Het is ook geen uitgebreide malware scanner. Het is een hulpmiddel om je ervan te weerhouden naar websites te gaan die malware bevatten of kwaadaardige code kunnen gebruiken, etc... En de gebruiker zelf is de beste virusscanner, tenzij je autorun nog aan hebt staan want dan is een virusinfectie amper te voorkomen zonder virusscanner.

De gemiddelde Anti Virus scanner zoekt ook voornamelijk virussen. Malware is op zich geen virus, eenmaal aanwezig op je systeem kan deze wel deze virussen etc binnenhalen, eventueel door je anti virus programma uit te schakelen. Dat slechts een AV geen malware ziet vind ik in principe niet zo vreemd, daarom heb je dan ook meer aan een totaal pakket.

Aan de malware wordt het meestte geld verdiend (keyloggers etc).

dat is zo, en de beste virusscanner ben je altijd zelf

dat is zo, en de beste virusscanner ben je altijd zelf

Een heel goed artikel Bitwiper!

Mijn methode om malware te ontdekken is als volgt:

1. Download het bestand naar je bureaublad (dus niet vooraf installeren)

2. Laat je virusscanner het bestand nakijken op kwaadaardige code.

3. Vindt die niks, stuur het bestand op via VirusTotal.
http://www.virustotal.com/nl/

4. Als die niks vindt, ga dan met de Hash naar de website van het SANS om deze Hash te controleren.
http://www.dshield.org/tools/hashsearch.html

5. Als een van beiden iets vindt, dan NIET installeren.

Wat de website dshield betreft: je kunt ook de betreffende bestandsnaam in de database opzoeken, vindt de database niks, dan mag je er van uit gaan dat het GEEN bekend en legitiem bestand is. Het veiligste is dan om dergelijke bestanden NIET te installeren.

In het geval van Arucer.dll wordt er niets in de Whitelist gevonden. Je krijgt dan de melding dat men nog steeds aan het zoeken is. Normaal gesproken wordt elk legitiem bestand direct getoond aan de onderkant van de webpagina van dshield.
Vindt de database niks, dan moet je dus er van uitgaan dat er mogelijk sprake is van een viraal bestand.

Siteadvisor zegt het al.
het kijken eigenlijk naar de website of die voud is ja of nee.
niet naar de aangeboden software.

Maar op zich wel een goed artikel.

Volgens de eigen website van McAffee zou je dus WEL beschermd moeten zijn.
"we even open zipfiles"....
ASL

En misschien moet je niet 3 keer hetzelfde posten...

Eens kijken of de AV-detectie ondertussen is verbeterd. Hmm, iemand anders was me net voor en heeft de betreffende files dinsdag eind van de avond door virustotal gehaald:

http://www.virustotal.com/analisis/76776094c46a6d9c4315489c339a124a121a0776b16bef9a661156864b6eb1d7-1268173067
File UsbCharger_setup_V1_1_1.exe received on 2010.03.09 22:17:47 (UTC)
File size: 3086648 bytes
MD5 : 3f4f10b927677e45a495d0cdd4390aaf
SHA1 : c94423fa25cb515301422188b0b35ff16b9be749
Result: 11/42 (26.19%)

http://www.virustotal.com/analisis/1c7f6f75617dd69a68d60224277a17f0720e7d68e4d321b7ae246f9c7dd2cfcf-1268173739
File Arucer.dll received on 2010.03.09 22:28:59 (UTC)
File size: 28672 bytes
MD5 : 1070be3e60a1868d2cd62fc90d76c861
SHA1 : d102b1d2538d8771be85403272e5a22a4b3f81ad
Result: 25/41 (60.98%)

Grappig overigens dat Arucer.dll door F-Secure gedetecteerd wordt als "Backdoor:W32/Agent.NSA". Die drie-letterige extensie had F-Secure beter over kunnen slaan (en dan ook maar meteen .NSB), want uit http://forum.f-secure.com/topic.asp?TOPIC_ID=6737 maak ik op dat dit gewoon een alfabetische enumerator is, en -waarschijnlijk- niets met de bekende NSA te maken heeft...

Het updaten van de antivirusdatabases van de meeste AV-bedrijven heeft kennelijk 3 volle werkdagen geduurd (nadat Bitwiper deze executable door VirusTotal gehaald hebt). Voorwaar: dit verdient geen echte snelheidsprijs van de AV-fabrikanten.

dat schijnt nog wel eens en meer dan eens te gebeuren, ja
groen: veilig, geel: pas op, rood: wegwezen lijkt heel duidelijk, maar als je kijkt welk mechanisme erachter zit, dan krijg je toch het gevoel van valse veiligheid

What is wrong with SiteAdvisor?: http://www.snapfiles.com/siteadvisor.html

Dank voor de link!

