Nieuws
image

Botnet vuurwerk eindigt in ruzie over virusscanners

maandag 6 juli 2009, 12:51 door Redactie, 3 reacties

Dit weekend vierde Amerika Onafhankelijkheidsdag, een dag die traditioneel ook door virusschrijvers wordt aangegrepen voor het verspreiden van malware. Net als met andere incidenten en evenementen was het Waledac botnet voor de meeste "Fireworks spam" verantwoordelijk zijn. In e-mails met als onderwerp 4 juli, werd gelinkt naar een nep-versie van YouTube. Hier zou een filmpje met allerlei vuurwerk te zien zijn, maar eerst moet men het bestand install.exe installeren, dat een nep-virusscanner bevat.

Gary Warner van UAB controleerde het bestand via Virustotal.com, een verzameling van 41 anti-virus engines. Daaruit blijkt dat slechts 4 van de 41 anti-virus engines de malware herkennen. "Helaas is dit een demonstratie van hoe virusscanners werken. Anti-virus software gaat pas een virus detecteren als genoeg mensen erover klagen, dat het als anti-virus signature wordt toegevoegd." Volgens Waner was in dit geval het virus nog niet voldoende gespamd, waardoor nog niemand klaagde. Verder verwacht de analist dat veel anti-virus analisten het weekend niet op de zaak zijn om een signature te ontwikkelen.

Kritiek
De kritiek is David Harley van virusbestrijder ESET het verkeerde keelgat ingeschoten. "Zoals ik al vaker heb aangegeven, is VirusTotal niet ontworpen om te zien hoe goed een bepaalde scanner malware detecteert." Het feit dat zoveel virusscanners de Waledac malware missen, wil nog niet zeggen dat ze die niet detecteren. VirusTotal gebruikt namelijk alleen de command-line optie, die niet alle eigenschappen en mogelijkheden van de virusscanner in kwestie benut. Ook zou de door VirusTotal gebruikte configuratie ervoor kunnen zorgen dat de scanner een exemplaar niet herkent. Het laatste punt van kritiek op het gebruik van VirusTotal als graadmeter, is dat een VT rapport een "snapshot" is. Een scan kan vijf minuten later alweer heel anders uitpakken, aldus Harley.

Het is echter de uitspraak van Warner over hoe virusscanners werken die Harley het meest steekt. "Anti-virusbedrijven wachten niet meer totdat mensen malware opsturen, maar gebruiken heuristische analyse en geautomatiseerde processen om malware te vinden, analyseren en detecteren." Verder was de spamrun van Waledac al de dag voor de blogposting van Warner bekend. Daarnaast zouden veel mensen in de AV-industrie ook buiten de kantoortijden actief zijn met het ontwikkelen van signatures.

Reacties (3)
06-07-2009, 15:04 door Anoniem
Wat moet je nou doen als je de computer met meerdere gebruikers deeld!

Je kan toch download uitschakkelen, en zelfs Microsoft kan hier geen zinnig antwoord op geven!
Maar ik kan hier wel antwoord op geven hoe je download uitschakelen in Internet Explorer 8

<Open het start menu, configuraltiescherm ,internetoptiens, tabblad {privacy}, instellingen,

* Hoog: alle pop-ups blokkeren
haal de mankeering weg bij volgende Melding en blokkeringsniveau.
[ ] Een geluid afspelen als een pop-up wordt geblockkeerd
[ ] informatiebalk weergeven als een pop-up wordt geblokkeerd.

Maar zo makelijk van download ben je niet af, want die firefox kan download niet uitschakelen.
06-07-2009, 15:12 door [Account Verwijderd]
[Verwijderd]
07-07-2009, 12:42 door Anoniem
Door H2os:
En waarom zou de command-line minder werken? Dus als ik een script schrijf om 1000+ pc's te scannen mag ik er vanuit gaan dat ie minder goed scant? belachelijk!

Er is verschil tussen on demand scan (bijvoorbeeld vanaf de command line) en een on access scan (in real time). Bij sommige scanners is er een verschil in engine versie en mogelijkheden tussen de normale GUI scanner en de soms wat oudere command line scanner.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search