image

32% computers met virusscanner toch besmet

woensdag 9 december 2009, 14:17 door Redactie, 20 reacties

Virusscanners falen genadeloos in de detectie van malware, 32% van de computers met bijgewerkte anti-virus software is namelijk toch besmet, zo blijkt uit onderzoek onder 100.000 systemen. De computers werden voor de "second opinion" met het programma Hitman Pro 3 gescand. "Het onderzoek toont aan dat antivirusprogramma's de internetcriminelen niet kunnen bijhouden", aldus Mark Loman, bedenker van Hitman en CEO van Surfright. "Ondanks al hun inspanningen hebben leveranciers van antivirusprogramma's pas dagen later, soms weken, een oplossing tegen een nieuwe malware variant."

Van de ruim 107.000 computergebruikers die Hitman Pro 3 in de periode van 10 oktober tot 4 december van dit jaar voor de eerste keer gebruikten, waren er bijna 79.000 gebruikers met een up-to-date antivirusprogramma. Daarvan was 32% toch besmet met malware. Van de ruim 28.000 gebruikers zonder up-to-date virusscanner, was 46% geïnfecteerd geraakt.

Windows
Niet alleen het aantal, ook het soort besmette systemen bracht Surfright in kaart. Opmerkelijk genoeg zijn er meer Windows 7 machines met malware besmet dan Vista systemen met Service Pack 2. Ook het aantal Vista systemen met SP1 ligt lager dan het percentage Windows 7 besmettingen, dat 33% is. Van alle Windows XP RTM installaties is 52% met malware geïnfecteerd, terwijl het percentage infecties bij Service Pack 3 systemen 34% bedraagt. Daarmee komt de "naakte" versie van XP het slechtst uit de bus. Het oudere Windows 2000 SP4 heeft met 32% met veel minder infecties te maken.

"De percentages laten zien dat het installeren van het laatste Service Pack een security voordeel heeft." Welke malware het meest voorkomt is lastig te zeggen, aangezien de nummer één "generieke malware" is, een verzameling van allerlei soorten malware is. Op de tweede plaats staan nep-virusscanners.

Test
De test van Surfright heeft niet in een laboratorium plaatsgevonden, maar op een "live" populatie met computers die echt geïnfecteerd zijn. Dat geeft volgens de onderzoekers een realistische weergave van de werking van een virusscanner, omdat de malware informatie van de besmette machines afkomstig is. "Dit betekent dat de statistieken conform de richtlijnen van AMTSO zijn." De Anti-Malware Testing Standards Organization (AMTSO) is bezig met het opstellen van regels waar tests van virusscanners aan moeten voldoen. In het orgaan zijn zowel anti-virusbedrijven, alsmede testers en academici betrokken. Dit moet tot betere tests leiden. In dit geval heeft Surfright de eigen test aan AMTSO voorgelegd, maar die heeft nog niet geoordeeld of die ook aan de gestelde richtlijnen voldoet.

Daarnaast merkt de virusbestrijder op dat als Hitman Pro 3 informatie over de virusscanner op een besmet systeem verzamelt, dit niet betekent dat de geinstalleerde virusscanner niet van de malware op de hoogte is. "Het kan ook betekenen dat dit anti-virus programma technisch niet in staat was om het geïnfecteerde bestand te lezen, verwijderen of ontsmetten vanwege effectieve rootkit of hooking technieken."

Second opinion
Welke virusscanners het vaakst falen wil Surfright niet zeggen, maar het merkt op dat het vaker gratis virusscanners tegenkomt dan producten van commerciële aanbieders. Toch was zelfs bij de "beste" bekende anti-virusaanbieder nog steeds 15% besmet, terwijl bij de slechtst presterende virusscanner 39% van de gebruikers malware op het systeem heeft staan. 8% van alle computers gebruikt de software van deze aanbieder. Het onderzoek is dan ook vooral bedoeld om consumenten te laten zien dat een virusscanner geen 100% bescherming biedt. "Het is niet voldoende om aan te nemen dat je beschermd bent als je een antivirusprogramma op je PC hebt geïnstalleerd. Scan de PC regelmatig met een product van een andere leverancier voor een second opinion", zo luidt de conclusie.

Daarnaast adviseert men om het abonnement van het antivirusprogramma niet automatisch te verlengen als het afloopt. "In de meeste gevallen is het beter om te upgraden naar de nieuwste versie, omdat de nieuwste versies in het algemeen beter in staat zijn de nieuwste bedreigingen te weerstaan." Als laatste worden consumenten gewaarschuwd dat leveranciers van antivirusprogramma's niet altijd in staat zijn om geavanceerde dreigingen volledig te verwijderen.

