Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe komt een virusscanner aan virussen?

26-10-2011, 19:34 door Anoniem, 16 reacties
Hallo,
Ik heb een vraag:

Hoe komen Anti-virusscanners aan virussen in hun database?
En wat virussen doen weten zij. hoe?

Ze openen het toch niet zelf? :P
Reacties (16)
27-10-2011, 00:29 door Erik van Straten
Door Anoniem: Hoe komen Anti-virusscanners aan virussen in hun database?
Ik weet het niet exact, maar ik gok het volgende:
- Door roekeloze gebruikers te simuleren (e-mail adressen publiceren en analyseren wat er binnenkomt, met robots websites aflopen, honeypots opzetten die door wormen worden bezocht etc);
- Krijgen ze (betalen ze mogelijk voor, weet ik niet) van sites als virustotal.com;
- Door bekende sites in de gaten te houden waar cybercrimefighters hun ervaringen op delen;
- Doordat oplettende gebruikers/beheerders/helpdeskmedewerkers malware naar ze opsturen;
- Door malware uit te wisselen met conculega's.
En wat virussen doen weten zij. hoe?
Disassembleren, tracen in een debugger, gedrag monitoren in sandboxes etcetera.
Ze openen het toch niet zelf? :P
Jawel, maar (hopelijk) niet op systemen met volledige internetconnectiviteit. Echter, net zoals afgelopen weekend met de EOD-ers in Voorschoten, zal ook hier wel eens wat bij mis gaan.
27-10-2011, 09:05 door SirDice
Door Anoniem: Hoe komen Anti-virusscanners aan virussen in hun database?
Door mensen zoals ik die ze opsturen: http://www.mcafee.com/us/mcafee-labs/resources/how-to-submit-sample.aspx
27-10-2011, 11:24 door Anoniem
"Hoe komt een virusscanner aan virussen?"

Naast de reeds genoemde methoden; via websites zoals www.virustotal.com, waarop je verdachte bestanden kan submitten zodat enkele tientallen AV bedrijven deze binnenkrijgen, en deze voor je controleren op virussen.

"Ze openen het toch niet zelf? :P"

Wat is daarop tegen wanneer zij dit op een (al dan niet virtuele) geisoleerde testmachine doen ? Zolang je weet waar je mee bezig bent, kan je best in een gecontroleerde omgeving virussen openen.
27-10-2011, 12:47 door [Account Verwijderd]
[Verwijderd]
27-10-2011, 13:10 door Anoniem
Ze openen alles.
27-10-2011, 13:55 door Anoniem
o.a. d.m.v.
- Honeypots
- Crawlers die het web afspeuren naar malware
- Gebuikers
27-10-2011, 14:44 door Patio
Door Peter V:
Hoe komt een virusscanner aan virussen?
Volgens Symantec worden ze ook opgestuurd door de virusschrijvers zelf.

Hoe dat nu gaat weet ik niet, maar de bronnen zijn ook de eindgebruikers. Zelf behoor ik daar ook toe.

Er zijn dus nogal wat personen actief om de eindgebruikers beter te beschermen.

Hoe dat gaat?
Diverse opties: gewoon via e-mail, via een (a)sociaal (al dan niet professioneel) netwerk als b.v. Facebook, Google+ en LinkedIn, P2P of gewoon via een brief(je), envelop, postzegeltje in hun brieven- en/of postbus. Wellicht zijn er tegenwoordig nog meer e-foefjes om Symantec en/of andere. te attenderen van een ongewenste vondst in je systeem.

Inderdaad als je iets verdachts tegenkomt kun je een van deze twee dingen doen:

Zelf een remedie in elkaar hacken of een vertrouwd bedrijf adresseren op een van genoemde manieren en hen vragen een oplossing in elkaar te sleutelen.
27-10-2011, 14:50 door [Account Verwijderd]
[Verwijderd]
27-10-2011, 15:58 door Anoniem
Je leest wel eens vermoedens op o.a. forums, dat AV-bedrijven ook zelf virussen ontwikkelen en verspreiden om zo klanten te kunnen blijven genereren. Is daar ooit bewijs van geweest?
27-10-2011, 16:11 door Anoniem
- Sommige vaak kleine antivirus bedrijven kopen ook vaak signatures of hashes van de grote antivirusbedrijven
- Veel antivirusbedrijven maken ook zogenaamde generic signatures. Deze kijken naar een bepaalde eigenschap van een virus of een stukje code in het virus. Op deze manier kunnen ze via deze generic signature nieuwe variante op dit virus herkennen.
- De betere antivirus software stuurt zelf automatisch al verdachte bestanden of website op naar het antivirusbedrijf waarna een researcher deze bekijkt.
27-10-2011, 20:26 door swake
Je zou net dezelfde vraag kunnen stellen aan medische wetenschappers.
Hoe ontwikkelen jullie nieuwe medicijnen tegen nieuwe virussen.
Zo kun je het vergelijken met computervirussen.
27-10-2011, 23:08 door Anoniem
volgens mij ook door het controleren van verdacht gedrag op de pc. deze worden ook weer doorgestuurd naar de DB lijkt me. hier komen de false positieves ook vandaan. en zoals hierboven al beschreven
28-10-2011, 02:47 door [Account Verwijderd]
[Verwijderd]
28-10-2011, 10:02 door Anoniem
Het is niet zo moeilijk als dat het lijkt:

1. Samples worden rechtstreeks ingezonden door klanten die het niet vertrouwen.
2. Samples worden aangeleverd door sites als Virustotal, deze sturen alle samples door naar alle samenwerkende firma's
3. Sommigen hebben Smart Feedback opties zoals bijv. Trend Micro, detecties worden terug gestuurd gecombineerd met de plek waar het vandaan komt. Deze plekken worden daarna dan ook gescanned, denk aan websites.
4. Eigen engineers zoeken op "underground-netwerken" naar gerelateerde zaken die aanknopingspunten kunnen geven voor nieuwe technieken, bot-netten enz.
28-10-2011, 10:39 door bulldog
als je hoort hoeveel malware/virus er op één dag verschynt is toch niet normaal ! kunnen ze die makers ervan niet opsporen of iets dergelyk?of zoals hierboven al vermeld het is misschien de av bedryven zelf die ook virussen verspreid om de mensen in het zak te zitten.
28-10-2011, 10:45 door Anoniem
Bij ons (ESET) gaat het op een paar manieren:

- Submissions via de software zelf
- Analysten die zelf op zoek gaan
- De heuristiek die detecteert dat een stukje software iets doet wat niet mag, en het opstuurt naar het viruslab voor analyse
- Uitwisseling met andere AV vendors
- Honeypots

En nee, er worden in het viruslab zelf geen virussen geschreven, die hebben het al druk genoeg.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search