De Russische virusbestrijder Kaspersky Lab heeft door het bewust detecteren van schone bestanden als malware, voor een rel binnen de anti-virusindustrie gezorgd. Kaspersky creëerde schone bestanden, maakte er een signature voor die het als malware beschouwde en stuurde vervolgens de bestanden naar VirusTotal. Deze online scandienst gebruikt zo'n 40 virusscanners om geuploade bestanden op malware te controleren. De "detectie" van de legitieme bestanden door Kaspersky werd uiteindelijk door andere anti-virusbedrijven overgenomen. Het Russische anti-virusbedrijf wilde hiermee aantonen dat concurrenten elkaars detectie kopiëren, om zo beter bij de media en consumenten voor de dag te komen. Die gebruiken VirusTotal vaak als graadmeter. Uiteindelijk namen 14 andere virusbestrijders de foute detectie van Kaspersky over.

Grap
"Een risicovolle beslissing. Tussen onderzoekers en de industrie is er een bepaalde vertrouwen en neemt men deel aan het uitwisselen van malware om klanten te beschermen, wat voor Trend Micro altijd als eerste komt", zo laat het bedrijf weten. Daarbij kiest het er bewust voor om Kaspersky niet te noemen. "Dit verhaal toont hoe invloedrijk de media op de antivirus-industrie is, dat zelfs een gerespecteerde leverancier de detectie manipuleert, zodat het beter bij de pers naar voren komt, dan dat het zich op de eigen klanten richt." Ondanks de "grap" is Trend Micro wel blij met de diepere boodschap van Kaspersky, namelijk dat er betere testmethoden moeten komen.

Verdacht
Anti-virusbedrijf ESET noemt de actie van Kaspersky enigszins verdacht. Wederom wordt er niet op persoonlijke titel geblogd, maar uit naam van ESET. Uiteindelijk komt het erop neer dat bedrijven elkaars detectie overnemen, zonder dit te verifiëren. Toch is de Amerikaanse virusbestrijder niet echt gecharmeerd door het optreden van Kaspersky, dat alleen maar een drogreden aanvoert. "Magnus van Kaspersky suggereert dat statische tests het probleem zijn en dat het overstappen op dynamische tests dit oplost. Dat is in dit geval niet het probleem of de oplossing. Het probleem is non-validatie en de oplossing is validatie."

Verzieken
Als laatste doet ook Gunter Ollman van beveiligingsbedrijf Damballa een duit in het zakje. Hij merkt op dat de online scandiensten nooit als graadmeter waren bedoeld, maar dat nu wel zijn geworden. Het grootste probleem is dat kwaadwillenden deze online scandiensten kunnen misbruiken, bijvoorbeeld voor het bewust veroorzaken van false positives bij legitieme bestanden.

Hij beschrijft verschillende scenario's voor het verzieken van de online scanners. Bijvoorbeeld door het uploaden van legitieme DLL bestanden van een virusscanner, of die met een bekende packer in te pakken, waardoor de kans op vals alarm toeneemt. Een andere mogelijkheid is het koppelen van essentiële DLL of EXE bestanden met bekende malware exemplaren of ze aan bekende malware droppers toe te voegen. "Sommigen vinden misschien dat ik de kwetsbaarheden in dit ecosysteem blootleg en zo de anti-virusindustrie en hun klanten blootstel aan meer risico's. Maar wees eerlijk, dit gebeurt al en het is geen hogere wiskunde."