image

Online test controleert instellingen virusscanner

woensdag 5 juni 2013, 10:14 door Redactie, 10 reacties

Internetgebruikers hebben nu de mogelijkheid om te controleren of hun virusscanner of andere beveiligingssoftware goed staat ingesteld. De Anti-Malware Testing Standards Organization (AMTSO) heeft vijf tests online gezet waarmee het mogelijk is om de instellingen en werking van beveiligingspakketten te controleren. AMTSO stelt universele testmethodes voor virusscanners op.

Er werken testers, anti-virusbedrijven, academici en anderen aan mee. De nu gepubliceerde tests kijken naar verschillende onderdelen. Het gaat dan om bescherming tegen het handmatig downloaden van malware, bescherming tegen drive-by downloads, bescherming tegen potentieel ongewenste applicaties en bescherming tegen phishingpagina's.

Deelnemers
Ook wordt er gecontroleerd of de cloudbescherming staat ingeschakeld. Op dit moment worden de tests door Agnitum, Avast, AVG, Avira, ESET, F-Secure, G Data, K7, Kaspersky, McAfee, Norman, Panda, Sophos, Symantec en Trend Micro ondersteund. Het aantal ondersteunde tests kan per leverancier verschillen. Naar verwachting zullen binnenkort meer partijen de tests ondersteunen.

Reacties (10)
05-06-2013, 10:41 door Anoniem
Jaja... Je kan op de website van een organisatie waar je nog nooit van gehoord hebt een applicatie downloaden die zich met je virusscanner gaat bemoeien. Lastig is wel dat van tevoren het resultaat niet vast staat: maakt het een nep-rapport dat suggereert dat je extra software (van hen??!?) nodig hebt, of maakt het een rapport waaruit blijkt dat alles in orde is, maar tegelijkertijd je volledige virus scanner omver gooit en malware installeert?
05-06-2013, 11:05 door Anoniem
als ik klik op Test if my protection against a drive-by download (EICAR.COM) is enabled gaat mijn Avast toeteren en blazen ...
05-06-2013, 12:07 door Anoniem
Net gemerkt dat Kaspersky Antivirus de PUP-detectie niet standaard aan had staan. Dit even verholpen. Ga naar KAV, instellingen (boven rechts) en klik op het laatste tabblad (geavanceerde instellingen), ga naar dreigingen en uitzonderingen en de (bovenste) knop instellingen. Na het klikken op de knop zie je een dialoogvenster. Zorg er nu voor dat ALLES staat aangevinkt. Nu zal KAV ook deze PUP detecteren.
05-06-2013, 17:20 door Righard J. Zwienenberg
Door Anoniem: als ik klik op Test if my protection against a drive-by download (EICAR.COM) is enabled gaat mijn Avast toeteren en blazen ...

:-) dan is de configuratie van AVAST! op het systeem voor dat onderdeel correct :-)
05-06-2013, 17:32 door Righard J. Zwienenberg
Door Anoniem: Jaja... Je kan op de website van een organisatie waar je nog nooit van gehoord hebt een applicatie downloaden die zich met je virusscanner gaat bemoeien. Lastig is wel dat van tevoren het resultaat niet vast staat: maakt het een nep-rapport dat suggereert dat je extra software (van hen??!?) nodig hebt, of maakt het een rapport waaruit blijkt dat alles in orde is, maar tegelijkertijd je volledige virus scanner omver gooit en malware installeert?

Het kan natuurlijk zijn dat je nog nooit van een organisatie gehoord hebt (AMTSO bestaat al wat langer) maar om dan zo onfefundeerd opmerkingen te maken???

AMTSO bemoeit zich niet met je virusscanner, gooit het niet omver en suggereert zeker niet om extra software te instaleren. AMTSO heeft - buiten documenten - geen eens produkten. En de documenten zijn nog gratis ook voor de eind-gebruikers.

Het enige wat deze testen doen is de eindgebruiker vertellen of een bepaalde configuratie wel of niet goed is ingesteld. Als de eindgebruiker denkt dat bijvoorbeeld detectie voor Potential Unwanted Application/Potentially Unwanted Programs aanstaat, en de gebruikte scanner support de test, dan zal de applicatie geblokkeerd moeten worden. Indien niet, dan is er wellicht iets met de instellingen.

Anoniem van 12:07pm heeft dat letterlijk ondervonden. Precies een de manieren waarop deze test gebruikt kan worden.

En ja, ik ben betrokken bij AMTSO, op een dubbele manier:
1. Als een van det echnische mensen achter AMTSO: http://www.amtso.org/about-us.html
2. Als lid van AMTSO (ESET): http://www.welivesecurity.com/author/righardz/
05-06-2013, 20:07 door Flashback956
Heb het even getest met Avast 8 Free (laatste versie met laatste virusdefinities)

Resultaat (nummers zijn gelijk aan de tests):
1. Word geblokkeerd
2. Word NIET geblokkeerd
3. Word NIET geblokkeerd
4. Phishing controle zit niet in de Avast 8 Free
5. Word NIET geblokkeerd

Bij 3 en 4 word je nog wel gewaarschuwd door chrome.
05-06-2013, 20:58 door Anoniem
(ik ben anoniem van 11.02 - was vergeten in te loggen...)

