image

"Virusscanners presteren steeds slechter"

woensdag 7 januari 2009, 12:54 door Redactie, 10 reacties

De afgelopen weken zijn talloze digitale wenskaarten met een Trojaans paard aan boord verstuurd, toch slaan virusscanners zelden alarm als een gebruiker zo'n bijlage of link opent, aldus Gary Warner. Warner doceert computerbeveiliging aan de Universiteit van Alabama en onderzocht de effectiviteit van anti-virus software. En die is volgens hem schokkend. De wenskaarten linken vaak naar een website die probeert om een .exe bestand te installeren. Bezoekers krijgen de standaard melding dat dit bestand nodig is om de animatie of video te bekijken. Een check op virustotal.com laat zien dat virusscanners systematisch slecht scoren, aldus de cijfers van Warner.

Het gebruik van VirusTotal is volgens virusbestrijders omstreden. De website gebruikt de engines van 37 verschillende virusscanners, waarbij het met name op de aanwezigheid van signatures controleert. En dat zou een vertekend beeld geven, aangezien heuristieke detectie vaak niet in de de on-demand scanner zit. Malware waar nog geen specifieke detectie voor bestaat, kan dan wel gestopt worden.

Reacties (10)
07-01-2009, 15:20 door spatieman
en genoeg clickgraag volk instaleert de zooi.
ies toch coeltoer..
07-01-2009, 16:36 door Backfire
Ik vind deze stelling van meneer Warner totale bullshit.

Alsof virusscanners moeten toveren. het is vrij logisch dat een virusscanner niet pronto nieuwe dingen kan herkennen. Het is al een wonder dat er uberhaupt een pro-actieve scan bestaat voordat er een signature uit is. Zijn onderzoek kan hij beter uitbesteden naar het klik gedrag van het volk inderdaad.

Het is hetzelfde als het toelaten van een inbreker in je huis die verkleed is als een schoonmaker.... jij doet de deur voor hem open... dan is een alarminstallatie ook volledig zinloos (in dit geval de virusscanner)
07-01-2009, 17:52 door Anoniem
FUD Crypter, voila. alsof ze dom zijn.

~Sp1...
07-01-2009, 18:15 door [Account Verwijderd]
[Verwijderd]
07-01-2009, 18:41 door prikkebeen
Het zou al helpen als een virusscanner standaard zo ingesteld staat dat er automatisch minimaal een keer in de week gescanned wordt. In die tijd kan de fabrikant van de scanner een update hebben voor die specifieke malware.

Ik kom het wel tegen dat de laatste virusscan weken of maanden geleden is. Het is meestal onwetendheid, onverschilligheid of luiheid. Het is niet een ideale oplossing maar in ieder geval beter dan niets doen.
07-01-2009, 23:24 door Bitwiper
Door BackfireIk vind deze stelling van meneer Warner totale bullshit.

Alsof virusscanners moeten toveren. het is vrij logisch dat een virusscanner niet pronto nieuwe dingen kan herkennen.
Ik vind jouw opmerking totale bullshit. In plaats van dat AV-boeren in hun productomschrijvingen iets vermelden als: "we detecteren wijdverspreide malware na gemiddeld 2 werkdagen, maar minder verspreide malware nooit - we kunnen immers niet toveren!", lees ik bijvoorbeeld:
[url=http://www.kasperskylab.nl/nl/thuisgebruikers/kaspersky-internet-security-2009.html]Kasperski[/url]: Beschermt tegen alle vormen van malware en spyware
[url=http://nl.mcafee.com/root/product.asp?productid=comparison]McAfee[/url]: Zorgeloos e-mailen, chatten en internetten
[url=http://www.symantec.com/nl/nl/norton/internet-security]Symantec[/url]: Zorgt dat uw systeem beschermd blijft tegen alle soorten schadelijke bedreigingen.

