image

Adobe lanceert gratis "virusscanner"

vrijdag 30 maart 2012, 10:44 door Redactie, 17 reacties

Adobe heeft een open source tool gelanceerd waarmee analisten en security professionals kunnen controleren of er geen malware in binaire bestanden verstopt zit. De Malware Classifier-tool gebruikt "machine learning algorithms" om Win32 binaire bestanden, zoals EXE en DLLs, te classificeren. Daarbij wordt er naar zeven belangrijke kenmerken van een bestand gekeken. Aan de hand van de controle door de vier "classifiers" die de tool gebruikt, komt er volgens een oordeel uit of het bestand schoon of kwaadaardig is, of dat het dit niet kon controleren. Dat verschijnt het oordeel onbekend.

De tool is ontwikkeld aan de hand van de J48, J48 Graft, PART en Ridor machine-learning algoritmes die een dataset van 100.000 kwaadaardige en 16.000 schone programma's analyseerden. De gratis tool is te downloaden via Sourceforge.

Reacties (17)
30-03-2012, 11:09 door Fwiffo
"Gratis virusscanner Adobe wordt gebundeld met Adobe Air en Google Toolbar".
30-03-2012, 11:19 door Duck-man
Door Fwiffo: "Gratis virusscanner Adobe wordt gebundeld met Adobe Air en Google Toolbar".
waar haal je dat vandaan?
Het is trouwens geen virus scanner. Het beoordeeld code op aanwezigheid van malware en is een tool ontwikkelaars.
30-03-2012, 11:40 door SirDice
Ik geloof niet dat ik Adobe vertrouw als het gaat om malware. Ze hebben tenslotte niet de beste reputatie op dit onderwerp.
30-03-2012, 11:51 door Anoniem
Dit kun je heel goed als virusscanner gebruiken. Sterker, ik gok dat over een jaar of vijf, tien; iedere virusscanner zo'n algorithme heeft met een naam als "advanced thread recognition" of "zero-day scanner". De implementatie heeft niet het probleem wat de huidige virusscanners hebben, namelijk dat ze een virus eerst gezien moeten hebben voor ze een signature kunnen maken.

Het heeft wel een ander probleem: klassificatie is niet perfect en zal false positives opleveren. Dus als het zegt dat $randomprogwatjenetgedownloadhebt op een virus lijkt, heb je dan een 0day te pakken, of is het gewoon een misklassificatie?
30-03-2012, 11:52 door Anoniem
Door Duck-man:
Door Fwiffo: "Gratis virusscanner Adobe wordt gebundeld met Adobe Air en Google Toolbar".
waar haal je dat vandaan?
Het is trouwens geen virus scanner. Het beoordeeld code op aanwezigheid van malware en is een tool ontwikkelaars.
Het valt me op dat Nederlanders hun moedertaal niet goed beheersen. Best triest, als je erover nadenkt.
30-03-2012, 11:56 door Whoops
Door SirDice: Ik geloof niet dat ik Adobe vertrouw als het gaat om malware. Ze hebben tenslotte niet de beste reputatie op dit onderwerp.
Wie vertrouw je dan wel?
30-03-2012, 12:09 door Anoniem
Door Whoops:
Door SirDice: Ik geloof niet dat ik Adobe vertrouw als het gaat om malware. Ze hebben tenslotte niet de beste reputatie op dit onderwerp.
Wie vertrouw je dan wel?
Microsoft, Google, de overheid en Sinterklaas ;-)
30-03-2012, 12:11 door SirDice
Door Anoniem: Dit kun je heel goed als virusscanner gebruiken. Sterker, ik gok dat over een jaar of vijf, tien; iedere virusscanner zo'n algorithme heeft met een naam als "advanced thread recognition" of "zero-day scanner".
Het zit er al in. Dat heet heuristics.

http://en.wikipedia.org/wiki/Antivirus_software#Heuristics
30-03-2012, 12:30 door eXpL0iT.be
If a company offers you something for free, you're the product.
30-03-2012, 12:35 door Zipper306
Door Fwiffo: "Gratis virusscanner Adobe wordt gebundeld met Adobe Air en Google Toolbar".

