"Staniford gebruikte VirusTotal voor het analyseren van de malware. Deze manier van analyseren krijgt veel kritiek, omdat de manier van scannen niet alle beveiligingsmaatregelen en features van een virusscanner gebruikt."

Precies.

Onderzoek van niks.

Ik heb nog nooit een virusscanner gezien die bij het on access scannen alle features van die virusscanner gebruikte. En da's logisch, want dat zou veel false positives en een veel te traag systeem opleveren, en in vergelijkende tests zou zo'n scanner daarom onderaan de lijst eindigen.

Het [url=http://www.virustotal.com/sobre.html]lijkt er op[/url] dat VirusTotal de aangeleverde bestanden "on demand" scanned: Er wordt niet vermeld of daarbij qua instellingen van factory-defaults wordt afgeweken, maar bij de meeste virusscanners zijn "on demand" scans effectiever dan "on access" scans (er wordt bijv. vaak "dieper" in gecomprimeerde bestanden gekeken).

De vraag is niet of een virusscanner malware onder de voor die scanner ideale omstandigheden betrouwbaar kan herkennen, maar of de malware met de default instellingen on-the-fly herkend wordt. Indien VirusTotal daadwerkelijk "on demand" instellingen gebruikt zou het me niet verbazen als er een te rooskleurig beeld wordt geschetst.

Bovendien kunnen malwaremakers hun creaties op alle gangbare virusscanners testen, en ze kunnen de malware desgewenst pas "loslaten" zodra de detectie 0% is. Die 60% hierboven zegt dus niets: het hangt er vanaf hoe effectief de malwaremakers te werk willen gaan, hoe oud de malware is en (zie ook de reactie van Iceyoung) hoe snel AV deze malware na het verschijnen ervan kan herkennen.

In het algemeen ligt de detectiekans van malware door AV dus tussen 0% (inclusief) en bijna 100%.

En voor het echt gevaarljke spul - waar de pro's achter zitten - duurt een spam run ongeveer 10 tot 15 minuten.

In de cybercrime industrie kan je voor 250 $ een Trojan kopen met een SLA dat die niet gedetecteerd wordt door een commercieel of gratis verkrijgbare anti-virus scanner. Ze testen eenvoudigweg alles wat ze uitsturen eerst zelf.

Sommige pro's kunnen ieder 45 seconden een nieuwe variant van een trojan beschikbaar maken - die niet gedetecteerd kan worden.

Iets wat je niet 100% vertrouwd dus niet openen, zelfs niet als het van je opa's e-mail adres komt.

Gegroet, en een fijn WE

Richard

Is het probleem niet met anti-virus scanners het uitgangspunt dat elk vreemd uitvoerbaar bestand uitgevoerd zou moeten kunnen worden? Standaard vreemde uitvoerbare bestanden blokkeren is toch veel effectiever en minder belastend voor een systeem?

Op [url=http://www.surfright.nl/nl]www.surfright.nl[/url] worden deze statistieken elke dag over de afgelopen 7 dagen berekend en weergegeven. Op ruim 60% van de PC's beveiligd met een beveiligingsproduct vindt Hitman Pro 3 (identificatie door o.a. Avira, Emsi, Eset en Prevx) een virus. Dit komt overeen met het percentage wat FireEye heeft ondervonden.

De statistieken kunnen een nogal vertekend beeld geven:
- Veel menesen gaan pas naar een scan-site als ze vermoeden dat er iets mis is.
- Veel zaken zoals tracking-cookies worden door serieuze virusscanners (terecht) niet als virus gezien.
- Mensen die programma's vanaf internet (zoals Hitman-Pro) zomaar toestemming geven om te draaien lopen een groter risico dan degenen die dat niet doen.

Zoals ik het begrijp verwijdert Hitman Pro 3 juist die 60% die de virusscanners hebben doorgelaten! Noem een ander pakket die 5 scanners combineert om bestanden te identificeren, zonder deze scanners te installeren? Doordat ze niet geinstalleerd worden conflicteert Hitman Pro 3 ook niet met je geinstalleerde virusscanner. Het is m.i. een prima aanvulling op je virusscanner!
Ik was geen voorstander van Hitman Pro 2 maar versie 3 is een hele verbetering.

Kijk, daar hebben we dief en diefjesmaat weer. Ga eerst eens eerlijk worden en dan pas commentaar leveren.

Wat is:

- vreemd: wil je soms [url=http://antivirus.about.com/b/2007/09/25/antivirus-whitelisting-the-bad-and-good.htm]whitelisten[/url]?

- bestand: is een netwerkpakketje met een exploit ook een bestand? Of een stukje Javascript in een webpage?

- uitvoerbaar: javascript, PDF, Word, Excel, Powerpoint, Access? En, vaak door exploits in verwerkende applicaties: gecomprimeerde bestanden, plaatjes, filmpjes etc.?

Ik vrees dat een op die manier beveiligde PC onwerkbaar wordt.

onderbouw je laster en smaad eens een keer, als je zo tegen mij bezig was had ik je allang aangeklaagd!
en kom niet met iets van een paar jaar terug wat van toepassing is op hitmanpro2 en eerder, maar iets wat van toepassing is op hitmanpro3...

Uitgangspunt is een schone installatie van een systeem vanaf betrouwbare bronnen en het feit dat met uitzondering van updates er normaal gesproken over het algemeen niets meer verandert aan dat systeem in de zin dat er geen uitvoerbare bestanden aan worden toegevoegd. Men installeert zelden nieuwe programma's. Dat betekent dat je eenvoudig en eenmalig lokaal aanwezige (lees: bekende) programma's kunt inventariseren inclusief bijbehorende checksum en dus ook welke uitgevoerd mogen worden. Uitvoerbare bestanden die het systeem nadien al of niet heimelijk bereiken, vreemde uitvoerbare bestanden dus, bijvoorbeeld via andere applicaties, internet of externe media, worden gewoon niet uitgevoerd. Evenals programma's waarvan de checksum niet meer juist is. Natuurlijk blijft het rechtensysteem eveneens van belang en zou men strikt op de naleving van specificaties kunnen controleren van bijvoorbeeld plaatjes, filmpjes en dergelijken alvorens deze te tonen. Maatregelen die een systeem aanzienlijk minder kwetsbaar maken maar prettig werkbaar houden.