image

"Detectie malware door anti-virus nog steeds laag"

maandag 25 augustus 2014, 11:05 door Redactie, 16 reacties

Ondanks allerlei technologische ontwikkelingen om de detectie van malware door anti-virussoftware te verbeteren, blijft de detectie van nieuwe dreigingen laag, zo stelt Paul Royal van Barracuda Labs. Hij wijst naar een infectie die vorige week op een populaire Indonesische website werd aangetroffen.

De malware, die via een exploit op de pagina werd verspreid, werd door slechts 8 van de 54 virusscanners op VirusTotal gedetecteerd. De detectie van de gebruikte exploit scoorde even laag. Een niet geobfusceerde versie van de exploit werd door nog minder scanners herkend, wat volgens Royal het probleem van eenvoudig te omzeilen signatures en heuristieke detectie laat zien.

Royal verwacht dat de detectie van zowel de exploit als malware binnen een week zal verbeteren. "Hoewel zo'n tijdsduur substantieel beter is dan de gemiddelde vertragingen die we vijf jaar geleden zagen, is er nog steeds voldoende ruimte voor verbetering, aangezien zelfs een venster van een aantal dagen voldoende tijd is voor een aanvaller om verschillende doelen te bereiken."

Reacties (16)
25-08-2014, 11:09 door Anoniem
Oke leuk, welke virusscanners?

http://www.malwarebytes.org/
25-08-2014, 11:29 door [Account Verwijderd] - Bijgewerkt: 25-08-2014, 11:31
[Verwijderd]
25-08-2014, 11:56 door Anoniem
Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft.
AV is een vangnetje, géén alles-in-één eindoplossing! Die misvatting is mijn inziens een veel groter gevaar dan een niet altijd optimaal functionerende AV.
25-08-2014, 12:43 door Anoniem
Door Picasa3: En weer is Qihoo 360 bij de groep van scanners die bij de infectie aanslaat. En ze is nog gratis ook!

http://www.anonanalytics.com/2013/04/initiating-coverage-qihoo-360-when.html
25-08-2014, 12:52 door Anoniem
"En weer is Qihoo 360 bij de groep van scanners die bij de infectie aanslaat. En ze is nog gratis ook! En waar waren nu Kaspersky, F-Secure (de zo geroemde betaalde scanners)?"

Lol, en een voorbeeld van 1 willekeurige sample is representatief ?

Heb je overwogen dat het zo zou kunnen zijn dat deze sample goed scoort bij Aziatische antivirus bedrijven omdat deze sample mogelijk vooral in die regio actief is ? Of dat zo is weet ik niet, maar het is wel een mogelijkheid.

Wil je dit soort testen uitvoeren, neem dan een VirusShare pack met bijvoorbeeld 125.000 samples, en ga vervolgens op de bevindingen daarvan conclusies over specifieke antivirus scanners trekken, dat is ''iets'' representatiever.

Verder kan je je ook afvragen hoe zinnig het is om via Virustotal verschillende virusscanners te gaan vergelijken, zie hieronder wat achtergrond informatie hierover van Virustotal zelf.

--
Why do not you include statistics comparing antivirus performance?

At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

- VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.

- In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.

- Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.

These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea, you can read more about VirusTotal and antivirus comparatives in our blog.

https://www.virustotal.com/en/faq/
--
25-08-2014, 13:14 door Anoniem
"Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?
25-08-2014, 15:13 door Anoniem
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?
Door een programma niet zomaar overal vandaan te halen? (Best Practices aanhouden!)

Ik had in mijn eerdere reactie "uitzondering bevestigt de regel" mogen toevoegen. Dat neemt niet weg dat malware voor het grootste gedeelte zonder AV buiten de deur te houden is. Maar lees vooral even de 2e zin uit mijn vorige reactie nog een keertje, dan is de context ook gelijk duidelijk.

(Ik zeg nergens dat een AV niet nodig zou zijn!)
25-08-2014, 15:16 door Anoniem
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?

Inderdaad: IE SmartScreen, of de reputation scan in Chrome hadden al af kunnen/moeten gaan.
25-08-2014, 15:18 door Anoniem
Door Picasa3: En weer is Qihoo 360 bij de groep van scanners die bij de infectie aanslaat. En ze is nog gratis ook! En waar waren nu Kaspersky, F-Secure (de zo geroemde betaalde scanners)?

https://www.virustotal.com/en/file/4c3c04c6f2265a8155b9e0df212bb1c2f698b7c0e88e5953fad5ba62ce5b600e/analysis/1408741151/

Hoe zat het ook al weer met gratis?
25-08-2014, 15:41 door Anoniem
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?