Niets is gratis op het Internet, dit moest er wel van komen, lang leve Adobe, Apple en google
30-03-2012, 13:08 door Anoniem
Beste SirDice,

Ik moet u helaas tegenspreken. De heuristics beperken zich over het algemeen over een statisch template, waar virussen op bepaalde plekken af mogen wijken. Dit is allemaal in de heuristics bepaald. Je hebt hiermee inderdaad de mogelijkheid nieuwe versies van bekende virussen op te pakken; maar dit is nog steeds geen machine learning. De adobe tool daarintegen is van wat ik ervan heb begrepen een soort bayesian filter welk je (genoeg) geclassificeerde "virus" en "niet virus" ingooit, zonder te zeggen wat het dan wel of niet een virus maakt. Het filter zal vervolgens op magische wijze (niet helemaal, maar de preciese hoe is niet belangrijk) bepalen wat dan wel of geen virus is. Dit is significant anders dan heuristics
30-03-2012, 13:38 door Righard J. Zwienenberg

Daarbij wordt er naar zeven belangrijke kenmerken van een bestand gekeken.[...]

En deze zijn:

self.DebugSize = self.pe.OPTIONAL_HEADER.DATA_DIRECTORY[6].Size
self.ImageVersion = ((self.pe.OPTIONAL_HEADER.MajorImageVersion*100 +self.pe.OPTIONAL_HEADER.MinorImageVersion)*1000
self.IatRVA = self.pe.OPTIONAL_HEADER.DATA_DIRECTORY[1].VirtualAddress
self.ExportSize = self.pe.OPTIONAL_HEADER.DATA_DIRECTORY[0].Size
self.ResourceSize = self.pe.OPTIONAL_HEADER.DATA_DIRECTORY[2].Size
self.VirtualSize2 = self.pe.sections[1].Misc_VirtualSize
self.NumberOfSections = self.pe.FILE_HEADER.NumberOfSections

Niet echt representatief voor alle mogelijke kenmerken waardoor een programma kwaadaardig zou kunnen zijn. Ik zal niet ingaan waarom deze controlles niet voldoende zijn (geen ideeen geven :-))


die een dataset van 100.000 kwaadaardige en 16.000 schone programma's analyseerden [...]

Ah ja... Getest tegen een ~ 0.1% van het totale (bekende) aantal kwaadaardige programma's en ~ 0% van alle schone programma's. Representatief?

Maar het was goed genoeg om bij een ticket voor een conferentie te krijgen ;-)
http://infosecsouthwest.com/lectures.html#sftcm
30-03-2012, 13:54 door Rajaat
Ze zijn daar bij Adobe niet vies van een flink eindje inspringen in de regel, zeg.
30-03-2012, 18:42 door NumesSanguis
@Righard

Classificaties algoritmes gaan waarschijnlijk een hele grote rol spelen in de toekomst. Toen ik las dit door Adobe gebruikt wordt, stond ik er positief tegenover. Alleen met de data die je geeft, zie ik inderdaad ook dat het niet erg representatief is :p
30-03-2012, 23:33 door Anoniem
Niet helemaal nieuw, hier is een online versie https://valkyrie.comodo.com/

Voorbeeld link:
https://valkyrie.comodo.com/Result.html?sha1=c00b1f13739d865a109c17fe7382e617116addde
17 'Static' detectors die mogelijk verdacht gedrag aangeven in de code.
Dus geen 'draai in een VM en kijk wat er gebeurt' maar een statische statistische analyse + voorspelling.
31-03-2012, 09:41 door Fwiffo
Door Duck-man:
Door Fwiffo: "Gratis virusscanner Adobe wordt gebundeld met Adobe Air en Google Toolbar".
waar haal je dat vandaan?
Het is trouwens geen virus scanner. Het beoordeeld code op aanwezigheid van malware en is een tool ontwikkelaars.
Geen enkele ervaring met producten van Adobe? Dan ben je echt een gezegend persoon :-)

edit: Dit is ironisch bedoeld, niet sarcastisch. De opmerking over Adobe was wel sarcastisch bedoelt. Een beetje in de trant van Zak McKracken die ook strooide met 'krantenkoppen'. Maar misschien is dit te lang geleden voor vele lezers hier. Ik word oud :-/
03-04-2012, 14:21 door Anoniem
Oke, wanneer komt Java nu uit de mouw ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.