Cybercriminali sempre un passo avanti agli Antivirus

Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.

Esempio:

hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe

Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.

Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.

Denominazione : Trojan.Win32.Radi.XX

Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.


I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.

Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.


Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:




Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:

http://www.cwsandbox.org/?page=details&id=209405&password=nhghe

Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)


Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.