image

Virusscanner scant computer in 60 seconden

dinsdag 4 december 2012, 14:42 door Redactie, 40 reacties

Voor wie snel wil weten of zijn computer geen malware bevat heeft het Roemeense anti-virusbedrijf BitDefender een gratis scanner gelanceerd die de computer binnen 60 seconden scant. De Bitdefender 60-Second Virus Scanner controleert binnen de minuut 390 lopende processen. Aan de hand van deze controle wordt vervolgens bepaald of het systeem geïnfecteerd is.

De gratis scanner zou vooral als second opinion moeten dienen en zou probleemloos met al geinstalleerde anti-virusprogramma's moeten werken. Het 156KB grote programma is via Bitdefender.com te downloaden.

De virusscanners van Norman en het Chinese Jiangmin denken dat het bestand van BitDefender downloader-malware bevat. Aangezien de overige 43 virusscanners op VirusTotal het bestand als schoon beschouwen lijkt het om een false positive te gaan.

Reacties (40)
04-12-2012, 14:58 door Anoniem
Hangt dat er ook niet een beetje vanaf hoe zwaar je pc is?
04-12-2012, 15:16 door [Account Verwijderd]
[Verwijderd]
04-12-2012, 15:29 door Above
Troep. Omdat er reclame in zit verwerkt. Na de scan zie je reclame van Windows Tune Up service, get it now. Gedwongen reclame is voor mij malware.
04-12-2012, 15:36 door [Account Verwijderd]
[Verwijderd]
04-12-2012, 15:43 door Anoniem
Door Miriam4711: Door dit bericht besluit ik om het niet te gebruiken, het lijkt hoe weet men dat zeker.
Snelle is Hitman Pro krijgen we nu nieuwe vorm van AV battles niets is vreemd meer tegenwoordig.
Huh? Ik snap niet zo goed wat je bedoelt... Zou je het even in normaal Nederlands kunnen vertalen alstublieft?
04-12-2012, 15:44 door Anoniem
Geweldig, hij scant in 60 seconden. Hij was daarna alleen een kwartier bezig met "Getting results from server"
04-12-2012, 15:49 door N4ppy
Ben nu al ruim 5 minuten verder en er gebeurt verder geen ..... meer
Wheee wheeee gaat het klokje scanning your systems.

Gimick deleted....
04-12-2012, 16:00 door Fabian76
Het programma is geen 155KB. De installer is zo groot maar die download een 11MB groot bestand. Was ook te mooi om waar te zijn :)
04-12-2012, 16:56 door Rubbertje
Wat is de toegevoegde waarde van dit product als je al geruime tijd de Bitdefender Quickscan plug-in gebruikt in Firefox?
http://quickscan.bitdefender.com/nl/?autostart=1
04-12-2012, 17:06 door prikpost
Door N4ppy: Ben nu al ruim 5 minuten verder en er gebeurt verder geen ..... meer
Wheee wheeee gaat het klokje scanning your systems.

Gimick deleted....
Je moet ook rekenen in Microsoftseconden/minuten ... ;-))
Als iets te mooi klinkt om waar te zijn, is het dat meestal ook.
04-12-2012, 17:12 door Rubbertje
Door prikpost:
Door N4ppy: Ben nu al ruim 5 minuten verder en er gebeurt verder geen ..... meer
Wheee wheeee gaat het klokje scanning your systems.

Gimick deleted....
Je moet ook rekenen in Microsoftseconden/minuten ... ;-))
Als iets te mooi klinkt om waar te zijn, is het dat meestal ook.
Niks is gratis en tijd is geld zullen we maar zeggen :D :D
04-12-2012, 17:34 door Lupo
hier deed hij er 24 seconden over XD

Alleen slechte resultaten,... je virusscanner staat uit -.-' Je ben gevoelig!!! Schaf ons aan!!!
04-12-2012, 17:37 door [Account Verwijderd]
[Verwijderd]
04-12-2012, 17:41 door Rubbertje
Door Peter V:
Niks is gratis
Dan is er toch iets gratis...niks dus.
Door Peter V:
Niks is gratis
Dan is er toch iets gratis...niks dus.
Haha, een vertaalcomputer struikelt net als jij ook altijd over dit soort zinsneden.
04-12-2012, 17:44 door Rubbertje
Door AnonymousSecurity: Slecht gevoel bij en ik luister naar mijn gevoel
Vertrouw op je instinct. Het hart is een dier en voelt de indringer...
04-12-2012, 19:15 door S-q.
Ok;
Geinstalleerd en laten werken op Vista en W7.
Scan: 60 seconden.
Maarrrrrr;
Dan duurt het ongeveer 40 seconden voor een plaats op een server;
Dan een analyse die ook ongeveer een 60 seconden duurt.

