Of ? : "Meeste Dorifel-slachtoffers gebruikten network share drives of usb drives"

http://blog.aegislab.com :
"0810 updated: This virus only infect WORD/EXCEL file on network share drives or USB drives
in order to spread itself quickly and masquerade itself "look" like a normal WORD/EXCEL file
by abusing RTLO (right-to-left-override) vulnerability. "

Deze nou net ook belangrijke info wordt niet / nauwelijks onder de aandacht gebracht en maakt misschien nogal verschil en lijkt me onderscheidender in de besmetting dan wel of niet een al dan niet geupdate virusscanner.

Blijf je buiten schot als je die share drive niet hebt of je usb nou net even niet gebruikte?
Enn, ben je juist wel de pineut met je netwerk of usb backups? Dan heeft terugzetten geen zin.

Was het een representatieve mix van antivirus producten, of was de overheid gestandaardiseerd op 1 peoduct? Wat moeten we verder voor waarde hechten aan gedragsanalyse en andere mooie namen die de anti virus industrie verzint voor zero day attacks. En als laatste, wat zeggen de vergelijkende testen nu nog?

Is het misschien geen gek idee om ook maar eens een Nederlandse antivirus/malware te maken. En niet meer blind vertrouwen op die buitenlandse troep.

Gebruikelijk is dat elke organisatie (gemeente, bedrijf, etc) één product gebruikt i.v.m. de licentiekosten. Op veel plaatsen wordt McAfee gebruikt maar het zou me niet verbazen als bijv. gemeentes hier hun eigen keuzes in maken.

Dat werkt nauwelijks om de volgende redenen:
- Er is geen tijd; mensen willen niet een paar minuten wachten als ze een bestand openen of een programma starten;
- Het leidt snel tot false positives;
- Last but not least: malwaremakers testen hun malware tegen alle bekende virusscanners en manipuleren de malware (obfusceren delen van de code en/of voegen overbodige maar check-vertagende calls naar allerlei eigen en besturingssysteemroutines toe) net zo lang totdat virusscanners de malware niet meer als zodanig detecteren; pas dan wordt deze als bijlage gespammed of op websites gezet.
Goede tests geven je een indruk van het gebruiksgemak, performanceverlies, geheugengebruik, opstartsnelheid PC, de snelheid waarmee definities worden gemaakt en verspreid, het gemiddelde aantal false positives, detectie van reeds geïnstalleerde rootkits, hoe met PUP's (Potentially Unwanted Programs, d.w.z. hackertools zoals netcat.exe maar ook adware) wordt omgegaan, hoe goed ze zijn in het herstellen van geïnfecteerde bestanden (zelden nodig, maar wel bij Dorifel), of de configuratiegegevens van een wachtwoordbeveiliging zijn voorzien, hoe vaak de AV boer updates heeft verspreid die computers lieten vastlopen, welke aanvullende tools erin zitten (wel/niet cloudbased en hoe werkt dat, lijst van bad websites, firewall, wachtwoordkluis, extra bescherming van biijv. hosts file en gevoelige registersleutels etc). Ook interessant (maar zelden vermeld): als je een volle 16GB USB in de PC steekt, hoe snel kun je deze dan weer veilig "ejecten" (kun je de virusscanner configureren dat hij niet elke keer de hele stick hoeft te scannen en deze gelocked houden?).

Wel zie je altijd fantastische detectionrates gebaseerd op bijv. de ITW (In The Wild) list van bekende malware. Tuurlijk kun je best nog wel eens tegen een oud documentje met een stokoud virus aanlopen of bij het opruimen van een oude schijf een programma opstarten waarvan je je niet meer kunt herinneren dat jij dat daar neergezet hebt; leuk om te weten dat jouw antivirus je dan met 99% zekerheid i.p.v. 97% zekerheid beschermt. Maar die 99% betekenen wel grotere definitiedatabases, langere zoektijden bij het openen van een bestand, meer geheugengebruik, langere opstarttijd PC, grotere downloads etc.

Naar verluidt (http://www.damnthoseproblems.com/?p=599&lang=en#comment-5896, ik heb het ook ergens op Tweakers gelezen maar weet niet meer waar) kwam Trendmicro met een update voor Dorifel die alle tot .scr omgedoopte bestanden in quarantaine zette (of welicht verwijderde als dat je installing was!) i.p.v. ze te repareren. Het zou wel eens interessanter kunnen zijn te weten hoe vaak een AV boer blundert dan hoe goed z'n detection-rate is...

Tests met "recent" of "unpublished" malware lopen vaak enorm uiteen, en geven bovendien elke keer een andere uitslag. Het is een gokspel of jouw virusscanner verse malware detecteert die jij via mail ontvangt c.q. op een website, een netwerkdrive of USB stick aantreft.

