Nieuws

Virusscanner mist Windows-malware na eerste dag

vrijdag 24 augustus 2012, 11:55 door Redactie, 10 reacties

Als een virusscanner op de eerste dag een nieuw virus of Trojaans paard niet detecteert, is de kans zeer klein dat de malware in latere dagen wel wordt herkend. Dat blijkt uit onderzoek van Carbon Black. Via VirusTotal werd de detectie van 43 virusscanners onderzocht. Zes dagen na het eerst verschijnen van nieuwe malware daalde het detectiepercentage naar bijna nul. "Dit betekent gemiddeld genomen dat als een virusscanner malware niet meteen herkent, het dit waarschijnlijk nooit zal doen", aldus de onderzoekers.

Detectie
Verder bleek dat na 30 dagen de virusscanners minder malware detecteerden dan op de eerste dag. Een mogelijke reden hiervoor is dat anti-virusbedrijven hun verzameling signatures steeds bijwerken. Vanwege de grote hoeveelheid malware zouden de signature-verzamelingen zo groot worden dat dit invloed op de prestaties van de computer heeft, zo stelt Carbon Black.

Volgens David Harley van anti-virusbedrijf ESET is het onderzoek erg beperkt, omdat het alleen naar statisische signatures kijkt en geen rekening met de heuristieke detectie van virusscanners houdt.

Daarnaast twijfelt Harley aan de opvatting dat grote anti-virusbedrijven hun signature-verzameling zouden snoeien om ruimte voor nieuwe malware-signatures te maken.

'Virus beschadigt 30.000 computers bij oliegigant'

Windows hacken vanaf je iPhone of iPad

Reacties (10)

24-08-2012, 12:00 door Anoniem

Toch wel hoor.
Bij een scanner ontdekte ik geregeld dat er signatures af gingen dan erbij kwamen. Dus die kritiek klopt wel denk ik.

24-08-2012, 12:17 door Anoniem

Nogal logisch. De meeste malware wordt specifiek getest tegen antivirusprograma's voordat het wordt losgelaten.

24-08-2012, 13:00 door Anoniem

"Nogal logisch. De meeste malware wordt specifiek getest tegen antivirusprograma's voordat het wordt losgelaten."

Vrij onlogisch. Immers worden signatures toegevoegd nadat bedrijven samples van de malware ontvangen. Je zou dus verwachten dat de kans dat je AV scanner na een maand de malware kan detecteren groter is dan na een dag. En indien je virusscanner na een dag de malware wel detecteert, en een maand later niet meer, dan is dat ronduit bizar te noemen.

De vraag of de antivirus software de malware aanvankelijk kan detecteren door heuristic scanning staat daar los van. Als dat op het moment van de uitbraak het geval is, dan is dat een maand later nog steeds zo.

24-08-2012, 13:17 door Anoniem

Door Anoniem: Toch wel hoor.
Bij een scanner ontdekte ik geregeld dat er signatures af gingen dan erbij kwamen. Dus die kritiek klopt wel denk ik.

Vaak worden verschillende definities voor één familie samengevoegd tot één generieke definitie, dus dat zegt niks.

24-08-2012, 13:24 door sjonniev

Virustotal laat inderdaad maar een deel van het plaatje zien.

Dat volgens Virustotal een stuk malware door de commandline scanner van een pakket niet gevonden wordt betekent niet dat de malware niet gevonden wordt op een systeem waar de volledige functionaliteit van een anti-malwarepakket op aanwezig is.

24-08-2012, 14:00 door Anoniem

AV Comparative Analyses, Marketing, and VirusTotal: A Bad Combination:
http://blog.hispasec.com/virustotal/22 (blog van virustotal.com)

24-08-2012, 14:13 door Anoniem

De alinea onder "detectie" zette me op het verkeerde been. Zoals het hier staat lijkt het of malware die op dag 1 nog wel herkend wordt op dag 30 niet meer herkend wordt, en dat zou dan liggen aan de tragere werking door een grotere verzameling signatures. Dat is niet wat er in het oorspronkelijke artikel staat.

Wat het artikel wel zegt is dat er dagelijks ruim driekwart miljoen nieuwe malware-varianten onderzocht moeten worden. Dat is mogelijk te veel om de exemplaren die een virusscanner-maker op een dag niet volledig weet te inspecteren later af te maken, er staan alweer ruim driekwart miljoen nieuwe exemplaren te dringen die de volledige capaciteit vergen. De malware die op dag 30 niet herkend wordt werd dus op dag 1 al niet herkend en kwam domweg niet meer aan bod.

27-08-2012, 04:15 door [Account Verwijderd]

[Verwijderd]

27-08-2012, 09:09 door Anoniem

Wel grappig dat nu net weer een 'net-niet' bedrijfje zo'n 'onderzoek' moet publiceren..

Van CarbonBlack.com:
"Carbon Black is a surveillance camera for your computer – always recording so you know precisely what happened and where. The “camera” collects and retains five key elements as they are occurring: records of execution; filesystem modifications; registry modifications; new outbound network connections and unique binaries – as well as the relationship among them."

Wat is er mis met VMWare?

27-08-2012, 14:55 door Anoniem

Daarom gebruik ik ook comodo internet security het zandzakt (onderzoeken in virtualisatie) als het ware de malware als er nog geen signature voor is word het ook naar het lab van comodo gestuurd (na eigen keuze)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer