image

Virusscanner en browser falen in beschermen consument

maandag 24 augustus 2009, 13:27 door Redactie, 29 reacties

Zowel browsers als virusscanners falen genadeloos in de bescherming van internetgebruikers, waarbij bekende virusscanners slechts 29% van de malware detecteren, zo blijkt uit onderzoek. Cyveillance onderzocht de real-time detectie van malware door anti-virus software en de phishingfilters van de vier populairste browsers. Het beveiligingsbedrijf verzamelt elke dag duizenden kwaadaardige bestanden die het meteen door de virusscanners liet scannen. McAfee presteerde met een detectiegraad van 44% het best, wat betekent dat het 56% van alle wormen, Trojaanse paarden en virussen doorlaat. Kaspersky en Virusbuster scoorden met respectievelijk 18% en 16% het slechtst. Gemiddeld detecteerden de virusscanners 29% van de malware die tussen 12 mei en 10 juni van dit jaar werd verzameld. "Zoals de resultaten laten zien, detecteren de populairste AV-oplossingen minder dan de helft van alle malware dreigingen. Als je een kwaadaardige website bezoekt, betekent dit dat je meer dan een 1 op 2 kans hebt om geïnfecteerd te raken."

Detectie score virusscanners
McAfee 44%
Sophos 38%
Dr. Web 36%
Symantec 35%
Trend Micro 34%
AVG 31%
F-Secure 28%
ESET NOD32 27%
Sunbelt 26%
F-Prot 23%
Norman 23%
Kaspersky 18%
VirusBuster 16%

Phishingfilter
Naast virusscanners controleerde Cyveillance ook de werking van phishingfilters, zoals populaire browsers die gebruiken. De test bestond uit twee delen. Zodra een phishingsite werd opgemerkt, liet men die meteen door de browser controleren. Vervolgens werd dit proces na 24 uur herhaald. Internet Explorer presteerde in de eerste ronde het slechtst en herkende slechts een kwart van de phishingsites. Google Chrome (51,2%), Mozilla Firefox (54,9%) en Apple Safari (45,5%) deden het stukken beter, maar miste grofweg toch nog de helft van alle phishingaanvallen via het web.

Na 24 uur presteerden de phishingfilters al stukken beter, toch wist Microsoft's browser wederom geen indrukwekkende score neer te zetten. Internet Explorer kwam niet verder dan 55,3%. Google Chrome (86,2%), Mozilla Firefox (87,1%) en Apple Safari (84%) weten na een dag wachten al veel meer phishingsites te herkennen. De resultaten staan haaks op die van een door Microsoft gesponsord onderzoek dat twee weken geleden verscheen. Daarin wist IE met 83% de meeste phishingaanvallen te stoppen, gevolgd door Firefox met 80%. Google Chrome wist bij dit onderzoek 26% te detecteren, terwijl Apple een bedroevende 2% scoorde.

Nederland
Als laatste keek Cyveillance naar de activiteit van landen als het gaat om de verspreiding van malware en Nederland komt regelmatig in de statistieken terug. Zo host Nederland 7% van alle phishingsites, en staat daarmee derde achter Canada en de Verenigde Staten. Verder bevinden hier zich 4% van alle "drop sites", servers die gestolen informatie afkomstig van besmette computers opslaan. Als laatste host Nederland 2% van alle sites die voor het verspreiden van malware wordt ingezet.

Reacties (29)
24-08-2009, 13:33 door Thasaidon
Gewoon je browser(s) in een "sandbox" of "virtual machine" draaien. Dan heb je veel minder kans op ellende.
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.

Werkt prima en doe ik al heel lang zo.
24-08-2009, 13:33 door pErSoNaLiTy
McAfee 44%
Sophos 38%
Dr. Web 36%
Symantec 35%
Trend Micro 34%
AVG 31%
F-Secure 28%
ESET NOD32 27%
Sunbelt 26%
F-Prot 23%
Norman 23%
Kaspersky 18%
VirusBuster 16%

Waar zijn de andere AV's?
En welk nut hebben deze tests als ze allemaal een ander resultaat hebben?

Is er een 100% betrouwbare toevallig?
24-08-2009, 13:39 door Thasaidon
Door pErSoNaLiTy:

Waar zijn de andere AV's?
En welk nut hebben deze tests als ze allemaal een ander resultaat hebben?

