Rapido post per segnalare ancora una volta quanto possano fare poco gli attuali antivirus contro i malware delle organizzazioni criminali che operano sul web.
Esempio:
hxxp://209.205.196.16/[edit]/chris0233/lu/dm_0233.exe
Questo dialer viene cambiato con molto frequentemente.
Forse ogni volta che viene intercettato da kaspersky AV.
Credo di aver inviato almeno tra i 10 e 15 sample dello stesso virus nell'arco di un mese alla famosa societa' russa.
Denominazione : Trojan.Win32.Radi.XX
Puntualmente il giorno dopo e spesso dopo appena qualche ora dall'aggiornamento della basi virali, Kaspersky mancava l'individuazione della minaccia.
Questo post trova motivazione proprio nel fatto che mi sono un po' scocciato di questa situazione.
I prodotti che basano la loro efficacia essenzialmente sulle firme virali non hanno nessuna possibilita' di svolgere in modo sufficiente il loro compito, ovvero quello di proteggere il pc degli utenti.
Le considerazioni fatte valgono anche per altri software presenti su virustotal non solo per kaspersky. Ne parlo soltanto perche' nonostante gli analisti siano piuttosto veloci nell'aggiornare il DB, i cybercriminali sono altrettanto rapidi nel ricodificare il malware ed eludere così questo tipo di protezioni.
Gli AV che riescono a bloccare questo virus stabilmente tramite l'euristica sono quelli che vedete
qui sotto:
Qui invece trovate l'analisi effettuata attraverso la sandbox di sunbelt:
http://www.cwsandbox.org/?page=details&id=209405&password=nhghe
Ci sono tutte le informazioni del caso (il virus crea il file winupdate.exe nella cartella C:\WINDOWS\ e aggiunge una chiave nel registro per essere eseguito)
Certo, quello che ho scritto non è una novita' ma ribadirlo ogni tanto non fa mai male.
martedì 15 aprile 2008
Iscriviti a:
Commenti sul post (Atom)
2 commenti:
Piu' che euristica direi che gli AV che hai elencato individuano che il file e' compresso con un packer.
Hai perfettamente ragione comunque. Qui in ufficio ho una sandbox che 24 ore su 24 raccoglie malware installato tramite exploit che viene immediatamente inviato ad un simil-Virustotal. Dire che la rilevazione media e' scandalosa e' dire poco (parlo di una media inferiore al 25%).
si hai ragione. Comunque spero che nel nuovo prodotto che state mettendo a punto ci sia la capacita' di individuare tutti i packer in modo da poter segnalare un "potenziale" malware. Anche se l'ulizzo di un packer non implica necessariamente che si tratti di qualcosa di nocivo
Posta un commento