Video: Malware: Difference Between Computer Viruses, Worms and Trojans (November 2024)
Voor de door malware aangetaste virtuele machines die ik gebruik bij het testen van antivirusproducten, is het déjà vu telkens wanneer ik een nieuwe test start. Ik rol de virtuele machine terug naar exact hetzelfde startpunt voor elke test, installeer (of probeer te installeren) de antivirus en daag hem uit om op te ruimen. Maar soms gebeurt er iets meer; soms nodigt de malware vrienden uit om te spelen.
De dagen van de eenzame hacker die alleen maar virussen schrijft, zijn al lang voorbij. Tegenwoordig is er een heel malware-ecosysteem, en een bloeiend onderdeel van dat ecosysteem omvat 'ride-alongs', situaties waarbij de ene cyber-boef de andere betaalt om een nieuwe bedreiging voor bestaande malware te meeliften. Degenen die we "droppers" noemen, hebben niet eens een kwaadaardige lading; ze dienen alleen als voet tussen de deur voor andere malware.
Wat betekent dat voor mijn testen? Hoe langer een besmet systeem in werking treedt voordat een nieuw antivirusprogramma volledig kan worden geïnstalleerd en een scan kan worden uitgevoerd, hoe groter de kans dat de bestaande besmetting vrienden uitnodigt voor een feestje. Bescherming krijgen op die systemen kost soms dagen werk door technische ondersteuning. Terwijl ze bezig blijven, is de malware dat ook; eng!
Gameover ZeuS
Tijdens de Malware 2013-conferentie vorige maand presenteerde een Nederlandse onderzoeksstudent een zeer gedetailleerde analyse van Gameover ZeuS. Net als andere exemplaren van de ZeuS Trojan, heeft dit malwarenetwerk een verscheidenheid aan functies, maar is het meestal gericht op het stelen van gevoelige informatie zoals online bankgegevens. Wat anders is aan Gameover ZeuS is dat het in plaats van een gecentraliseerd Command and Control-systeem een gedistribueerd peer-to-peer-netwerk gebruikt, waardoor het veel moeilijker is om het te volgen en uit te roeien. Nieuws voor mij!
Stel je mijn verbazing voor, toen ik onlangs een bericht kreeg van mijn internetprovider dat ze Gameover ZeuS-verkeer van mijn IP-adres hadden gedetecteerd. Nee, ik heb geen infectie van de onderzoeker opgepikt. Integendeel, een van mijn bestaande monsters nodigde een gloednieuwe vriend uit om zijn intrek te nemen, mogelijk tijdens een ongebruikelijke dagenlange technische ondersteuningsmarathon die hem voldoende tijd gaf.
Jaren geleden, toen ik voor het eerst begon met het testen van antivirus met behulp van live malware-geïnfecteerde virtuele machines, kon ik er vrijwel op rekenen dat de malwarepopulatie van mijn testsystemen stabiel bleef. Zolang ik geen malwarevoorbeelden heb geïnstalleerd die actief proberen te verspreiden via internet, kon ik voorkomen dat ik deel van het probleem zou worden. Het briefje van mijn ISP was een wake-up call. Als ik een representatieve verzameling malwarevoorbeelden installeer, is er gewoon geen garantie dat een van hen het gedrag niet verandert of een gevaarlijke metgezel meeneemt.
Game over inderdaad
Het is denkbaar dat ik ISP's kan veranderen en kennisgeving kan vermijden, maar dat is geen oplossing. Ik kan niet met goed geweten een praktijk voortzetten die schade kan veroorzaken buiten mijn virtuele machines. Ik kan de testsystemen niet alleen afsluiten van internet, omdat veel antivirusprogramma's een verbinding vereisen. En ik heb niet de middelen om malwareverkeer in een gesloten omgeving te repliceren, zoals de grote, onafhankelijke testlaboratoria. Ik moet de praktijkgerichte live-malwaretests laten vallen.
Aan de positieve kant, de onafhankelijke antivirus testlaboratoria produceren tegenwoordig een aantal echt goede tests. Ik zal zeker meer gebruik maken van die resultaten. Ik zal nog steeds spamfiltering, phishing-beveiliging, kwaadaardige URL-blokkering testen - elke test waarbij mogelijk geen actieve malware wordt vrijgegeven. En ik zal nog steeds ingaan op elke functie van elke antivirus, werkend om de beste te identificeren. Ik zal gewoon geen tests uitvoeren die mogelijk problemen in de buitenwereld kunnen veroorzaken.
Nieuwe nul-dag test
Daarnaast voeg ik een nieuwe test toe om te controleren hoe goed elke antivirus het downloaden van extreem nieuwe bedreigingen afhandelt. De goede mensen van MRG-Effitas, een Brits beveiligingsonderzoeksbureau, hebben me toegang gegeven tot hun immense realtime feed met kwaadaardige URL's. Met deze feed kan ik controleren hoe een antivirus een honderdtal van de nieuwste kwaadaardige bestanden afhandelt. Blokkeert het de URL? De download blokkeren? Mis je het helemaal? Ik kijk ernaar uit om deze nieuwe test volledig van start te laten gaan.