Is er een 100% betrouwbare toevallig?
Ik neem aan dat dit maar een greep is uit de geteste lijst en dan nog zullen er ongetwijfeld scanners zijn die niet getest zijn. Je kunt tenslotte niet alles testen, want daar zijn er te veel van.

Vwbt de resultaten, die laten gewoon zien hoe veel van de "zooi" er door betreffende scanners gevonden is, dus dat zijn de resultaten. En die lijken me toch wel eenduidig.

En nee, er is geen 100% betrouwbare. Makers van scanners zullen altijd achter lopen op de feiten omdat ze nou eenmaal gebruik maken van databases waarmee gescand wordt
24-08-2009, 14:16 door Anoniem
Het beveiligingsbedrijf verzamelt elke dag duizenden kwaadaardige bestanden die het meteen door de virusscanners liet scannen.

Dit is dan ook een enorme klus als de detectiegraad van de scanners zo laag is. Men moet dan het programma runnen en zien dat het een virus is (door virusgedrag te monitoren) en wie zegt dat het gelijk actief wordt? Wellicht start het virus pas na een maand op?
Hoe bepaal je dan of het een kwaadaardig bestand is?
24-08-2009, 14:23 door PaulWilders
Testbed, Antivirus configurations, testing methode? Zonder deze noodzakelijke info valt er geen zinnig woord te zeggen omtrent de uitkomst van dit onderzoek. Wellicht dat de redactie alhier alsnog voor deze noodzakelijke info kan zorgen, opdat een betrouwbaar inzicht van dit onderzoek kan worden verkregen.

Afgezien daarvan is het in algemene zin een aanvaard gegeven dat Anti-viruses geen 100% betrouwbaarheid impliceren. Genoemde percentages zijn echter van dien aard, dat enige twijfel op zijn minst op zijn plaats is. Het is algemeen gebruikelijk dat Anti-virus testers testbed, testmethode en Anti-virus configuraties die gebruikt zijn mede publiceren. Zonder dat is elke uitkomst oncontroleerbaar en derhalve weinig zinvol.

Paul Wilders

http://www.wilderssecurity.com
24-08-2009, 15:28 door MrBil
Oh is dat zo? Geen een Anti-Virus werkt optimaal.
24-08-2009, 15:39 door Anoniem
Door Thasaidon: Gewoon je browser(s) in een "sandbox" of "virtual machine" draaien. Dan heb je veel minder kans op ellende.
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Als je nu ook zegt hoe je dat precies doet binnen xp ( wat nog altijd de meeste gebruikers heeft )

Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
24-08-2009, 15:55 door MrBil
Door Anoniem:
Door Thasaidon: Gewoon je browser(s) in een "sandbox" of "virtual machine" draaien. Dan heb je veel minder kans op ellende.
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Als je nu ook zegt hoe je dat precies doet binnen xp ( wat nog altijd de meeste gebruikers heeft )

Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?


Al leer jij nou even googlen, dan kwam je bij http://www.sandboxie.com/ uit. Voor XP ja.
24-08-2009, 16:15 door Anoniem
Door MrBil:
Door Anoniem:
Door Thasaidon: Gewoon je browser(s) in een "sandbox" of "virtual machine" draaien. Dan heb je veel minder kans op ellende.
Mocht je sandbox of vm toch zooi binnen krijgen, kun je deze "schonen/deleten/leeg gooien" en opnieuw beginnen.
Werkt prima en doe ik al heel lang zo.
Als je nu ook zegt hoe je dat precies doet binnen xp ( wat nog altijd de meeste gebruikers heeft )

Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?


Al leer jij nou even googlen, dan kwam je bij http://www.sandboxie.com/ uit. Voor XP ja.

