Dit was 25 jaar geleden al een underground scène.
Toen nog in msdos tijden :)

Groepen die zich bezig houden met anti-debug opcode, cryptors enz voor executables. Niet voor het geld maar de onderlinge competitie met de andere kant (av software, ontwikkelaars).

Good times

De overheid schakelt de concurrenten uit ?

Vandaar dat het een ordinaire leugen is als AV-boeren zelf, maar ook testers als av-test.org en av-comparatives.org, stellen dat er virusscanners zijn die 100% van de verse "in the wild" malware herkennen. Forget it, dat gaat nooit gebeuren.

Een voorbeeld van een e-mail met "Jaff" malware (ransomware) die ik gisteren ontving: als bijlage een ZIP-file met daarin ZIP-file met daarin een WSF file (eergisteren ontving ik 2 vergelijkbare mails, vandaag nog niet).

De buitenste ZIP, 13/57: https://www.virustotal.com/en/file/cfe0d4ef51fcea2e1dcb6b6f6caa8e1c914b893e6bb2f2ae899e21ba42c6fa0d/analysis/1497441581/

De WSF file, gek genoeg minder detectie dan de buitenste ZIP, nl. 8/56: https://www.virustotal.com/en/file/b469ee1c6b492cbeec2676df8252b863703a17f0374ddbccf3e4dffa9d50ea57/analysis/1497442477/

Die WSF file is grotendeels geobfusceerd (variabelennamen zijn vervangen door willekeurige karakterreeksen, er staan zinloze instructies tussen, er worden runtime karakterreeksen vervangen door andere etc). De geobfusceerde URL's waarvan door die file aanvullende malware werd gedownload, waren:

In de karakterreeksen waar VALENTINE in voorkomt, haalt het script dat woord weg, waarna er een gewone base64 decode plaatsvindt, met als resultaat (waar je http:// voor moet denken)

De eerste site bleek al uit de lucht te zijn gehaald, maar op de overige sites stonden identieke "versleutelde" files, met op dat moment 0/55: https://www.virustotal.com/en/file/135c71fda1624ba914f0e1cb7d6d769623f41b8bb08077b710c37b56351903f9/analysis/1497445410/

Die file is "versleuteld" door steeds een exclusive OR te doen met de 20 karakter lange karakterreeks "0vRVTMMugyRRpMt53SMZBXRAM6ErWIqu". De WSF file pakt deze uit, waarbij het denkbaar is dat het resultaat niet naar schijf wordt geschreven (dit heb ik niet onderzocht). In dat geval is AV-detectie sowieso beperkt.

De "ontsleutelde" binary (na XOR- met genoemde karakterreeks, zie ook https://isc.sans.edu/forums/diary/Malware+and+XOR+Part+2/22490/ - met dank aan Didier Stevens), had detectie 8/60, zie https://www.virustotal.com/en/file/dd15ec17e469159196a0853bf14edb45a86054c71bc555e2cd0afc1c410917b2/analysis/1497446908/

Overigens zijn die scans niet van mij, iemand was mij steeds net voor. Als je de VirusTotal URL's opent en klikt op "View Latest" zul je zien dat ondertussen de meerderheid van de scanners de verschillende files beter detecteert, maar dat is 1 dag later natuurlijk mosterd na de maaltijd.

Na verloop van tijd verdwijnen die IT trainees ook heur
Misschien halen ze dan wat hackers uit de gevangenis :)

Kijk maar naar de huidige tekorten overal in de IT en overheid.

Vergeet de Amiga 500 niet met RAM Resident Saddam Virus dat Disk Invalidator aanriep. Man ooh man, wat een tijden waren dat. Dacht je veilig je Amige te resetten met CTRL-AMIGA-AMIGA stop je de andere diskette erin, oeps bootsector weg en diskvalidator komt na stiekum een tijdje naar voren, en dan bedoel ik Saddam Virus was echt een sneaker, het nestelde zich in al je floppies, en dan plotseling, met enig doel, ALLES WAT JE HAD, weg te halen.

Moderne Emulators zoals WinUae voor Amige resetten volledig de hardware zodat residente virussen praktisch niet meer werken. Maar je kan nog altijd handmatig resetten met die emulator, wat dus niet aanbevolen is.

Lijkt wel een verkooppraatje.
Volgens mij is het updaten van alle software de key, niet speciaal het updaten van antivirusprogramma's. Dat is maar 1 van de 100 programma's. Ik had beter verwacht van zo'n Britse adviseur van de overheid.

Vertaling: ''Verleng elk jaar netjes die proeflicentie die op je systeem is gekwakt en binnen no-time is verlopen.''
*Verkoopcijfers weer omhoog*

Die testsites hebben verzamelingen malware waarmee ze testen en die ze actueel houden. Een scoringspercentage dat ze rapporteren heeft altijd betrekking op de malwareverzameling waarmee ze getest hebben. Nogal wiedes, hoe zou het anders kunnen? Als ze claimen dat ze malware meenemen in een test waarover ze niet beschikken dan liegen ze. Als ze dat niet claimen dan zie ik geen leugen.

Verder lijk je je niet bewust te zijn van hoe afronden werkt. Er zijn nogal wat malware-exemplaren in omloop. Als een scanner bijvoorbeeld 99,995% van de malware herkent en er wordt op twee cijfers achter de komma gerapporteerd dan levert dat 100,00% op. En 100% zonder cijfers achter de komma begint al bij 99,5%. Probeer het eens in een spreadsheetprogamma: vul 0.9995 in een cel in en klik in de knoppenbalk op het %-icoontje. Dan zie je 100% tevoorschijn komen. Dat is geen leugen, dat is een afronding. Dat in informele spreektaal vaak "honderd procent" wordt gezegd als "werkelijk alles zonder maar één uitzondering" wordt bedoeld wil niet zeggen dat dat in formeler gebruik ook opgaat. De leugen die je ziet zit niet in zo'n cijfer maar in je onvermogen het goed te interpreteren, vrees ik.

Bijvoorbeeld door antivirusproducten bijv. een week niet te updaten en ze dan malware aan te bieden die de afgelopen week is verschenen? Of door op sites als virustotal aangeleverde (door gekken als ik) malware direct aan te bieden aan alle producten die je in duurtest hebt?

De score die daaruit naar voren komt is echter zo dramatisch slecht dat ze dat of niet doen of "creatief met de cijfers omgaan". Zo mixen ze dat resultaat bijvoorbeeld met de herkenningsrate voor "bekende malware" (dat is interessant voor echte vriussen en wormen, maar nauwelijks voor hedendaagse bedreigingen). Dergelijke uitslagen hebben niets met afronden te maken maar zijn ordinair boerenbedrog waardoor klanten een vals gevoel van veiligheid wordt voorgespiegeld.

In bijv. https://www.security.nl/posting/414119/29+virusscanners+op+Windows+Server+2008+getest wordt dit een "RAP" test genoemd met, ook in dit geval, totaal ongeloofwaardige uitslagen.