Ja. de "Viruscope" optie van de "Best Firewall In The World" kan dat inderdaad. Simpele firewalls zoals die van MS lopen net als U hopeloos achter.
25-08-2014, 18:13 door Anoniem
Door Anoniem:
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?

Ja. de "Viruscope" optie van de "Best Firewall In The World" kan dat inderdaad. Simpele firewalls zoals die van MS lopen net als U hopeloos achter.

In Windows doet SmartScreen dit al jaren.
25-08-2014, 22:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?

Ja. de "Viruscope" optie van de "Best Firewall In The World" kan dat inderdaad. Simpele firewalls zoals die van MS lopen net als U hopeloos achter.

In Windows doet SmartScreen dit al jaren.

Vertel eens wat SmartScreen met de toch wel verouderde Windows firewall te maken heeft ?????????

Google Chrome en Firefox hebben hun eigen "SmartScreen", n.l. een gezamenlijke database tegen phishing- en verdachte websites.
Als Firefox verdachte downloads ter controle door wil geven aan Google dan ontstaat er een rel.
Maar Microsoft houdt via SmartScreen al jaren een database bij met gegevens over wat U zoal download in de loop der jaren.

Microsoft zegt hier zelf het volgende over:

"If you choose to use Windows SmartScreen to check downloaded files, Windows sends information to the SmartScreen online service "
"Windows generates a number called a globally unique identifier (GUID) that is sent to Microsoft with each report. The GUID lets us determine which data is sent from a particular computer over time. "

Deze database met uw persoonlijke GUID is de reden dat veel mensen "SmartScreen" als spyware zien.

Maar nogmaals: Vertel eens wat SmartScreen met de toch wel verouderde Windows firewall te maken heeft ?????????
25-08-2014, 23:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: "Als een AV aanslaat, betekent dat dat de rest van de beveiliging gefaald heeft."

Indien je een programma download wat een virus bevat, hoe wens jij dat dan te detecteren ? Met je firewall ?

Ja. de "Viruscope" optie van de "Best Firewall In The World" kan dat inderdaad. Simpele firewalls zoals die van MS lopen net als U hopeloos achter.

In Windows doet SmartScreen dit al jaren.
... Maar nogmaals: Vertel eens wat SmartScreen met de toch wel verouderde Windows firewall te maken heeft ?????????
Humor, meestal worden topics gekaapt in plaats van reacties, maar mijn dank aan anon 15:16 & 15:41 voor de 'hulp & ondersteuning' ondanks dat ik hun mening(en) niet deel.

Hoewel ik het jammer vindt dat je verder niet meer reageert op mijn reactie van 15:13, ben ik het helemaal met je eens dat SmartScreen en bestandscontroles door browsers niet voor een privacy-minded gebruiker aan te raden zijn en dat ik ook niet zou kunnen vertellen wat die te maken hebben met een reguliere firewall in deze.
NB: Veruit de meeste AV's zijn nog minder privacy-vriendelijk dan SmartScreen!

Veiligheid hangt af van de gebruiker (beheerder), niet van een specifiek stukje software, was het maar zo simpel allemaal...
26-08-2014, 00:10 door 12345dan
De malware, die via een exploit op de pagina werd verspreid, werd door slechts 8 van de 54 virusscanners op VirusTotal gedetecteerd
Ikzelf ben een actieve gebruiker op VirusTotal, en ik moet zeggen dat ik nog nooit een volle score uit 58 heb mogen meemaken. Het hoogste wat ik heb gezien is 48/58. En dat is zeldzaam, je mag gerust zeggen dat het bestand malicieus is als drie antivirusdistributies dat beweren. 8/58 is dus een goede score. Bovendien heeft VirusTotal ook toepassingen die soms irrelevant zijn, voorbeeld: OpenPhish zal geen bestand markeren als malicieus.
26-08-2014, 09:52 door Anoniem
Barracuda Labs is een onmogelijke naam. Barracuda parasiteert op producten van derden zoals spam filter software, blacklists e.d., zonder daarvoor te betalen. 'Labs' is dus een overdreven aanduiding.

Het verbaast me daarom ook helemaal niets dat ze Virustotal gebruiken om te doen alsof ze wel een lab hebben.
26-08-2014, 18:37 door Anoniem
Hoe kan dat toch? Zijn wij nu zo dom of hackers zo slim:)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.