Of je gebruikt Kaspersky Internet Security 2010, daar zit ook een sandbox in.
24-08-2009, 16:49 door Skizmo
Om heel eerlijk te zijn geloof ik geen van dit soort artikelen meer. Iedereen lult maar wat. Iedere week is er wel een andere winnaar.
24-08-2009, 16:57 door Anoniem
Die tests falen allemaal, Ik voel me gewoon goed bij Avira ;)
24-08-2009, 17:27 door Rubbertje
Het is maar net wat je op scanners loslaat, waardoor er 1 als beste uit de test komt. Niet alle scanners hebben dezelfde definities, dus wat de 1 tegenhoudt, hoeft de ander niet tegen te houden. Maar de ander houdt weer iets tegen wat de 1 weer niet tegenhoudt...
24-08-2009, 17:28 door Anoniem
McAfee Internet Security maakt de pc's van mijn lief tanten ongebruikelijk. Ik dacht even mijn tanten tehelpen en haaar computer beter beveiligen , maar deze werd tergelijk traag door McAfee Internet Security, je moet wel sterk processor hebben om de nieuwste versie draai van McAfee. Dus wordt het toch weer AVG virusscanner!
24-08-2009, 18:39 door [Account Verwijderd]
[Verwijderd]
24-08-2009, 19:19 door Anoniem
welke anti- spyware moet ik er nou bij nemen bij mijn nod32/4
24-08-2009, 19:21 door Thasaidon
Door Anoniem: Als je nu ook zegt hoe je dat precies doet binnen xp ( wat nog altijd de meeste gebruikers heeft )

Of ga je nu eigenwijs zeggen dat je iets veeel beters gebruikt asl xp?
Wat ik gebruik gaat het niet om, maar als je het perse wil weten, dan draai ik zowel windows als linux op verschillende systemen. Dus als je het gewoon gevraagd had was het al goed geweest hoor...

Maargoed... http://www.sandboxie.com
dat is een voorbeeld van een sandbox programma. Er is een gratis versie welke wat gelimiteerde opties heeft.
Of je hebt de betaalde versie waarin je geen limitaties hebt.
Beiden werken evengoed vwbt het Sandbox gedeelte. De limitatie zit hem in bepaalde opties die je wel of niet aan kunt zetten.

Daarnaast heb je andere mogenlijkheden zoals bv http://www.virtualbox.org of http://www.vmware.com (vmware player)
In beiden kun je zgn "images" draaien waardoor je dus een OS binnen je normale OS kunt draaien.
Dit is wat omslachtiger, maar werkt evengoed omdat je een OS afgeschermd van je normale OS draait.

Ja er zijn inmiddels manieren om bv "uit een vmware sessie te breken" en bij het host OS te komen,
maar dat zal het gemiddelde virus of de gangbare mallware niet doen omdat deze hiervoor niet geschreven is.

En ja, ik heb een trail versie van KIS2010 draaien op een test systeem, en daar zit idd een sandbox module in die op een soortgelijke manier zou werken als bv Sandboxie. Echter, persoonlijk vind ik de firewall die in KIS2010 zit veel te beperkt voor iemand die hele specifieke rules wil maken. Maar dat kan natuurlijk ook komen omdat ik de trail versie draai die beperkingen heeft?

Oh... en dan is er nog een manier...
Boot je systeem met een Linux LiveCD, dan weet je zeker dat er niets kan gebeuren, want je draait dan vanaf een readonly systeem.
Handig en veilig voor b.v. internet bankieren :)
24-08-2009, 19:47 door PaulWilders
Thasaidon,

Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.

Paul Wilders

http://www.wilderssecurity.com
24-08-2009, 21:39 door Anoniem
Objectief ? av-comparatives.org
24-08-2009, 22:43 door Anoniem
Hoe zit het met avast pro antivirus bijvoorbeeld?.
Dit is ook een van de beste virusscanners en vrij bekend en staat helemaal niet op de lijst.
25-08-2009, 00:19 door Rubbertje
Waarom zit Webroot SpySweeper niet in de lijst?
25-08-2009, 00:25 door Anoniem
Door PaulWilders: Thasaidon,

Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.

Paul Wilders

http://www.wilderssecurity.com

Niets is waterdicht. Feit blijft dat browsen in een sandbox of VM in de meeste gevallen aanzienlijk veiliger is dan zonder.
25-08-2009, 08:36 door Thasaidon
Door PaulWilders: Thasaidon,

Sandboxie is niet immuun voor infecties met rootkits, die met mogelijk maken de sandbox te passeren. POC valt Engelstalig na te lezen alhier: http://sandboxie.com/phpbb/viewtopic.php?t=5948. Ook VirtualBox en VMware zijn proefondervindelijk niet waterdicht gebleken zoals zelf gesteld. Er zijn wel degelijk rootkits in omloop die het mogelijk maken "uit de virtal ware sessie" te breken. En tenslotte: zelfs Linux distro's zijn niet waterdicht.

