Dat bestaat al zoiets, er zijn diverse sites die een anti-virus scan service
aanbieden met meerdere scanners. Die bestanden worden ook naar anti-
virus leveranciers gezonden.

De meeste anti-virus bedrijven gebruiken honey pots om malware te
verzamelen.

Het grootste probleem met malware verwerking is de prioriteitstelling.
Input van scan services levert een hoop rommel op en zegt niets over de
context waarin de malware is aangetroffen.

Antivirusbedrijven zitten waarschijnlijk ook niet te wachten op analyses van
vrijwilligers van PIRT.

En dat levert hoeveel op?

Aangezien de informatie naar bedrijven wordt doorgesluisd
zou ik graag wat in return willen ontvangen.

wat een vraag zeg....wat levert dat op...In het zuiden
bezigen ze deze uitdrukking voor "hoeveel eurootjes mag ik
ontvangen, voordat ik ga werken?"

PIRT en MIRT zijn onvergelijkbaar met Jotti en VirusTotal.


Zonder twijfel. De grootste bron is echter een goed
georganiseerd onderling uitwisselingsprogramma tussen
anti-virus companies. Dat gaat al jaren zo.


Mee eens. Maar zoals gezegd: dat heeft totaal niets te maken
met PIRT en MIRT.


Mis. Symantec, Kaspersky, ESET, Avira, G-Data, Alwil/Avast
en nog een hele rij zijn content met de aangeleverde
informatie en gebruiken deze ook.

Je bedoeld informatie van PIRT? Daar gaat het niet over.

Natuurlijk zijn anti-virus bedrijven "content" met toegezonden malware.
Maar aan analyses heb je voor detectiedoeleinden niets. Anti-virus
bedrijven nemen vooral niet elkaars gegevens over, ze zorgen zelf voor
analyses en gegevens. Het zou nogal een blamage zijn als er foute
gegevens worden verwerkt in een groot deel van de virus info databases
van de anti-virus bedrijven. Alleen maar omdat een amateur
wat "geanalyseerd" heeft.

Daarom heeft MIRT geen bestaansrecht als analyseleverancier. Het voegt
niets fundamenteels toe aan de bestaande scan diensten en de vele
malware mailing lists. Als je graag malware wil analyseren kun je dat ook
op de bestaande malware mailing lists kwijt.

Voor nieuwe virussen is de snelste bron een honeypot. Dat is bijvoorbeeld
bij Stration belangrijk. Er is inderdaad malware uitwisseling tussen anti-
virus researchers, die vormen inderdaad de grootste bron, maar niet de
snelste.

Dat is nou de oorzaak van dit soort initiatieven. Maar
anti-virusbedrijven klagen daar zelf ook over. En nergens
staat dat de MIRT-database niet door die bedrijven aangevuld
en uitgelezen mag worden!?

Dat is juist goed, hoemeer inzichten, hoe beter. Alleen de
overleg-structuur ontbreekt dus nog teveel. Echt onderzoek
blijft nodig en Anti-virusbedrijven kunnen daar gewoon mee
doorgaan.

Ik denk dat als MIRT als een soort wiki opgezet zou zijn,
onder controle van MIRT zelf en de anti-virusbedrijven, dat
het een goed centraal systeem kan zijn. En de samenwerking,
kan de kwaliteit van de gegevens verhogen.
En het anti-virusbedrijf dat jaarlijks de meeste nieuwe
vindt, of de beste scanner levert, krijgt (naast omzet) een
prijs in de vorm van een gouden insecticidenspray!

De bevindingen van de amateur worden nog beoordeeld door een
'deskundig panel' ;) bestaande uit diverse experts. Of ook
door onderzoek in de labs van de anti-virusbedrijven. Als
het niks is en de amateur zou de amateur zelfs een antwoord
krijgen, waarin wordt uitgelegd waarom zijn vondst niet in
de database komt. Leert hij er weer van, zo worden de
amateurs weer professioneler!

Ik denk dat je een veel te eenvoudig beeld van malware analyse hebt. Het
is geen onschadelijke hobby. Het vergt gedegen kennis en ervaring en je
hebt voor onderzoek een veilig lab nodig met voldoende middelen.

Een deskundig panel is niet in staat alle fouten uit een analyse te halen
zonder de hele analyse over te doen. Anti-virus bedrijven hebben het al
druk genoeg, die gaan geen tijd verspillen aan controle van analyses van
amateurs.

Wiki's staan bekend om de vele manipulaties en fouten. Je kunt klanten
niet opzadelen met informatie die "misschien wel correct is, dat weten we
niet zeker".

Er bestaat een malware catalogus, naar analogie van de catalogus voor
vulnerabilities CVE (Common Vulnerability Enumeration): CME, de
Common Malware Enumeration - http://cme.mitre.org/ Er zijn al vele
pogingen geweest om tot een gezamelijk naamgeving te komen en dit
initatief lijkt ook te weinig te bieden om echt bruikbaar te zijn.