Behalve dat SiteAdvisor bestanden niet goed analyseert ("In our tests, UsbCharger_setup_V1_1_1.exe did not make any changes to the system registry" is gewoon fout), de manier waarop sites worden beoordeeld lijkt ook niet in orde.

Hoewel het me zou verbazen als Snapfiles uitsluitend betrouwbaar spul ter download aan zou bieden (het is, ook voor SnapFiles, onmogelijk om dat vast te stellen) is het vreemd dat SnapFiles een geel uitroepteken krijgt en andere download sites niet.

Enger vind ik dat SiteAdvisor vooral gebruik lijkt te maken van externe reviewers die kennelijk scores kunnen beinvloeden, zie de sectie "SiteAdvisor reviewers" (onderaan http://www.snapfiles.com/siteadvisor.html en de verwijzing naar http://www.siteadvisor.com/analysis/reviewercentral/). Als het ook externe reviewers zijn die bestanden beoordelen, hoe weet ik dan of die reviewers enige kennis van zaken hebben en tevens onafhankelijk zijn?

Toen SiteAdvisor werd ontwikkeld, 'n aantal jaren geleden, ben ik betrokken geweest bij de ontwikkeling. Het was toen 'n uitstekend idee. Het idee was om van elke site alles te downloaden wat er op stond en dan te controleren op wijzigingen in register/startpagina, enz, op virussen, noem maar op. 'Foute' sites kregen 'n rode waarschuwing. Ook als je linkte naar zo'n 'foute' site kreeg je rood.
Bij sites waar dat kon werd geregistreerd en als dan spam werd verzonden, kreeg de site geel. Net zo als 'n site die heel veel pop-ups toonde. (Bij registratie werd voor elke site 'n uniek mail-adres aangemaakt, dus er was te herkennen waar spam vandaan kwam. 't Idee was echt heel goed.)
Die controles vonden geautomatiseerd plaats. Daardoor stonden bijvoorbeeld veel sites met mailinglists ten onrechte op de gele lijst.
SiteAdvisor liep dus per definite (fors) achter. Als 'n site malware had, maar nog niet was gecontroleerd, werd niet gewaarschuwd. Geen probleem: dat werd duidelijk aangegeven. Nu niet meer.

Er was toen 'n actieve groep mensen mee bezig. Als er iets niet klopte en je stuurde 'n mail, kreeg je gewoon antwoord. Zoals bijvoorbeeld bij sites met 'n maillist die ten onrechte geel hadden gekregen. Of als malware was verwijderd van je site. Dan werd de site (eventueel na controle) weer verwijderd van de gele/rode lijst.

Helaas is SiteAdvisor verkocht aan McAfee. Sinds die tijd is het volstrekt waardeloos. Van 'n kleine add-on bij de browser werd het 'n joekel van 'n programma, vol met reclame.
Het ergste is dat McAfee nergens op reageert: niet op mails, niet op reviewers, nergens op. Die externe reviewers hebben geen enkele invloed meer. Voor de verkoop hadden ze dat wel. (Althans: er werd dan bekeken of het klopte wat ze zeiden.)
Omdat SiteAdvisor niet vaak controleert, heb je zo 'n halfjaar rood te pakken als site. Vandaar het gigantische aantal rode sites. En als je linkt naar zo'n site heb je ook rood.
Ik heb zelf 'n site met zo'n 600 links op het gebied van css. Als daar maar ??n site van is gehackt en malware heeft of zo, krijg ik ook rood. Althans; als dat zo is op het moment dat SiteAdvisor toevallig controleert. En dat duurt minstens zo'n halfjaar. En elke site die naar mij linkt krijgt ook rood gedurende die tijd. Als waarschuwing heb je er dus helemaal niets meer aan, want het merendeel van de gele en rode sites staat er volkomen ten onrechte op.

McAfee heeft er, denk ik, belang bij zoveel mogelijk rood en geel te maken. Als je mensen bang maakt, kopen ze eerder je antivirus-software. McAfee wilde wel de reclame van SiteAdvisor, maar investeert niet in mensen om het bij te houden.
Hoewel ik dus zelf bij de ontwikkeling was betrokken en het idee nog steeds heel goed vind, kan ik het zoals McAfee het uitvoert alleen nog maar afraden. Het is 'n waardeloos stuk reclame geworden.

Edit: vergeet nog wat. Toen SiteAdvisor nog zelfstandig was en gewoon via 'n add-on/extensie werkte, werkt het op alle systemen. Sinds McAfee het heeft overgenomen werkt het alleen nog maar op Windows en OS X, niet meer op Linux e.d.

Wat 'n hopeloos systeem is dit. Blijkt hij dus wel m'n aanvulling te hebben opgeslagen.