image

21 virusscanners met echte besmette links getest

dinsdag 16 juni 2015, 11:29 door Redactie, 12 reacties

Om de effectiviteit van virusscanners buiten een testomgeving om te testen voert het Oostenrijkse testlab AV-Comparatives elke maand een "real-world protection test" uit, waarbij anti-virusprogramma's met echte besmette links op internet worden getest. Voor de test van mei werden 595 links gebruikt.

De kwaadaardige links wezen naar malware of probeerden via een drive-by download stilletjes malware op het systeem te installeren. Dit zijn precies dezelfde aanvalsvectoren waarmee internetgebruikers dagelijks te maken krijgen. Aangezien er met up-to-date software werd gewerkt wisten veel van de URL's de drive-by download niet uit te voeren. Volgens AV-Comparatives kunnen internetgebruikers de kans op malware dan ook verkleinen door patches te installeren.

De virusscanners en internet security suites waren op het moment van de test ook met de meest recente signatures bijgewerkt. Slechts twee virusscanners, Panda Free Antivirus en Trend Micro Internet Security, wisten alle aanvallen zonder interactie van de gebruiker te stoppen. F-Secure herkende ook alle aanvallen, maar de beslissing om de malware te blokkeren liet het in een aantal gevallen over aan de gebruiker.

ThreatTrack, Microsoft Security Essentials en Lavasoftware Ad-ware Free Antivirus+ eindigen onderaan, met een detectie van rond de 90%. Verder werd er ook naar de "false positives" gekeken, het onterecht detecteren van schone bestanden als malware. Hierbij valt F-Secure op, dat 14 keer vals alarm gaf. Ook Panda (7) en McAfee (6) gaan meerdere keren de fout in.

Reacties (12)
16-06-2015, 12:16 door Erik van Straten
Dit soort tests bieden m.i. een vertekend en vooral veel te positief beeld.

Tenzij AV-Comparatives de malware zelf genereert en op internet publiceert, of veel sneller dan AV-boeren sites ontdekt die verse malware serveren, is deze "real-world protection test" natuurlijk niet representatief voor waar gebruikers in "real life" mee te maken krijgen.

Reken maar dat AV-boeren (met name de grotere) over allerlei middelen beschikken om zo als snel mogelijk sites met malware te identificeren. Echter, in de praktijk duurt het in mijn ervaring, na eerste ontdekking van een specifieke link met malware, bij nagenoeg alle virusscanners 1 á 2 dagen voordat de scanner op jouw PC die malware detecteert.

Uit http://www.av-comparatives.org/wp-content/uploads/2015/06/avc_factsheet2015_05.pdf (italics door mij toegevoegd):
We would like to point out that while some products may sometimes be able to reach 100% protection rates in a test, it does not mean that these products will always protect against all threats on the web. It just means that they were able to block 100% of the widespread malicious samples used in a test.

Veel malware samples zijn helemaal niet "widespread" maar gericht op specifieke taalgebieden waarbij gebruikers voorkeuren hebben voor enkele merken virusscanners. Als je als Nederlander een virusscanner van Chinese makelij gebruikt, kun je geluk hebben dat die scanner verse malware in een advertentie op telegraaf.nl ontdekt, omdat de malwaremakers niet de moeite hebben genomen net zo lang te pielen totdat ook die Chinese scanner geen alarm slaat. Echter, als die scanner niets detecteert, is de kans groot dat die dat, voor dit specifieke malware sample, nooit gaat doen.

Ik zou wel eens een test willen zien waarbij bijvoorbeeld de eerste meldingen van kwaadaardige links op virustotal.com als startpunt worden genomen, en bijv. de eerste 2 dagen elk uur complete antimalwarepakketten, zoals typisch geïnstalleerd bij gebruikers, aan de tand worden gevoeld. En dan zou ik ook graag lezen of de malware wordt geblokkeerd door "malicious link blocking", scannen van de malware zelf, of heuristische detectie.

De reden dat dit soort tests niet plaatsvinden zou wel eens kunnen zijn omdat deze een te dramatrisch resultaat laten zien. En, als je niet patcht en/of je hersens niet gebruikt, het meer een kwestie van geluk is dat je PC niet besmet raakt dan dat virusscanners hier veel invloed op hebben.
16-06-2015, 12:28 door Anoniem
"als je niet patched en je je hersen niet gebruikt..." beste Erik,patches komen in veel zo niet alle gevallen te laat,in ,het lek wordt altijd eerder ontdekt (door hackers of onderzoekers) en pas daarna gepatched. En wat betreft hersens niet gebruiken: als iemand op de telegraaf website het nieuws wil lezen weet diegene niet en kan die ook niet weten dat die website/pagina met malware is besmet,ook de telegraaf weet dat dan nog niet,alleen de hackers weten dat.Als je een pornowebsite bezoekt dan weet je dat je een flink risico loopt,maar een website als telegraaf.nl of ad.nl verwacht je dat toch niet.
16-06-2015, 14:20 door Erik van Straten
16-06-2015, 12:28 door Anoniem: "als je niet patched en je je hersen niet gebruikt..." beste Erik,patches komen in veel zo niet alle gevallen te laat,in ,het lek wordt altijd eerder ontdekt (door hackers of onderzoekers) en pas daarna gepatched.
Natuurlijk heb je gelijk dat een patch pas kan worden uitgebracht nadat iemand het lek heeft ontdekt ;-)

Gelukkig is het de praktijk dat 0days vooral voor targeted attacks, en zelden voor bulk-malware worden gebruikt. Helaas vormden enkele lekken in Adobe Flash van eerder dit jaar hier een uitzondering op, deze werden misbruikt bij malvertising (zie o.a. https://blog.malwarebytes.org/exploits-2/2015/02/hanjuan-ek-fires-third-flash-player-0day/).

Het is zeker niet zo dat een up-to-date PC je tegen alle malware kan beschermen, maar als je moet of wilt kiezen tussen patchen en een virusscanner draaien, zou ik patchen. Verreweg de meeste exploits waar je als gewone gebruiker mee in aanraking kunt komen, houd je daar mee tegen.

16-06-2015, 12:28 door Anoniem: En wat betreft hersens niet gebruiken: als iemand op de telegraaf website het nieuws wil lezen weet diegene niet en kan die ook niet weten dat die website/pagina met malware is besmet,ook de telegraaf weet dat dan nog niet,alleen de hackers weten dat.Als je een pornowebsite bezoekt dan weet je dat je een flink risico loopt,maar een website als telegraaf.nl of ad.nl verwacht je dat toch niet.
Op dit punt had ik absoluut duidelijker kunnen zijn. In de basis zijn er twee soorten malware: exploits waardoor je PC wordt besmet zonder dat je iets bijzonders doet, en trojans die interactie van de gebruiker vereisen (er bestaat ook malware met beide componenten, bijv. een exploit die een UAC melding geeft om volledige adminrechten te verkrijgen).

Met "je hersens gebruiken" bedoel ik niet dat je geen sites meer zou moeten bezoeken die via advertenties wel eens malware hebben geserveerd. Wel doel ik op social engineering waarbij je bijv. wordt overgehaald om een trojan te installeren. Daarnaast kun je allerlei maatregelen nemen om je PC beter te beschermen (valt ook onder "hersens gebruiken"), zoals met een andere webbrowser surfen en/of deze veiliger configureren, javascript van third-party sites blokkeren, een ad-blocker gebruiken, Flash alleen activeren als je erop klikt, de Java plugin in je webbrowser uitzetten (of, als je Java nergens nodig hebt, het deïnstalleren), een andere PDF-lezer gebruiken en macro's in MS Office standaard uit laten.
16-06-2015, 14:29 door Anoniem
Door Erik van Straten: Dit soort tests bieden m.i. een vertekend en vooral veel te positief beeld.

Tenzij AV-Comparatives de malware zelf genereert en op internet publiceert, of veel sneller dan AV-boeren sites ontdekt die verse malware serveren, is deze "real-world protection test" natuurlijk niet representatief voor waar gebruikers in "real life" mee te maken krijgen.