Dus de "behandeling" duurt ongeveer 2,5 tot 3 minuten.

Nu ben ik redelijk overtuigd van de security status van beide machine's en ja alles in orde.

Ik vind het wat vreemd dat bij Lupo wel de opmerking "virusscanner staat uit" staat.

Lupo, ik hoop dat je opmerking een grapje was, hou anders maar rekening met een probleem.

Positief lijkt mij dat het niet stoort op de werking van de aanwezige AV.
Ik zie het als een nuttige 2e "bewaker". Ik merk niets van een vervelende systeem belasting.
Ook al staat het na het opstarten aan en kijkt het mee.

Heeft iemand een inhoudelijk zinvol commentaar op de bruikbaarheid?

Dat een gratis product niet helemaal gratis is en dus reclame voor de makers maakt is toch niet zo vreemd?
Dat doen alle gratis producten.
04-12-2012, 19:38 door [Account Verwijderd]
[Verwijderd]
04-12-2012, 20:38 door Anoniem
Mijn pc mcafee total protection scant mijn pc met een ssd hardeschijf in 52 seconden met mijn telefoon bijgehouden
04-12-2012, 21:13 door S-q.
Wel een paar gekkigheidjes;

Op W-XP;
Bevinding dat de Automatische Update uit zou staan.
Klopt niet, staat wel aan.
Na knop Fixit; werd dat ook bevestigd.

De automatische instellingen gaven aan dat hij bij het opstarten van het OS ook zou starten.
Niet dus.
Bleek dat "zo maar" die optie op uit stond. (W7)

Deze week eens aanzien.
04-12-2012, 22:08 door Didier Stevens
Tijdens de scan is de communicatie met de server HTTP, niet HTTPS.

De volgende HTTP POST doet mij denken dat deze scanner de MD5s van de modules (.exe en .dll) van de processen naar de server stuurt ter controle:
POST /qscan-md5 HTTP/1.1

Dit is iets wat ik ook doe met een open source programma dat ik aan het ontwikkelen ben: ListModules

In mijn testen worden er 3656 bytes gepost. Na een header van meer dan 16 bytes die niet random is (en start met QS--), volgt een byte sequence met zeer hoge entropie (7.95), dus zeer waarschijnlijk cyphertext.

Daarna is er een tweede POST:
POST /qscan-emalware HTTP/1.1
Met 32456 bytes deze keer. Dit is waarschijnlijk data van de files waarvan de MD5s niet gekend zijn.
05-12-2012, 09:24 door S-q.
@Didier Stevens;

Bedankt voor je reactie.
De MD5s had ik gezien.

Beschrijf eens als je wil, in begrijpelijke woorden voor mij als eindgebruiker, wat je doet met het programma wat je aan het ontwikkelen bent: "ListModules"

Kun je ook aanvullend beschrijven hoe het programma 60-seconden virusscanner zijn werk doet?
Voor zover ik nu heb begrepen werkt het alleen bij internetverbinding en doorzoekt het gegevens van mijn computer om te vergelijken met wat het "ergens" op een database staat.
Dit dan dus in tegenstelling met mijn AV die een bestand met signatures op mijn computer zet die het via internet heeft opgehaald.

Als dit correct is, begrijp ik nog niet waarom deze scanner dan niet inconflict komt met mijn AV, maar het bij plaatsen van een 2e AV dat dan wel doet.

Ik heb ook vastgesteld dat de makers van 60 sec.... niet veel moeite gedaan lijken te hebben om te zorgen voor een correcte werking op een XP computer. Maar dat is misschien te begrijpen, die gaat toch uit de markt.

Graag tot horen. (geldt ook voor andere lezers.)
05-12-2012, 10:20 door Anoniem
"gratis" software uit het land van de skimmers...
overigens wel grappig dat wanneer er 2 hits zijn bij virustotal het bij de ene "oh het zal wel een false positive zijn" terwijl bij het andere artikel "nog maar twee detecties" is.
05-12-2012, 10:42 door Didier Stevens
Door S-q.:
Beschrijf eens als je wil, in begrijpelijke woorden voor mij als eindgebruiker, wat je doet met het programma wat je aan het ontwikkelen bent: "ListModules"

Dat hangt ervan af welke eindgebruiker je bent. ListModules is vergelijkbaar met Sysinternals' ListDLLs, en is dus bedoeld voor technische eindgebruikers. Het verschil tussen ListModules en ListDLLs is voornamelijk dat ListModules meer onderzoekt en open source is.