Kortom, de verjaardagdiscussie welke virusscanner "het beste" is, gebaseerd op detectionrates, is net zo zinvol en boeiend als welk merk en type auto of voetbalclub het beste is.

Zie ook de discussie in http://www.security.nl/artikel/42613/1/Nederlandse_instellingen_besmet_via_RTLO-truc.html.

Nadeel is virus analyzes zijn duur en kosten veel tijd. Vaak is dit ook Follow the SUN. Ofwel Azie, Europa, Amerika

Wat denk je van Webroot endpoint? Zou dat inderdaad een nieuwe aanpak zijn? Luister o.a. naar http://www.webroot.com/En_US/business-products-secureanywhere-endpoint-resources.html#unmatchedProtection
En dan ook nog een aanvulling van een goed Indringer Detactie Systeem? ZOu het dan wel beter werken?

De antivirusprogramma testen zijn vooral gefocust op cpu en memory gebruikt want als je een scan draait en het antivirusprogramma vertraagd de pc te veel en je kan haast niets anders meer doen , gaan de meest consumenten janken als een baby . Terwijl een goede beveiliger nou eenmaal wat van je systeem vraagt , of de gebruiker heeft een prehistorische pc en het antivirusprogramma kan bijna niet draaien op de achtergrond . Zeikwijven! . En anders doe je toch die scan als je naar je nest gaat ? Ik snap al dat gejank niet over cpu gebruik van beveiligssoftware . En het moet ook zo snel mogelijk , de eisen van de meerderheid van pc gebruikers is gewoon belachelijk en zorgt ervoor dat de antivirus software fabrikanten hun programmas aanpassen op die van de consument , dus minder goed zijn dan ze hadden kunnen zijn . want deze mensen willen ook brood op de plank .

Als ik op http://www.webroot.com/En_US/business-products-secureanywhere-endpoint-resources.html lees dan zijn dit leugenaars, want 100% bestaat niet. Dan geloof ik ook geen ruk van wat ze verder vertellen en lees niet verder.

Veel AV boeren hebben cloud based detectie, dat kan de zaak wat versnellen. Bijv. McAfee berekent een hash (soort checksum) van elk nog onbekend bestand dat je opent, en maakt daar een DNS request van (ik heb de exacte gegevens niet bij de hand maar dat zou eruit kunnen zien als <hashwaarde>.cloud.mcafee.com). Als antwoord komt daar (van een DNS server van McAfee) 127.0.0.x antwoord. Die het getal X geeft aan of het om bekende malware, of een onbekend bestand gaat.

Zodra van een specifiek bestand door McAfee is vastgesteld dat het malware bevat kan de antivirus oplossing op de PC dit vaststellen zonder dat er op de download van nieuwe definities gewacht hoeft te worden. Nadelen aan dit systeem zijn dat DNS requests soms wat langer duren dan je zou willen, en (privacy aspect) dat McAfee (en jouw ISP en "iedereen onderweg") weet welke "bekende bestanden" jij opent en jou op basis daarvan kan profileren. Als bijv. het NCSC een PDF document publiceert zal McAfee (of een andere AV boer met cloud based detectie) snel kunnen vaststellen wie allemaal kennelijk geïnteresseerd zijn in dat document. Een ander nadeel is dat op UDP gebaseerd DNS verkeer relatief eenvoudig (t.o.v. TCP) verkeer te spoofen/blokkeren is. De vraag is hoe AV met timeouts omgaat, ik vermoed "silently ignore".

Betrouwbare antivirusoplossingen zijn fundamenteel onmogelijk; voor elke oplossing die je bedenkt zullen aanvallers een bypass weten te vinden die emuleert wat een gebruiker zelf moet kunnen doen. Zaak is dat iedereen dat beseft en, indien nodig (op basis van een grondige risicoanalyse - en da's toegegeven extreem lastig) vaststelt of, en zo ja welke, aanvullende maatregelen nodig zijn.

Weet je, je hebt gelijk. Ik zit bij een klant die ook besmet was met dit virus. Het enge is dat dit virus niet op zichzelf staat. De gebruikers werken echter met beperkte rechten, de virusscanner en de gebruikte software zijn up-to-date. Ik weet niet wat deze klant nog meer had kunnen doen om deze infectie te voorkomen.

Voor de zoveelste keer faalt de best wel dure virusscanner om ook maar iets te detecteren. Daarnaast blijkt het werken met beperkte rechten ook niet zaligmakend. -zucht- Knap irritant.

Gelukkig geen man overboord! Geen verdere schade op een beetje paniek bij de secretaresse na dan.