Reken maar dat AV-boeren (met name de grotere) over allerlei middelen beschikken om zo als snel mogelijk sites met malware te identificeren. Echter, in de praktijk duurt het in mijn ervaring, na eerste ontdekking van een specifieke link met malware, bij nagenoeg alle virusscanners 1 á 2 dagen voordat de scanner op jouw PC die malware detecteert.

Uit http://www.av-comparatives.org/wp-content/uploads/2015/06/avc_factsheet2015_05.pdf (italics door mij toegevoegd):
We would like to point out that while some products may sometimes be able to reach 100% protection rates in a test, it does not mean that these products will always protect against all threats on the web. It just means that they were able to block 100% of the widespread malicious samples used in a test.

Veel malware samples zijn helemaal niet "widespread" maar gericht op specifieke taalgebieden waarbij gebruikers voorkeuren hebben voor enkele merken virusscanners. Als je als Nederlander een virusscanner van Chinese makelij gebruikt, kun je geluk hebben dat die scanner verse malware in een advertentie op telegraaf.nl ontdekt, omdat de malwaremakers niet de moeite hebben genomen net zo lang te pielen totdat ook die Chinese scanner geen alarm slaat. Echter, als die scanner niets detecteert, is de kans groot dat die dat, voor dit specifieke malware sample, nooit gaat doen.

Ik zou wel eens een test willen zien waarbij bijvoorbeeld de eerste meldingen van kwaadaardige links op virustotal.com als startpunt worden genomen, en bijv. de eerste 2 dagen elk uur complete antimalwarepakketten, zoals typisch geïnstalleerd bij gebruikers, aan de tand worden gevoeld. En dan zou ik ook graag lezen of de malware wordt geblokkeerd door "malicious link blocking", scannen van de malware zelf, of heuristische detectie.

De reden dat dit soort tests niet plaatsvinden zou wel eens kunnen zijn omdat deze een te dramatrisch resultaat laten zien. En, als je niet patcht en/of je hersens niet gebruikt, het meer een kwestie van geluk is dat je PC niet besmet raakt dan dat virusscanners hier veel invloed op hebben.

Jouw ervaring is niet representatief voor antivirusscanners.
Ik ken namelijk ook gevallen dat antivirusmakers binnen een aantal uur nieuwe definities hadden uitgebracht voor nieuwe virussen.
16-06-2015, 15:02 door Anoniem
Door Anoniem: .Als je een pornowebsite bezoekt dan weet je dat je een flink risico loopt,maar een website als telegraaf.nl of ad.nl verwacht je dat toch niet.

Hoe weet jij dat je een risico loopt op pornowebsite ? Vertel....

Ik weet dat ik een enorm risico loop door naar de site van juist de telegraaf te gaan.
Daar hebben besmettingen namelijk al een tig aantal keren plaatsgevonden zoals we
o.a. hier op deze site hebben kunnen lezen.

Zodra een besmetting ontdekt wordt is het wel zo netjes om bezoekers te waarschuwen,
zoals bijvoorbeeld Tweakers zo keurig gedaan heeft.

Ook in dit opzicht heeft de telegraaf een zeer slechte reputatie.
Als ze hun geld maar krijgen.
We mogen hier juridisch zelfs over "Grove nalatigheid" spreken.
Mensen spreken zelfs over de Telegrof.
Nee, ik ga er niet op in dat de telegraaf "een enge site voor enge mensen" zou zijn.
16-06-2015, 16:17 door Anoniem
Phh... en al weer de zoveelste appels-en-citroenen-test...

Ja, Microsoft Defender lijkt het slechter dan de anderen te doen, als je tenminste SmartScreen uitzet.
En dat is wat AVC steevast doet in deze testen, om 'eerlijk' te testen (veel andere AV-produkten hebben SmartScreen achtige technologie ingebouwd...).

Dus, wat vertellen deze testen ons over de ingebouwde bescherming in Windows? Weinig tot niks.
16-06-2015, 16:29 door Anoniem
Door Erik van Straten:
16-06-2015, 12:28 door Anoniem: "als je niet patched en je je hersen niet gebruikt..." beste Erik,patches komen in veel zo niet alle gevallen te laat,in ,het lek wordt altijd eerder ontdekt (door hackers of onderzoekers) en pas daarna gepatched.
Natuurlijk heb je gelijk dat een patch pas kan worden uitgebracht nadat iemand het lek heeft ontdekt ;-)

Gelukkig is het de praktijk dat 0days vooral voor targeted attacks, en zelden voor bulk-malware worden gebruikt. Helaas vormden enkele lekken in Adobe Flash van eerder dit jaar hier een uitzondering op, deze werden misbruikt bij malvertising (zie o.a. https://blog.malwarebytes.org/exploits-2/2015/02/hanjuan-ek-fires-third-flash-player-0day/).

Het is zeker niet zo dat een up-to-date PC je tegen alle malware kan beschermen, maar als je moet of wilt kiezen tussen patchen en een virusscanner draaien, zou ik patchen. Verreweg de meeste exploits waar je als gewone gebruiker mee in aanraking kunt komen, houd je daar mee tegen.

16-06-2015, 12:28 door Anoniem: En wat betreft hersens niet gebruiken: als iemand op de telegraaf website het nieuws wil lezen weet diegene niet en kan die ook niet weten dat die website/pagina met malware is besmet,ook de telegraaf weet dat dan nog niet,alleen de hackers weten dat.Als je een pornowebsite bezoekt dan weet je dat je een flink risico loopt,maar een website als telegraaf.nl of ad.nl verwacht je dat toch niet.
Op dit punt had ik absoluut duidelijker kunnen zijn. In de basis zijn er twee soorten malware: exploits waardoor je PC wordt besmet zonder dat je iets bijzonders doet, en trojans die interactie van de gebruiker vereisen (er bestaat ook malware met beide componenten, bijv. een exploit die een UAC melding geeft om volledige adminrechten te verkrijgen).

Met "je hersens gebruiken" bedoel ik niet dat je geen sites meer zou moeten bezoeken die via advertenties wel eens malware hebben geserveerd. Wel doel ik op social engineering waarbij je bijv. wordt overgehaald om een trojan te installeren. Daarnaast kun je allerlei maatregelen nemen om je PC beter te beschermen (valt ook onder "hersens gebruiken"), zoals met een andere webbrowser surfen en/of deze veiliger configureren, javascript van third-party sites blokkeren, een ad-blocker gebruiken, Flash alleen activeren als je erop klikt, de Java plugin in je webbrowser uitzetten (of, als je Java nergens nodig hebt, het deïnstalleren), een andere PDF-lezer gebruiken en macro's in MS Office standaard uit laten.
Aha,oke Erik,bedankt voor de uitgebreide uitleg.
16-06-2015, 16:35 door Anoniem
Door Anoniem:
Door Anoniem: .Als je een pornowebsite bezoekt dan weet je dat je een flink risico loopt,maar een website als telegraaf.nl of ad.nl verwacht je dat toch niet.

Hoe weet jij dat je een risico loopt op pornowebsite ? Vertel....

Ik weet dat ik een enorm risico loop door naar de site van juist de telegraaf te gaan.
Daar hebben besmettingen namelijk al een tig aantal keren plaatsgevonden zoals we
o.a. hier op deze site hebben kunnen lezen.

Zodra een besmetting ontdekt wordt is het wel zo netjes om bezoekers te waarschuwen,
zoals bijvoorbeeld Tweakers zo keurig gedaan heeft.

Ook in dit opzicht heeft de telegraaf een zeer slechte reputatie.
Als ze hun geld maar krijgen.
We mogen hier juridisch zelfs over "Grove nalatigheid" spreken.
Mensen spreken zelfs over de Telegrof.
Nee, ik ga er niet op in dat de telegraaf "een enge site voor enge mensen" zou zijn.
Beste anoniem,ik spreek hier uit ervaring,ik surf weleens op pornowebsites,hoewel de laatste tijd niet meer. Reden is behalve nare ervaring met malware in het verleden, er nu ook telkens o.m. op security.nl weer berichten komen met dat er malware op die betreffende pornowebsites is geinstalleerd.
16-06-2015, 20:40 door Anoniem
...ik surf weleens op pornowebsites,hoewel de laatste tijd niet meer..
Dat zeg ik ook altijd tegen mijn vrouw als ze er naar vraagt ;-)
Ik geloof je.
16-06-2015, 21:36 door Anoniem
De kwaadaardige links wezen naar malware of probeerden via een drive-by download stilletjes malware op het systeem te installeren.

Dit zijn precies dezelfde aanvalsvectoren waarmee internetgebruikers dagelijks te maken krijgen.

Oh? Werkelijk?
Dan is er op dit vlak, de frequentie, kennelijk veel veranderd in een jaar tijd.
Of toch niet? Hoe hangt de vlag er inmiddels bij?

Een jaar later helpen deze OS onafhankelijke 'Enquete voor en door Security.nl lezer(s) van een update te voorzien wordt gewaardeerd door de T.s. van die enquete en hopelijk ook door lezers ivm nieuwe waardevolle reacties.

Simpel uitgangspunt:

Virus melding : hoe vaak?
https://www.security.nl/posting/387102/Virus+melding+%3A+hoe+vaak%3F

(Dit is nou precies een post die geen last heeft van 'necro-reacties omdat het een actueel iets blijft, reageren maar!)
17-06-2015, 01:09 door Erik van Straten
16-06-2015, 14:29 door Anoniem:
Door Erik van Straten: Echter, in de praktijk duurt het in mijn ervaring, na eerste ontdekking van een specifieke link met malware, bij nagenoeg alle virusscanners 1 á 2 dagen voordat de scanner op jouw PC die malware detecteert.
Jouw ervaring is niet representatief voor antivirusscanners.
Ik ken namelijk ook gevallen dat antivirusmakers binnen een aantal uur nieuwe definities hadden uitgebracht voor nieuwe virussen.
Je hebt gelijk dat het soms gebeurt dat antivirusmakers een malware sample snel te pakken krijgen, de prioriteit hoog inschatten, detectiepatronen maken, false positive tests uitvoeren, "de detectie" toevoegen aan een nieuwe set definities - en dat dit allemaal gebeurt kort voor het moment dat de AV maker besluit die nieuwe set definities op hun distributieservers vrij te geven (de betere AV-boeren enkele keren per dag, maar er zijn er ook die lekker weekend vieren). Dus inderdaad, met name bij wijdverbreide malware, de juiste mensen op de goede plaats en een beetje geluk, kunnen nieuwe definities snel beschikbaar zijn.

Echter, daarna duurt het nog een variabele tijd voordat de meeste klanten die definities actief op hun PC hebben. En helaas is veel malware helemaal niet wijdverbreid en/of staat soms maar kort online (dus lage prio). Met de enorme aantallen malwarevariaties is het simpelweg niet mogelijk om voor de overgrote meerderheid daarvan (zie de percentages van > 90% detectie, waar dit soort tests mee schermen) binnen enkele uren detectie te bieden aan jou als eindgebruiker.

Dus ja, er zijn "gevallen dat antivirusmakers binnen een aantal uur nieuwe definities hadden uitgebracht voor nieuwe virussen", maar voor het overgrote deel van gepubliceerde malware geldt dat niet.

En daarmee is een virusscanner een soort Russische roulette geworden. Het helpt, maar lang niet zo effectief als dit soort tests (van o.a. AV-Comparatives) suggereren.

Ik zeg niet dat je geen virusscanner moet gebruiken, maar dit soort tests zijn misleidend. Ze kunnen er eenvoudig toe leiden dat mensen verkeerde keuzes maken, met sub-optimale beveiliging als gevolg.
18-06-2015, 23:19 door Eric-Jan H te D
Door Anoniem: beste Erik,patches komen in veel zo niet alle gevallen te laat

Als je bedoeld dat een patch meestal achter het misbruik aanhobbelt heb je waarschijnlijk wel gelijk. Maar aan de andere kant moet je het effect daarvan natuurlijk ook niet overdrijven.

Voor de besmette site is het echt te laat. Deze is niet voor niets besmet. Maar niet alle niet gepatchte machines maken in deze kwetsbare fase contact met zo'n besmette site. In de praktijk zelfs natuurlijk maar een minieme fractie van alle potentiële doelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.