ListModules onderzoekt elke module (dus voornamelijk DLLs en EXEs) die in een process geladen is. De gegevens in het rapport dat ListModules maakt zijn dezelfde als deze van AnalyzePESig, een tool die ik al gepubliceerd heb:
http://blog.didierstevens.com/programs/authenticode-tools/

Dus kortom, je runt ListModules en na een paar minuten heb je een rapport (een csv file).
Dit rapport moet je dan met kennis van zaken onderzoeken.
Je kan bv. opteren om alle executables met een geldige digitale handtekening te negeren.
Als er na je onderzoek nog een aantal executables overschieten, dan kan je de MD5s gaan opzoeken in VirusTotal.
Ook daarvoor heb ik een Python tool: http://blog.didierstevens.com/2012/05/30/update-virustotal-search/

Hoe 60-seconds het doet weet ik niet, ik neem aan dat het gelijkaardig werkt aan wat ik hierboven beschreven heb, maar dan geautomatiseerd en met een GUI.
05-12-2012, 11:10 door SBBo
Geen goed nieuws.
De procesbenadering is op zich een aardig idee voor malware.
Helaas werkt niet alle malware zou.

Ik zou het wel fijn vinden wanneer berichten op deze site geduidt werden alvorens ze gepubliceerd worden.
Je ziet het aan de reacties.
05-12-2012, 11:25 door AdVratPatat
Door Didier Stevens: ListModules onderzoekt elke module (dus voornamelijk DLLs en EXEs) die in een process geladen is.
Goed blog, leuke tools, bedankt Didier!
Gaat het ook mogelijk zijn om individuele processen te analyseren met ListModules, via de command-line bijvoorbeeld? Dan zie ik wel toegevoegde waarde....!

(Ik neem aan dat je bekend bent met OldTimer's List-It overigens?)
05-12-2012, 12:28 door Didier Stevens

Gaat het ook mogelijk zijn om individuele processen te analyseren met ListModules, via de command-line bijvoorbeeld? Dan zie ik wel toegevoegde waarde....!

Ik kan deze command-line optie toevoegen, maar ik weet niet of het zoveel toegevoegde waarde heeft. In het CSV rapport staat nl. ook het ID en naam van het process, dus daarop kan je filteren.
Het is zo dat ListModules geoptimaliseerd is voor snelheid: als een executable meermaals gebruikt wordt in verschillende processen (wat vaak voorkomt met DLLs), dan zal ListModules de executable maar 1 keer analyzeren. Als je dus ListModules telkens zou gebruiken om een paar individuele processen te analyzeren, dan ben je waarschijnlijk niet sneller af dan alle processen in 1 keer te analyzeren.

Wat betreft onderzoeken en filteren van het rapport, daar heb ik ook een mooie GUI tool voor:
http://blog.didierstevens.com/2012/04/17/interactivesieve/
http://blog.didierstevens.com/2012/08/29/update-interactivesieve-0-7-6/
05-12-2012, 13:21 door Anoniem
Door Miriam4711:
Door Anoniem:
Door Miriam4711: Door dit bericht besluit ik om het niet te gebruiken, het lijkt hoe weet men dat zeker.
Snelle is Hitman Pro krijgen we nu nieuwe vorm van AV battles niets is vreemd meer tegenwoordig.
Huh? Ik snap niet zo goed wat je bedoelt... Zou je het even in normaal Nederlands kunnen vertalen alstublieft?

Gewoon Nederlands hoor, lees het nog een keer, anders snap je het na het lezen van de overige reactie`s, zelfde inhoud.
Vertrouw het niet in simpel Nederlands, had een vraagteken achter eerste zin moeten staan.
Las van de week ander draadje het zelfde, niet te vinden op de officiële homepage vind het verdacht.

Ik denk dat de persoon refereerde aan het ontbreken van voldoende punctuatie. Daardoor leest het niet niet makkelijk en moet je gaan uitpluizen wat er nu precies wordt bedoelt.
05-12-2012, 13:24 door S-q.
@Didier Stevens;
@AVP;
Dank voor jullie reacties!

Ik ben geen technische eindgebruiker.
Meer het type technische Thuisgebruiker dus. :-)

Maarrr; Gezien jullie opmerkingen en verwijzingen: Ik ga stoeien!!

Tot horens.
05-12-2012, 14:14 door AdVratPatat
Door Didier Stevens:

Gaat het ook mogelijk zijn om individuele processen te analyseren met ListModules, via de command-line bijvoorbeeld? Dan zie ik wel toegevoegde waarde....!

