Nieuws
image

Virusscanner mist Windows-malware na eerste dag

vrijdag 24 augustus 2012, 11:55 door Redactie, 10 reacties

Als een virusscanner op de eerste dag een nieuw virus of Trojaans paard niet detecteert, is de kans zeer klein dat de malware in latere dagen wel wordt herkend. Dat blijkt uit onderzoek van Carbon Black. Via VirusTotal werd de detectie van 43 virusscanners onderzocht. Zes dagen na het eerst verschijnen van nieuwe malware daalde het detectiepercentage naar bijna nul. "Dit betekent gemiddeld genomen dat als een virusscanner malware niet meteen herkent, het dit waarschijnlijk nooit zal doen", aldus de onderzoekers.

Detectie
Verder bleek dat na 30 dagen de virusscanners minder malware detecteerden dan op de eerste dag. Een mogelijke reden hiervoor is dat anti-virusbedrijven hun verzameling signatures steeds bijwerken. Vanwege de grote hoeveelheid malware zouden de signature-verzamelingen zo groot worden dat dit invloed op de prestaties van de computer heeft, zo stelt Carbon Black.

Volgens David Harley van anti-virusbedrijf ESET is het onderzoek erg beperkt, omdat het alleen naar statisische signatures kijkt en geen rekening met de heuristieke detectie van virusscanners houdt.

Daarnaast twijfelt Harley aan de opvatting dat grote anti-virusbedrijven hun signature-verzameling zouden snoeien om ruimte voor nieuwe malware-signatures te maken.

Reacties (10)
24-08-2012, 12:00 door Anoniem
Toch wel hoor.
Bij een scanner ontdekte ik geregeld dat er signatures af gingen dan erbij kwamen. Dus die kritiek klopt wel denk ik.
24-08-2012, 12:17 door Anoniem
Nogal logisch. De meeste malware wordt specifiek getest tegen antivirusprograma's voordat het wordt losgelaten.
24-08-2012, 13:00 door Anoniem
"Nogal logisch. De meeste malware wordt specifiek getest tegen antivirusprograma's voordat het wordt losgelaten."

Vrij onlogisch. Immers worden signatures toegevoegd nadat bedrijven samples van de malware ontvangen. Je zou dus verwachten dat de kans dat je AV scanner na een maand de malware kan detecteren groter is dan na een dag. En indien je virusscanner na een dag de malware wel detecteert, en een maand later niet meer, dan is dat ronduit bizar te noemen.

De vraag of de antivirus software de malware aanvankelijk kan detecteren door heuristic scanning staat daar los van. Als dat op het moment van de uitbraak het geval is, dan is dat een maand later nog steeds zo.
24-08-2012, 13:17 door Anoniem
Door Anoniem: Toch wel hoor.
Bij een scanner ontdekte ik geregeld dat er signatures af gingen dan erbij kwamen. Dus die kritiek klopt wel denk ik.


Vaak worden verschillende definities voor één familie samengevoegd tot één generieke definitie, dus dat zegt niks.
24-08-2012, 13:24 door sjonniev
Virustotal laat inderdaad maar een deel van het plaatje zien.

Dat volgens Virustotal een stuk malware door de commandline scanner van een pakket niet gevonden wordt betekent niet dat de malware niet gevonden wordt op een systeem waar de volledige functionaliteit van een anti-malwarepakket op aanwezig is.
24-08-2012, 14:00 door Anoniem
AV Comparative Analyses, Marketing, and VirusTotal: A Bad Combination:
http://blog.hispasec.com/virustotal/22 (blog van virustotal.com)
24-08-2012, 14:13 door Anoniem
De alinea onder "detectie" zette me op het verkeerde been. Zoals het hier staat lijkt het of malware die op dag 1 nog wel herkend wordt op dag 30 niet meer herkend wordt, en dat zou dan liggen aan de tragere werking door een grotere verzameling signatures. Dat is niet wat er in het oorspronkelijke artikel staat.

Wat het artikel wel zegt is dat er dagelijks ruim driekwart miljoen nieuwe malware-varianten onderzocht moeten worden. Dat is mogelijk te veel om de exemplaren die een virusscanner-maker op een dag niet volledig weet te inspecteren later af te maken, er staan alweer ruim driekwart miljoen nieuwe exemplaren te dringen die de volledige capaciteit vergen. De malware die op dag 30 niet herkend wordt werd dus op dag 1 al niet herkend en kwam domweg niet meer aan bod.
27-08-2012, 04:15 door [Account Verwijderd]
[Verwijderd]
27-08-2012, 09:09 door Anoniem
Wel grappig dat nu net weer een 'net-niet' bedrijfje zo'n 'onderzoek' moet publiceren..

Van CarbonBlack.com:
"Carbon Black is a surveillance camera for your computer – always recording so you know precisely what happened and where. The “camera” collects and retains five key elements as they are occurring: records of execution; filesystem modifications; registry modifications; new outbound network connections and unique binaries – as well as the relationship among them."

Wat is er mis met VMWare?
27-08-2012, 14:55 door Anoniem
Daarom gebruik ik ook comodo internet security het zandzakt (onderzoeken in virtualisatie) als het ware de malware als er nog geen signature voor is word het ook naar het lab van comodo gestuurd (na eigen keuze)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search