Reacties (20)
09-12-2009, 15:52 door Syzygy

Daarnaast adviseert men om het abonnement van het antivirusprogramma niet automatisch te verlengen als het afloopt. "In de meeste gevallen is het beter om te upgraden naar de nieuwste versie, omdat de nieuwste versies in het algemeen beter in staat zijn de nieuwste bedreigingen te weerstaan." Als laatste worden consumenten gewaarschuwd dat leveranciers van antivirusprogramma's niet altijd in staat zijn om geavanceerde dreigingen volledig te verwijderen.

Ho ho wordt u gesponsord ??

Als ik bij welke Anti Virus "Boer" met versie 2006 de datfiles ophaal dan zijn die het zelfde als de datfiles van versie 2007, 2008 en 2009.
Als een van die versies de Malware niet kan verwijderen zal dit gemeld worden en kun je handmatig actie ondernemen.
Dat de "engines" wellicht sneller zijn of langzamer en dat er extra features in een nieuwe versie zitten heeft niets te maken met het detecteren of het verwijderen van de Malware.
Je koopt zo'n product niet voor 1 jaar, je mag er successievelijk van uitgaan dat je het volgend jaar nog net zo goed gedekt bent (mits je je abonnement verlengt) voor aanvallen als het jaar ervoor anders zou een leverancier moeten melden DIT PRODUCT FUNCTIONEERT EEN JAAR NAAR BEHOREN DAARNA IS HET VINGERS KRUIZEN.

Het is raadzaam om eens in de paar jaar een upgrade te doen maar elk jaar is m.i. niet nodig (al zouden de leveranciers dat natuurlijk wel graag willen want een update naar een nieuwere versie is vaak duurder dan een verlenging van een contract)
09-12-2009, 16:45 door Anoniem
Wat voor "malware" gaat het hier over?

Cookies?
09-12-2009, 16:59 door TheM
Windows
Niet alleen het aantal, ook het soort besmette systemen bracht Surfright in kaart. Opmerkelijk genoeg zijn er meer Windows 7 machines met malware besmet dan Vista systemen met Service Pack 2. Ook het aantal Vista systemen met SP1 ligt lager dan het percentage Windows 7 besmettingen, dat 33% is. Van alle Windows XP RTM installaties is 52% met malware geïnfecteerd, terwijl het percentage infecties bij Service Pack 3 systemen 34% bedraagt. Daarmee komt de "naakte" versie van XP het slechtst uit de bus. Het oudere Windows 2000 SP4 heeft met 32% met veel minder infecties te maken.

"De percentages laten zien dat het installeren van het laatste Service Pack een security voordeel heeft." Welke malware het meest voorkomt is lastig te zeggen, aangezien de nummer één "generieke malware" is, een verzameling van allerlei soorten malware is. Op de tweede plaats staan nep-virusscanners.

Persoonlijk vindt ik overigens de percentages niet helemaal representatief. Die cijfers zijn namelijk, zoals in de alinea daarvoor aangegeven, op basis van de pc's die gescand zijn met Hitman Pro.
Ik weet niet hoe dat tegenwoordig is, maar eerder gebruikte ik Hitman Pro (t/m versie 2) alleen als ik het systeem op voorhand al niet vertrouwde. In dat geval is namelijk het aantal pc's dat geïnfecteerd is, al hoger dan normaal.
09-12-2009, 17:01 door Anoniem
Je koopt zo'n product niet voor 1 jaar, je mag er successievelijk van uitgaan dat je het volgend jaar nog net zo goed gedekt bent
Stel een 2010 product heeft een andere manier om bestanden van de schijf te lezen (om bijvoorbeeld rootkits te omzeilen), dan kan het volgens mij zo zijn dat deze manier van lezen meer gevaren vindt dan het 2008 product, terwijl de definities hetzelfde zijn.
09-12-2009, 17:04 door Anoniem
Door Anoniem: Wat voor "malware" gaat het hier over?

Cookies?
Het gaat volgens het document op pagina 11 over malware die door tenminste 2 partners in de scanwolk van Hitman Pro zijn aangemerkt als gevaar. Die partners zijn G Data, Eset, Avira, Prevx en a-squared.
09-12-2009, 17:05 door Anoniem
Door Syzygy:

Als ik bij welke Anti Virus "Boer" met versie 2006 de datfiles ophaal dan zijn die het zelfde als de datfiles van versie 2007, 2008 en 2009.
Als een van die versies de Malware niet kan verwijderen zal dit gemeld worden en kun je handmatig actie ondernemen.
Dat de "engines" wellicht sneller zijn of langzamer en dat er extra features in een nieuwe versie zitten heeft niets te maken met het detecteren of het verwijderen van de Malware.
Je koopt zo'n product niet voor 1 jaar, je mag er successievelijk van uitgaan dat je het volgend jaar nog net zo goed gedekt bent (mits je je abonnement verlengt) voor aanvallen als het jaar ervoor anders zou een leverancier moeten melden DIT PRODUCT FUNCTIONEERT EEN JAAR NAAR BEHOREN DAARNA IS HET VINGERS KRUIZEN.