Ik kan deze command-line optie toevoegen, maar ik weet niet of het zoveel toegevoegde waarde heeft. In het CSV rapport staat nl. ook het ID en naam van het process, dus daarop kan je filteren.
Het is zo dat ListModules geoptimaliseerd is voor snelheid: als een executable meermaals gebruikt wordt in verschillende processen (wat vaak voorkomt met DLLs), dan zal ListModules de executable maar 1 keer analyzeren. Als je dus ListModules telkens zou gebruiken om een paar individuele processen te analyzeren, dan ben je waarschijnlijk niet sneller af dan alle processen in 1 keer te analyzeren.
In het geval van een snap-shot heb je volledig gelijk, maar daar heb ik al diverse tools voor waar ik aan gewend ben. Het is zo dat ik al een tijdje op zoek ben naar een makkelijk te automatiseren tool om enkel bepaalde processen dynamisch (lees, periodiek) in de gaten te kunnen houden, zonder het systeem al te veel te belasten.
Dus als je zo vriendelijk zo willen zijn, mits het niet te veel moeite is, om een command-line optie toe te voegen, ben ik, en waarschijnlijk vele anderen je dankbaar!!!, dit zou duizenden loze cycles kunnen schelen :]
Ditzelfde geld natuurlijk voor log-output, ik moet het nog testen vanavond, maar iets als LMlog_jjjj_mm_dd_mm_ss.csv (een log per instance) bijvoorbeeld zou werkelijk fantastisch zijn, vanwege de continuïteit.

Bedankt voor het delen in ieder geval, ik ben sowieso al blij dat ik je blog heb gevonden, erg informatief.
05-12-2012, 14:17 door AdVratPatat
@S-q.
Jij ook bedankt voor je reactie, ik weet niet waar je precies mee wil gaan stoeien en hoeveel je dat al gedaan hebt in het verleden, maar misschien een leuk dingetje om eens naar te kijken in deze context is om een (willekeurige) .exe te openen met behulp van 7zip.


OT:
Toch het tooltje even zelf getest op XP Pro 32-bit SP3 in VMWare.
Snel samenvattend:

De installer van 156KB is enkel om de Windows-versie te detecteren, om het vervolgens het juiste installatie-file te kunnen downloaden. De x86 installer is 10MB, heeft 1/45 detectie-ratio op VT https://www.virustotal.com/file/5abaf9a2bb5564f3c91166fecd39d035feb3b45e928cad85281d3884648d90ec/analysis/1354712320/[/url, wat natuurlijk een false-positive is, maar toch.De totale installatie vóór de scan 25MB, de uiteindelijke hoeveelheid data op schijf ná de scan meer dan 50MB en ik vind behoorlijk wat residu in het register onder andere, na de-installatie.Er is geen enkele keuze mogelijkheid over het install-path, ik kan geen log vinden over wat er exact gescand is, en de EUA is over een aantal dingen (data-collectie en gebruik onder andere) niet bepaald duidelijk.En als toppunt: Hoewel automatische-update's met opzet uit staan krijg ik daar geen melding over, alles is super-toll bevonden...Die minuut is wel redelijk accuraat in mijn geval, inclusief downloaden en installatie. Misschien 2, maar niet meer.Zoals vermeld, alle verbindingen lopen over HTTP, poort 53 en 80, en ik kan geen enkel verschil in pakket-grootte of -aantal ontdekken wanneer de heen en weer gezonden data "geanonimiseerd" (optie bij installatie) zou moeten zijn of niet, al is dit laatste geen sluitende conclusie natuurlijk m.b.t. het al dan niet werken van de "anonimiseren"-optie.Ik vind het bepaald geen toegevoegde waarde in AV-land hebben...
05-12-2012, 14:56 door Didier Stevens
Door AdVratPatat:
Dus als je zo vriendelijk zo willen zijn, mits het niet te veel moeite is, om een command-line optie toe te voegen, ben ik, en waarschijnlijk vele anderen je dankbaar!!!, dit zou duizenden loze cycles kunnen schelen :]

Zou geen probleem moeten zijn. En hoe wil een process identificeren, met process ID of process name? En indien process name, wat verwacht je dan dat de tool doet als er meerdere processen zijn met dezelfde naam?
05-12-2012, 16:14 door AdVratPatat
Door Didier Stevens:
Door AdVratPatat: Dus als je zo vriendelijk zo willen zijn, mits het niet te veel moeite is, om een command-line optie toe te voegen, ben ik, en waarschijnlijk vele anderen je dankbaar!!!, dit zou duizenden loze cycles kunnen schelen :]

Zou geen probleem moeten zijn. En hoe wil een process identificeren, met process ID of process name? En indien process name, wat verwacht je dan dat de tool doet als er meerdere processen zijn met dezelfde naam?
Process-ID is absoluut primair van belang, de naam mag uiteraard als toevoeging voor de herkenbaarheid, graag zelfs.

