Nieuws
image

VirusTotal ongeschikt voor testen virusscanners

dinsdag 2 december 2008, 11:17 door Redactie, 7 reacties

Het onderzoek naar de effectiviteit van virusscanners bij de bestrijding van bots is niet bij alle anti-virusbedrijven even goed gevallen. Volgens de onderzoekers laat anti-virus software gemiddeld 60% van de bots door, waarbij men zich baseerde op de resultaten van VirusTotal. De website gebruikt de engines van 37 verschillende virusscanners. Daarbij kijkt VirusTotal met name naar de aanwezigheid van signatures, aangezien heuristieke detectie vaak niet in de de on-demand scanner zit.

De anti-virus software kan in die gevallen toch de malware stoppen, ook al is er geen signature voor aanwezig. Wie echter op VirusTotal kijkt, krijgt te zien dat de betreffende virusscanner de malware niet detecteert. "Dit geldt ook voor andere beveiligingssoftware. Ze beschikken vaak over nieuwe technieken, gedragsblockers, heuristieke gedragsanalyse, dynamische heuristieke engines en ga maar door, die het gat tussen het verschijnen van de malware en een signature moeten vullen", zegt Marco Giuliani van Prevx.

"Als je op de resultaten van VirusTotal vertrouwt, kun je de echte effectiviteit van de geteste virusscanner missen." Hij vindt dan ook dat de website niet voor het vergelijken van anti-virus software gebruikt mag worden.

Reacties (7)
02-12-2008, 12:38 door Anoniem
Julio Canto van VirusTotal heeft mij destijds in een interview uitgelegd hoe VirusTotal te werk gaat. Details op mijn blog:
http://blog.didierstevens.com/2008/04/21/only-x-out-of-32-antivirus-products-detect-this/

Naast het gebruik van VT, ontbreekt er nog iets aan de FireEye studie. Alleen positieve resultaten werden getest. Uitsluitend executables die (volgens de appliance) malware waren, werden naar VT gestuurd. Bestanden die negatief waren (dus ook vals negatieven) werden niet naar VT gestuurd. Met zo'n test opzet zal je dus nooit AV software vinden die sneller reageert dan FireEye.

Didier Stevens
02-12-2008, 14:52 door Bitwiper
Off Topic: Hee Didier, leuk dat je security.nl aandoet (ik wist niet dat je NL sprak/schreef). Toevallig ben ik de laatste dagen weer op zoek geweest naar USB-stick/autorun gerelateerde info (aangeslingerd door [url=http://www.security.nl/artikel/25139/1/USB-virus_infecteert_75%25_militaire_PC%27s_in_Afghanistan.html]deze page[/url], zie onderaan) en kwam daarbij ook jouw, door velen als zeer waardevol beschouwde tool, [url=http://blog.didierstevens.com/programs/usbvirusscan/]USBVirusSCan[/url] tegen, met onderaan die page een discussie met interessante posts. Namens de community bedankt voor jouw tools en info!
02-12-2008, 17:01 door [Account Verwijderd]
[Verwijderd]
02-12-2008, 17:25 door nicolaasjan
Door Peter VKan de eerste poster een gewone werkende link maken in zijn thread? Zou wat handiger zijn. Nu moet je selecteren, kopiëren en daarna weer plakken in de adresbalk van de browser.
Ietsje sneller is:
selecteren en in de adresbalk slepen (in Firefox).

M.v.g., Nico. :)
02-12-2008, 17:25 door Anoniem
Door Peter VKan de eerste poster een gewone werkende link maken in zijn thread? Zou wat handiger zijn. Nu moet je selecteren, kopiëren en daarna weer plakken in de adresbalk van de browser.
Poe poe wat een werk, kijk je uit dat je niets breeks of bezeerd!
02-12-2008, 18:39 door Jachra
Werkende link: http://blog.didierstevens.com/2008/04/21/only-x-out-of-32-antivirus-products-detect-this/
02-12-2008, 18:51 door Didier Stevens
Door BitwiperOff Topic: Hee Didier, leuk dat je security.nl aandoet (ik wist niet dat je NL sprak/schreef). !
Bedankt Bitwiper! Ja, ik maak deel uit van een minderheid: De Vlaamse Brusselaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search