Anders dan de ervaringen van Flashback wordt bij mij alleen 2 geblokkeerd (dus: het openen van de link) - avast free 8.1.1489
06-06-2013, 09:26 door Anoniem
@Righard J. Zwienenberg - inderdaad, ik ken AMTSO niet, en ongetwijfeld doen ze erg goede dingen. Het punt dat ik wil maken is dat er op het internet wel vaker met schijnbaar goede bedoelingen tests of scans worden aangeboden, die niets anders proberen dan je geld afhandig te maken. Denk alleen al aan de honderden sites die je gratis een online virus scan aanbieden! Recent ging het nieuws over een zogenaamde wachtwoorden checker die eigenlijk probeerde je je gegevens afhandig te maken...

Dit bericht is net zo: de mensen die het nodig hebben de instellingen van hun anti-virus te laten controleren, die kennen zeer waarschijnlijk AMTSO niet. En die zouden dus een voor hen onbekend bedrijf niet zomaar aan de beveiliging van hun pc moeten laten zitten. Je hebt als eindgebruiker geen flauw idee wat die test-applicatie allemaal kan doen, maar hij rommelt wel met de fundamenten van je OS.
06-06-2013, 12:00 door LightFrame
Hmm... ik vind de tests wel leuk bedacht maar niet helemaal goed uitgewerkt.

Natuurlijk moet het Eicar bestand worden gedetecteerd in test 1 en 2.
Bij test 3 ligt het er maar net aan of je anti-malware programma een aparte instelling heeft voor PUA/PUP. Het wordt hier wel gedetecteerd middels een BitDefender signature, maar ik heb helemaal geen aparte PUA/PUP instelling..
Test 4 werkt bij mij niet omdat mijn beveiliging geen phishing pagina's blokkeert, maar direct het hele domein. Zou misschien beter zijn wanneer die test een webpagina op een ander domein opende.
Test 5 werkt hier ook al niet omdat het cloudcar.exe bestand geen vreemde dingen doet waardoor het ook niet nodig is om het te controleren in de wolk. Wanneer ik de hash opzoek in de wolk, dan wordt het bestand daar wel als malware bestempeld.

Ach, zoals is er altijd wel wat te zeuren denk ik. Op naar de volgende test :)
06-06-2013, 17:19 door Anoniem
Andere Preventie Tips - voor de lezer / bezoeker AMTSO site

Aardig testje ook voor een niet pc gebruiker al kan je de effecten van deze test ook pro-actief tegengaan zonder anti-virusscanner / anti-virussuite.
En ik moest ook wel want : mijn "vendor's" staan niet in het lijstje.

Gratis ClamAv gebaseerde scanner detecteerde in ieder geval het -> Standard-Test-Definitie-File (2003/2006?) <- , dat waarschijnlijk met behulp van de efforts van Amtso door antivirus bedrijven is opgenomen in de virusdefinities.

De 'test-de-virusscannertest-zelf-test' hier is ook niet uitgevoerd op een Pc maar op een Mac,
evengoed bij gebrek aan softwarefunctionaliteit hieronder wat andere meer specifieke standaard en niet standaard tips.

Antivirus :
misschien hoeft online real time monitoring niet, in ieder geval lijkt het me van belang dat je meest belangrijke / kwetsbare directories gemonitord worden. Bijvoorbeeld je downloads folder en op zijn minst de cache van je browser, vul ze zelf maar aan. (je hele machine is wellicht het best maar ook het meest performance belastend).

Eigen analyse van de amtso-test
Wat gebeurt er / waar wordt gebruik van gemaakt / of op welke wijze zou opgevoerde techniek gebruikt kunnen worden?

a) 3rd party connecties (3 à 4 domeinen betrokken)
b) hosting / referrer onder/naar een ander domein dan waar je denkt dat je bent
c) gebruik van iFrame's / javascript (ophalen content van een ander domein)
d) automatische download zonder pop up melding (javascript functionaliteit / File is een geaccepteerde Test-Virus-Definitie in de vorm van een reeks cijfertjes/tekens)
e) social engineering (optioneel / denkbaar)


Wat andere (software, configuratie & behavioral) Oplossingen :

a) Voorkeuren van je browser goed instellen ;
Firewall functie, No-script addon, Request Policy addon, click-to-play-media instelling of addon gebruiken (i.g.v. flash & swf ad's)

b) Firewall meldingen beheer ;
want je gaat meteen het schip in als je het niet door hebt.
Bezoek aan amtso.org vereist connectie met het domein van internetside.nl
(3 domeinen, ook minturn.nl, zijn ondergebracht onder hetzelfde ip adres of onder de .eu reverse dns host).