Paul Wilders

http://www.wilderssecurity.com
Paul, je hebt helemaal gelijk en ik had je eerdere link gezien.

Wat ik echter aan wil geven is dat men zichzelf enigszins beter kan beschermen.
Net als met wireless, kun je beter WPA gebruiken dan WEP.
Hoe beter je jezelf probeert te beschermen, hoe lastiger het zal zijn voor virussen en mallware om wat te doen.

Zelf weet ik geen enkele manier die 100% veiligheid bied... behalve dan de stekker eruit,
dus er zal altijd een risico zijn.

De veiligste manier zou dus zijn om te internetten vanaf een LiveCD zodat je vanaf een read-only os draait zeg maar.
Maar ook dat is niet veilig voor bv een "man in the middle attack", fishing- en spoofed sites, etc...
Je zou ook een browser sandboxed kunnen draaien in een vmware image, maar dat is overkill denk ik ;-)
25-08-2009, 09:20 door spatieman
buiten dat het ook nog eens MEGA cpu gebruikt op die manier.
dan heb ik niet eens over een liveCD in een vmware omgeving draaien, wat echt overkill is..
25-08-2009, 09:44 door Anoniem
Met Linux kan je veilig surfen; bij (desktop) Linux schijnt besmetting niet voor te komen.
Althans, ik heb er nog nooit over gelezen.
25-08-2009, 11:55 door Rubbertje
Door Anoniem: welke anti- spyware moet ik er nou bij nemen bij mijn nod32/4
Door Anoniem: welke anti- spyware moet ik er nou bij nemen bij mijn nod32/4
SpySweeper is goed en kan prima samen met NOD. Alleen Spysweeper vertraagd het systeem dramatisch, terwijl nod zo´n lekker licht programma´tje is...
25-08-2009, 16:21 door PaulWilders
Tasaidon,

Wat ik echter aan wil geven is dat men zichzelf enigszins beter kan beschermen.
Net als met wireless, kun je beter WPA gebruiken dan WEP.
Hoe beter je jezelf probeert te beschermen, hoe lastiger het zal zijn voor virussen en mallware om wat te doen.

Met die stelling ben ik het volkomen eens. Het aandragen van dergelijke mogelijkheden lijkt me op zich ook uitstekend. Stelligheid dat oplossing X of Y de problemen definitief zouden elimineren lijkt me echter enigzins glad ijs.

Overall zou naar mijn bescheiden optiek een regelmatige system backup op een externe en vervolgens afgekoppelde informatiedrager (externe hard disk etc.) middels daarvoor bestemde software van Paragon, Acronis etc. tenminste algemeen goed en gebruik dienen te worden. Dat zou in de praktijk al een slok op een borrel schelen.

Paul Wilders

http://www.wilderssecurity.com
25-08-2009, 16:58 door Anoniem
mmm waar is avast gebleven??
25-08-2009, 19:45 door Thasaidon
Door PaulWilders: Overall zou naar mijn bescheiden optiek een regelmatige system backup op een externe en vervolgens afgekoppelde informatiedrager (externe hard disk etc.) middels daarvoor bestemde software van Paragon, Acronis etc. tenminste algemeen goed en gebruik dienen te worden. Dat zou in de praktijk al een slok op een borrel schelen.

Paul Wilders

http://www.wilderssecurity.com
Paul,

Ook helemaal mee eens ;)

Zelf heb ik in zowel mijn hoofd systeem als in een externe behuizing 2 identieke schijven zitten.
Op de schijf in mijn systeem heb ik al mijn belangrijke files/data staan (het merendeel ook nog eens encrypted).
En 1x in de maand (of bij een toevoeging van veel data zoals foto's) maak ik een backup naar de 2e identieke externe schijf.
Welke alleen tijdens de backup dus aan staat en gekoppeld is.

Een backup van het OS vind ik persoonlijk zinloos omdat dat vaak toch met een paar uur weer geinstalleerd is en je beter met een "clean install" kunt beginnen dan met een eventuele backup waar een "dormant" virus of mallware in kan zitten.
25-08-2009, 21:25 door Anoniem
Door Anoniem: Die tests falen allemaal, Ik voel me gewoon goed bij Avira ;)

Helemaal goed!!! doe ik ook al jaren" Antvir van Avira.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.