Het is al een wonder dat er uberhaupt een pro-actieve scan bestaat voordat er een signature uit is.
Waarom is dat een wonder? AV-boeren roepen al jaren dat ze dit kunnen en de laatste tijd om het hardst, opnieuw voorbeelden:
[url=http://www.kasperskylab.nl/nl/thuisgebruikers/kaspersky-internet-security-2009.html]Kasperski[/url]: Proactieve bescherming tegen onbekende dreigingen
[url=http://nl.mcafee.com/root/package.asp?pkgid=275]McAfee, click "Beschrijving"[/url]: McAfee® VirusScan® Plus is nu beschikbaar met revolutionaire Active Protection-technologie, die onmiddellijk bescherming biedt tegen bedreigingen van uw pc. Een nieuwe bedreiging kan nu worden geanalyseerd en geblokkeerd binnen milliseconden. Het urenlange wachten is voorbij.
[url=http://www.symantec.com/nl/nl/norton/internet-security]Symantec[/url]: [color=blue]NIEUW![/color] Het Norton" Protection System is een systeem bestaande uit meerdere technologieën die samen bedreigingen tegenhouden, zodat u geen gevaar meer loopt

Bovendien zou AV-software kunnen waarschuwen voor twijfelachtige executables (bijv. met onbekende compressiemethoden): zet die maar een paar dagen opzij en scan dan nog eens (en/of submit ter analyse). Maar dan verliezen consumenten wellicht het vertrouwen...

In toenemende mate gebruiken consumenten hun PC's voor internetaankopen en elektronisch bankieren. Van een spammende zombie PC is nog nooit een Nederlander arm geworden, maar de meeste naïeve landgenoten hebben ondertussen dankzij de [url=http://www.3xkloppen.nl/doe-de-test/]TV reclame[/url] wel door dat je bij financiële transacties je PC extra moet beveiligen, en geven er dan ook grof geld aan uit; prijzen van ruim 50 Euro/jaar per PC voor bovengenoemde producten zijn geen uitzondering. Gezien de prijs en de beloftes mag je dan toch wel wat verwachten?

Consumenten worden al jaren voorgelogen, het enige dat Warner constateert is dat dat steeds erger wordt. Hoezo is Warner's verhaal bullshit, en wat AV boeren je beloven niet?
08-01-2009, 08:49 door [Account Verwijderd]
[Verwijderd]
08-01-2009, 09:31 door Anoniem
@ Bitwiper

Goed onderbouwde reactie inderdaad. Maar nu kijk je naar het marketingaspect en vrijwel niet naar het product. Bovendien pak je nu de meest commerciële antivirusvendors en haal je eigenlijk het koopgedrag van de mens naar boven.

Die leuzen die jij beschrijft zijn bijna net zo erg als die telsell reclames. Die verkopen een of andere messenset. en omdat een of andere kok er ook mee werkt moeten ze ook maar ineens de hoofdprijs kosten. En reken maar dat die dingen verkopen.

Ik zou wel eens wat minder commerciële vendors onder de loep willen nemen voor zulke leuzen. bijvoorbeeld avira of avg...

Maar evengoed heb ik inderdaad alle SQL injecties en malware op gehackte pagina's even over het hoofd gezien en niet meegeteld. maar dat antivirus vendors hierop afgerekend worden vind ik fout. en daarom ook totale bullshit.

maar goed.. val jullie niet persoonlijk aan hoor!
08-01-2009, 11:05 door Anoniem
@Bitwiper
Volgens mij is het punt meer dit: http://www.security.nl/artikel/25229/1/VirusTotal_ongeschikt_voor_testen_virusscanners.html
Als Warner op deze manier aan zijn cijfers komt, zijn ze inderdaad niet betrouwbaar.
Jouw voorbeelden van aanprijzinngen van AV software gaan joust over de heuristieke detectie, die dus door Warner niet getest is, maar wel degenlijk in de producten van de aanbieders zit. Met die misleiding valt het dus wel mee.
08-01-2009, 11:16 door Darkman
Ik raad iedereen aan om zijn browsers en e-mail cliënt in een sanbox te draaien, dat is een stuk veiliger dan alleen op AV te vertrouwen.
De nieuwste versie van Sandboxie heeft nu de optie "Drop rights" zodat applicaties in de sandbox ook van admin rechten gestript worden.
http://www.sandboxie.com/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.