Ik kan vanavond thuis pas even rustig kijken naar de CSV log-output van AnalyzePESig, ik vind het veelbelovend, en ik ga er vanuit dat deze nu al allesomvattend is, juist daarom enkel de command-line ;]

Het zou misschien een overweging zijn om het in het algemeen mogelijk te maken log-output ook in plain text of html te doen, zeker waar je een tool ontwikkeld die waarschijnlijk geen extreem grote output (een individueel proces) heeft.
Een switch dan, want CSV heeft duidelijk ook voordelen mbt het (veelvuldig) analyseren (op grote schaal).
Dit is zeker geen kritiek, maar ikzelf bekijk regelmatig logs remote, op verschillende platformen en eigenlijk alleen plain text en html zijn altijd en overal snel cross-platform te gebruiken is mijn ervaring.

Het enige wat ik zo snel niet kan zien, wordt path vermeld, onder file-name bijvoorbeeld? Anders is dat de enige toevoeging die ik heb, om makkelijk na te kunnen zoeken hoe en wat.

Ik ga je blog regelmatig in de gaten houden, ik heb niets dan bewondering voor je open-source werk (in Python nota bene) dat je deelt met anderen!!!
05-12-2012, 16:29 door Didier Stevens
Door AdVratPatat:
Het zou misschien een overweging zijn om het in het algemeen mogelijk te maken log-output ook in plain text of html te doen, zeker waar je een tool ontwikkeld die waarschijnlijk geen extreem grote output (een individueel proces) heeft.

AnalyzePESig heeft drie output-mogelijkheden opties: gewone text, CSV en XML.

ListModules is nog niet publiek, maar als je mij een mailtje stuurt zal ik je een download link sturen.
05-12-2012, 17:54 door [Account Verwijderd]
[Verwijderd]
05-12-2012, 18:52 door Anoniem
Door Miriam4711:
Door Anoniem:
Door Miriam4711:
Door Anoniem:
Door Miriam4711: Door dit bericht besluit ik om het niet te gebruiken, het lijkt hoe weet men dat zeker.
Snelle is Hitman Pro krijgen we nu nieuwe vorm van AV battles niets is vreemd meer tegenwoordig.
Huh? Ik snap niet zo goed wat je bedoelt... Zou je het even in normaal Nederlands kunnen vertalen alstublieft?

Gewoon Nederlands hoor, lees het nog een keer, anders snap je het na het lezen van de overige reactie`s, zelfde inhoud.
Vertrouw het niet in simpel Nederlands, had een vraagteken achter eerste zin moeten staan.
Las van de week ander draadje het zelfde, niet te vinden op de officiële homepage vind het verdacht.

Ik denk dat de persoon refereerde aan het ontbreken van voldoende punctuatie. Daardoor leest het niet niet makkelijk en moet je gaan uitpluizen wat er nu precies wordt bedoelt.

Nou boeit me vrij weinig, ik zit hier voor mijn plezier hoor dus ja.
Wij ook schat! Dus ja, dan is het wel fijn als je af en toe de <komma> en <punt> intoetst ;]
06-12-2012, 12:53 door AdVratPatat
Door Didier Stevens:
Door AdVratPatat:
Het zou misschien een overweging zijn om het in het algemeen mogelijk te maken log-output ook in plain text of html te doen, zeker waar je een tool ontwikkeld die waarschijnlijk geen extreem grote output (een individueel proces) heeft.

AnalyzePESig heeft drie output-mogelijkheden opties: gewone text, CSV en XML.

ListModules is nog niet publiek, maar als je mij een mailtje stuurt zal ik je een download link sturen.
Bij voorbaat dank, ik had eerst even moeten kijken, standaard log-output is zelfs plain-text, ik heb je reactie hierboven (Woensdag 10:42) verkeerd geïnterpreteerd mbt het rapport.
06-12-2012, 17:35 door [Account Verwijderd]
[Verwijderd]
16-12-2012, 14:11 door Anoniem
@Miriam4711: leestekens zijn GEWOON onderdeel van GEWONE schrijftaal; als je gelezen wilt worden, gebruik ze dan ook GEWOON, tenzij het je niet uitmaakt dat je als halve - of hele - analfabeet overkomt.
Euphema
17-12-2012, 14:15 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.