Dit weekend vierde Amerika Onafhankelijkheidsdag, een dag die traditioneel ook door virusschrijvers wordt aangegrepen voor het verspreiden van malware. Net als met andere incidenten en evenementen was het Waledac botnet voor de meeste "Fireworks spam" verantwoordelijk zijn. In e-mails met als onderwerp 4 juli, werd gelinkt naar een nep-versie van YouTube. Hier zou een filmpje met allerlei vuurwerk te zien zijn, maar eerst moet men het bestand install.exe installeren, dat een nep-virusscanner bevat.
Gary Warner van UAB controleerde het bestand via Virustotal.com, een verzameling van 41 anti-virus engines. Daaruit blijkt dat slechts 4 van de 41 anti-virus engines de malware herkennen. "Helaas is dit een demonstratie van hoe virusscanners werken. Anti-virus software gaat pas een virus detecteren als genoeg mensen erover klagen, dat het als anti-virus signature wordt toegevoegd." Volgens Waner was in dit geval het virus nog niet voldoende gespamd, waardoor nog niemand klaagde. Verder verwacht de analist dat veel anti-virus analisten het weekend niet op de zaak zijn om een signature te ontwikkelen.
Kritiek
De kritiek is David Harley van virusbestrijder ESET het verkeerde keelgat ingeschoten. "Zoals ik al vaker heb aangegeven, is VirusTotal niet ontworpen om te zien hoe goed een bepaalde scanner malware detecteert." Het feit dat zoveel virusscanners de Waledac malware missen, wil nog niet zeggen dat ze die niet detecteren. VirusTotal gebruikt namelijk alleen de command-line optie, die niet alle eigenschappen en mogelijkheden van de virusscanner in kwestie benut. Ook zou de door VirusTotal gebruikte configuratie ervoor kunnen zorgen dat de scanner een exemplaar niet herkent. Het laatste punt van kritiek op het gebruik van VirusTotal als graadmeter, is dat een VT rapport een "snapshot" is. Een scan kan vijf minuten later alweer heel anders uitpakken, aldus Harley.
Het is echter de uitspraak van Warner over hoe virusscanners werken die Harley het meest steekt. "Anti-virusbedrijven wachten niet meer totdat mensen malware opsturen, maar gebruiken heuristische analyse en geautomatiseerde processen om malware te vinden, analyseren en detecteren." Verder was de spamrun van Waledac al de dag voor de blogposting van Warner bekend. Daarnaast zouden veel mensen in de AV-industrie ook buiten de kantoortijden actief zijn met het ontwikkelen van signatures.
Deze posting is gelocked. Reageren is niet meer mogelijk.