Dit is niet geheel juist. De nieuwste versie hebben soms speciale code om specifieke dreigingen te vinden. Zo ook, heustirieke code die steeds beter moet worden etc etc. Dat de signatuur files vaak langer bruikbaar zijn is goed voor diegene die alleen op signaturen scannen en verder nergens naar kijken.

Frans.
09-12-2009, 17:21 door Anoniem
Door Anoniem: Wat voor "malware" gaat het hier over?

Cookies?

Wel even lezen.

In het artikel staat de top-10, en daar zitten geen cookies bij.
09-12-2009, 18:17 door Syzygy
@Anoniem

Stel een 2010 product heeft een andere manier om bestanden van de schijf te lezen (om bijvoorbeeld rootkits te omzeilen), dan kan het volgens mij zo zijn dat deze manier van lezen meer gevaren vindt dan het 2008 product, terwijl de definities hetzelfde zijn.

Dan moeten ze eerst als Malware via een bepaalde manier op je schijf komen en dat wordt weer gedekt door je virusscanner aan de hand van de DAT files.

@ andere Anomien

Dit is niet geheel juist. De nieuwste versie hebben soms speciale code om specifieke dreigingen te vinden. Zo ook, heustirieke code die steeds beter moet worden etc etc. Dat de signatuur files vaak langer bruikbaar zijn is goed voor diegene die alleen op signaturen scannen en verder nergens naar kijken.

Dan is de kracht van de nieuwe scanner (dus de Engine) snelheid maar de DAT files zijn natuurlijk nog steeds nodig en hetzelfde.

Maar even voor de weet:
Dus jullie kopen elk jaar de nieuwste versie van een scanner ??
Het gaat er mij om of deze man waarschijnlijk gesponsord wordt met zijn uitspraak.
09-12-2009, 18:48 door Spiff has left the building
Door Syzygy: Dus jullie kopen elk jaar de nieuwste versie van een scanner ??
Nee hoor, ik download en installeer elk najaar de nieuwste versie, gratis, zolang mijn licentie geldig is.
En wanneer de licentie afloopt dan verleng ik die voor een heel net prijsje.
09-12-2009, 19:41 door Anoniem
Door Anoniem:
Door Anoniem: Wat voor "malware" gaat het hier over?

Cookies?
Het gaat volgens het document op pagina 11 over malware die door tenminste 2 partners in de scanwolk van Hitman Pro zijn aangemerkt als gevaar. Die partners zijn G Data, Eset, Avira, Prevx en a-squared.
Ik sprak iemand van Hitman Pro onlangs op een beurs en die gaf aan dat G-Data de sterkhouder is in dat rijtje.
09-12-2009, 20:00 door Anoniem
Door Anoniem:
Door Anoniem: Wat voor "malware" gaat het hier over?

Cookies?

Wel even lezen.

In het artikel staat de top-10, en daar zitten geen cookies bij.


Er staat alleen "generic", dat zegt niets over de aard. En dat is ook meteen de zwakte van het verhaal. Het is gebaseerd op "iets" dat gedetecteerd is, maar waar tegelijkertijd niet van vast staat wat het is. Het kunnen ook false positives zijn. Voor AV tests geldt dat je malware als zodanig controleerbaar moet classificeren voordat je het kan gebruiken.

Een ander methode-probleem is dat een beperkt aantal engines worden gebruikt om aan te tonen dat virus scanners niet werken, dat geeft natuurlijk een scheef beeld van de performance van AV in het algemeen.

Uit de PDF:
"The number one infection is a generic classification of a malicious file. This means AV vendors are trailing
behind cybercriminals. "

Is dat wel zo? Het is niet noodzakelijk om generieke detectie exact (lees: te voorzien van een malwarenaam) te maken.
09-12-2009, 20:11 door [Account Verwijderd]
[Verwijderd]
09-12-2009, 21:11 door Anoniem
Ik heb mijn computer gescand met hitmanpro en het valt mij vies tegen, zeven valse positieven.
10-12-2009, 02:26 door Rubbertje
Door Syzygy: @Anoniem

Stel een 2010 product heeft een andere manier om bestanden van de schijf te lezen (om bijvoorbeeld rootkits te omzeilen), dan kan het volgens mij zo zijn dat deze manier van lezen meer gevaren vindt dan het 2008 product, terwijl de definities hetzelfde zijn.

