken om AV's te vergelijken, zeker niet wat betreft detectie van nieuwe malware door de verschillende AV's.
Klopt. Maar niet om wat
https://www.virustotal.com/faq/ en
https://www.virustotal.com/about/ als disclaimers vermelden, maar omdat antivirus tegenwoordig prima vergelijkbaar is met Russisch Roulette. Dorifel heeft dat nog eens fijntjes aangetoond.
Feit is dat malwaremakers hun malware net zo lang manipuleren totdat deze door geen enkele (of hooguit door de minder gebruikte scanners in een bepaald continent) wordt herkend. Daarna is het een gokspel hoe lang het duurt totdat jouw virusscanner dat specifieke malware-exemplaar herkent. Belangrijk: het onderstaande zijn veelal vermoedens, ik heb er geen bewijzen voor, maar wel aanwijzingen:
- Om te beginnen moet iemand of iets vaststellen dat het om malware gaat. Dat zoiets niet vanzelf gaat blijkt uit Stuxnet en opvolgers, die jaren actief kunnen zijn voordat iemand vaststelt dat het om malware gaat.
- AV boeren krijgen veel meer malware te aangeboden dan ze kunnen analyseren. Binnengekomen malware zal, net als een buslading patiënten bij een EHBO post, een bepaalde prioriteit krijgen, bijv. op basis van het aantal meldingen en de reputatie van de melder (zie bijv.
http://forums.malwarebytes.org/index.php?showforum=51). Voor Dorifel kwamen er alleen meldingen uit Nederland. Zoiets krijgt dan niet meteen prioriteit, zeker niet als er op dat moment iets anders is dat de aandacht afleidt en/of het vakantietijd is waardoor er minder personeel voorhanden is.
- Er verschijnt zoveel malware dat het onmogelijk is dat alle virusscanners alle ooit verspreide malware detecteren. Voor malware die niet wijd verspreid lijkt te zijn, vooral als deze ogenschijnlijk niet veel kwaad kan, zullen veel AV boeren helemaal geen definitie toevoegen. Zeker als de malware ondertussen alweer vervangen is door een actueler exemplaar.
- Gebruikers willen niet alleen detectie, maar een totaaloplossing. Als er bestanden hersteld moeten worden dan ben je daar als ontwikkelteam wel even mee zoet. Dat kost geld. Er wordt ongetwijfeld een afweging gemaakt wat de prioriteit is om aan een bepaalde "uitbraak" te werken en het economisch verlies als je niets doet. Daarbij worden concullega's goed in de gaten gehouden: als niemand rent hoef jij ook niet.
- Een aantal AV boeren heeft slechte ervaringen met het te snel uitbrengen van definities, omdat die ook false positives (o.a. op systeembestanden) kunnen veroorzaken. Nadat de definities zijn gemaakt, volgt er een testproces (of niet, maar dan komt het risico wel bij de eindgebruiker te liggen).
- Pas daarna worden de definities verspreid, en ergens daarna ontvangen en installeren jij en Virustotal ze, waarbij dat bij VT vaak langer duurt (nb ik ken organisaties die de uitrol van AV definities bewust vertragen met 1 a 2 dagen na eerdere slechte ervaringen met niet meer bootende systemen).
Terug naar VT: in haar eerder genoemde FAQ en About pagina's wijst VT erop dat VT geen gebruik maakt commandline scanners die geen (m.i. zwaar overschatte) behavioral detection mogelijkheden hebben.
Er zijn twee scenario's voor behavioral detection op je PC:
(1) in een sandbox, maar dat vreet tijd en dat hebben gebruikers er niet voor over, en veel malware is in staat sandboxes te detecteren;
(2) live op je systeem: dit is de praktijk.
In het tweede geval draait de malware al en kan al allerlei schade hebben aangericht voordat deze wordt gedetecteerd (bijv. doordat deze zichzelf aanmeldt in één van de vele "autorun" mogelijkheden). Fijn dat AV me vertelt dat ik ben beschoten, geraakt en nu zoveel bloed verlies dat ik naar het ziekenhuis moet. Dit is beter dan niks maar niet wat ik me bij "anti-virus" voorstel ("post-virus" software is hier een betere naam voor).
Conclusie: inderdaad kun je door enkele malware-exemplaren naar VT te uploaden niet zeggen dat virusscanner A beter is dan B - omdat A hem wel detecteert en B (nog) niet. Echter, als je regelmatig verse malware naar VT oploadt tekent zich wel een patroon af:
verse malware wordt door bijna geen enkele virusscanner gedetecteerd. Als je de dagen daarna
dezelfde malware uploadt, kun je wel iets zeggen over de snelheid van AV-boeren, en of het überhaupt tot detectie komt. Maar je zult erg veel moeten testen, want ook doorgaans snelle AV-boeren zitten er wel eens naast.
Om die reden is detectiesnelheid slechts één van de criteria (en m.i. niet de belangrijkste) om een voor jouw situatie redelijk zinvolle antivirusoplossing te kiezen. Maar reken je niet rijk (met geen enkele oplossing): alleen AV en een firewall gaan jouw PC (of die van je werknemers) niet veilig houden.
Het is wel een hele handige service om verdachte bestanden te controleren.
Absoluut!