Idee is het gevaar dat je kent van het bezoeken van een .com domein dat je ongemerkt naar een .ru of .ua , .su enzovoort domein kan leiden waar net wat vaker malware gehost wordt die je vervolgens ook binnenhaalt.

De bel is dus je firewall die je erop attent maakt dat je naar een ander domein wordt geleid (bezoek ik com, zeg ik nee tegen biz of zoek ik uit waarom dat is).

c) iFrame gebruikt (in dit geval);
kan zijn een webpagina binnen een webpagina (hoeft niet zichtbaar te zijn, grootte kan klein zijn).
'vroeger' veel gebruikt bij links op commerciële webpagina's.
Met het klikken op een externe link bleef je op de website zelf en kon je een externe pagina in een subwindow (internetframe) bekijken.

De addon No-Script (geen reclame geen belang, gewoon bewezen functionaliteit, ook in dit geval) is essentieel bij het blocken (en veel meer scripts of doorverwijzingen) van dit soort functionele Hocus Pocus.
Dat is pro actief, je scanner is vaak reactief ; die reageert namelijk op het moment dat een proces aan de gang is of is voltooid (de download scan).
Misschien hebben sommige security suites deze meer pro-actieve functionaliteit inmiddels ook.

Evengoed is No-script gratis (en goed!) want blockte het iFrame met daaronder de virus-autodownload.

d) Automatisch download ;
Lukt niet via een iframe dat geblokt is met no-script.

Op welke manier je in de diverse browsers een melding bypass voorkomt kan ik hier niet uiteenzetten.
Zet in ieder geval in de voorkeuren van je browser bij de download file directory optie "altijd vragen waar het file dient te worden opgeslagen" aan.
Een test met een inmiddels unsupported mozilla browser zonder addons voorkwam automatische download zonder melding niet. Met onder c vermelde addon wel.

doe-tips zie onder #

e) social engineering ;
of in dit geval de mogelijkheid daartoe.

Komt de suggestie van de tekst overeen met de linkverwijzing die het suggereert of die je verwacht?
'hover' / beweeg met je muisaanwijzer over de link en lees welke linkverwijzing er links onderin je browserbalk wordt weergegeven.
Komt het domein overeen met wat je verwacht? Wil je wel naar dat bepaalde domein (meer oostelijk gelegen misschien)?

Heb je eigenlijk wel een balk (whats in a name : status bar / addon bar / ... ) onderaan je browserveld of is deze niet weergegeven? Doe dat maar wel dan, minder mooi wel zo secure.


# Test tip hierbij (test uitgevoerd op een Mac met diverse browsers getest, maar geen IE) :

1e doe-het-zelf-tip (of niet) - Creëer een Fake Download folder

- maak een 'fake'download folder aan ergens in je user directory, waar de download folder ook ergens staat (geef het wel een andere naam natuurlijk)
- definieer deze folder eens als standaard download folder in je browser voorkeuren
- zet daarbij in de browservoorkeuren wel de functie altijd vragen aan, dat is voor het keuze window bij download waarbij je een alternatieve download directory kan kiezen
- pas de rechten aan op de nieuw gecreëerde download map aan
- creëer een extra recht voor de admin user op deze map en maak deze ook eigenaar van de map, zet het recht van deze op "Write only (drop box).
De folder is namelijk een fake folder en zal als het goed is ook leeg blijven..
- limiteer maximaal de overige rechten ; everybody:no acces , huidig user recht (hopelijk is dat een regulier account waaronder je werkt, ander werkt het niet) in haar geheel verwijderen. Alleen deze folder! NIET op je andere folders toepassen, dat is namelijk een recept voor deep trouble, en dat was niet het idee.
- houd je 2 rechten over ; everybody: no acces , admin:write only (drop box), waarbij het niet de bedoeling is dat je hier ook files in gaat opslaan.

- Wat kan er dan gebeuren?
Waarschijnlijk het volgende, in diverse browsers tijdens mijn test wel ; bij een drive-by-download of auto-download (een click op een download link) gaat je browser protesteren!
Je krijgt dan een melding dat het opslaan in de bekende download directory niet lukt.
En dat is precies de bedoeling ;- ) want de lees en schrijfrechten zijn weggehaald / veranderd in geen toegang !

? "Ja dag, dan kan ik niet meer downloaden"
-> Jawel, wanneer je iets wil downloaden click je voortaan met de 'rechter' muis functie op de link
en kies je uit de menuoptie iets als "Safe link as" om het Save venster te openen en je download directory te kiezen.


2e tip - Deze tip in variatie dus toepassen op je downloads folder (mocht je tip 1 niet gebruiken)

Creëer een script met een waarschuwingsmelding.
Een script dat je een pop up melding geeft wanneer er nieuwe files geplaatst zijn in een bepaalde directory.

Ook zeer handig bij het monitoren van andere gevoelige directories waarin in principe weinig hoort te veranderen (ander wordt je gek, weet niet hoe dit op een pc goed te organiseren is).

MacTip te vinden onder : http://reviews.cnet.com/8301-13727_7-57415311-263/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.