Dan moeten ze eerst als Malware via een bepaalde manier op je schijf komen en dat wordt weer gedekt door je virusscanner aan de hand van de DAT files.

@ andere Anomien

Dit is niet geheel juist. De nieuwste versie hebben soms speciale code om specifieke dreigingen te vinden. Zo ook, heustirieke code die steeds beter moet worden etc etc. Dat de signatuur files vaak langer bruikbaar zijn is goed voor diegene die alleen op signaturen scannen en verder nergens naar kijken.

Dan is de kracht van de nieuwe scanner (dus de Engine) snelheid maar de DAT files zijn natuurlijk nog steeds nodig en hetzelfde.

Maar even voor de weet:
Dus jullie kopen elk jaar de nieuwste versie van een scanner ??
Het gaat er mij om of deze man waarschijnlijk gesponsord wordt met zijn uitspraak.

Ik mag aannemen dat mijn huidige zogenaamde 2009 versie in 2010 automatisch geupdate wordt naar de zogenaamde 2010 versie, aangezien er niet al alleen datfiles (definities) worden geupdate maar toch ook automatisch de zogenaamde 'engine' updates.
10-12-2009, 09:07 door Anoniem
Door Anoniem:
Door Anoniem: Wat voor "malware" gaat het hier over?

Cookies?

Wel even lezen.

In het artikel staat de top-10, en daar zitten geen cookies bij.


Op nummer 1 staat het altijd lastige "Generic": The Generic group contains all kinds of different malware and is not one particular infection.
Dat zijn dus cookies, neem ik aan.
Welke idioot maakt zijn Generic categorie nu zo groot dat ie op 1 komt te staan? Uitsplitsen die handel!

Op nummer 2 staat FakeAV
FakeAV is a group that consists of all kinds of rogue antivirus/antispyware software.".
Alweer een verzameling. Waren alle geteste computers niet voorzien van antivirus? Oh, ze bedoelden Fake-antivirus? En nu is aangetoond dat die niet goed werkt?

Er waren 107435 computers. 78828 hadden een up-to-dat AV, waarvan 13050 fake. Blijft over 65778 computers met een up-to-date echte AV. Er waren 69537 clean PC's. Dus er zijn zelfs PC's die clean zijn zonder AV!

Wat toont dit onderzoek precies aan?


Lekker onderzoek is dit en fijne conclusies.
10-12-2009, 11:02 door spatieman
het betekend slecht een ding.
Dat virus en mallware schrijvers beter softwareshrijvers zijn dat de anti virus/mallware jongens kunnen..
10-12-2009, 14:37 door Anoniem
Door spatieman: het betekend slecht een ding.
Dat virus en mallware schrijvers beter softwareshrijvers zijn dat de anti virus/mallware jongens kunnen..
Shrijven is ook moeilijk, zeker als het gaat om winkelcentrumspullen.
Het klakkeloos overnemen van wc-eend-conclusies is daarentegen wel makkelijk.
10-12-2009, 14:39 door Anoniem
Er is nogal een groot verschil tussen percentages en aantallen..
33% van de 100 Windows 7 computers of 8% van de 1000 met Vista geinstalleerde computers...
Het is leuk dat ze 107000 PC's testen maar ze geven niet de verhoudingen aan van de gebruiktte OSen..

Niet echt een onderzoek om je iets van aan te trekken, leuke pagina vulling maar verder onbelangrijk..
10-12-2009, 17:27 door Anoniem
Is in het onderzoek uitgesloten dat detecteerde viri/malware niet restanten betreft van malware die door de reeds geinstalleerde AV wel zijn 'gekilled' maar niet helemaal verwijderd?

Dit soort restanten van malware kunnen verder geen schade aan richten maar worden door andere scanners wel herkend en dus ook als 'actieve malware' gezien.
Dit soort bestanden/restanten zitten dus tussen 'true' en 'false positive' in...

Oh, het zou fijn zijn als SurfRight wel even duidelijk zou maken waarom sommige AV's de VB100 test soms niet 'doorstaan' en wat de werkelijke waarde van zo'n 'fail' nou eigenlijk is.
Simpelweg een VB100-quotje neerpleuren in een testrapport (pag. 3) gaat richting FUD. Niet meer doen dus

Mokummer.
18-12-2009, 13:17 door Anoniem
Zie ook dit AV-Test rapport waaruit blijkt dat minstens10% van de dagelijkse nieuwe malware langs de beste antivirus suites komt:
http://www.security.nl/artikel/31832/1/12_virusscanners_getest,_Symantec_de_beste.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.