Video: Malware: Difference Between Computer Viruses, Worms and Trojans (Oktober 2024)
For malware-infiserte virtuelle maskiner som jeg bruker for å teste antivirusprodukter, er det déjà vu hver gang jeg starter en ny test. Jeg ruller tilbake den virtuelle maskinen til nøyaktig samme utgangspunkt for hver test, installerer (eller prøver å installere) antivirus og utfordrer den til å rydde opp. Men noen ganger skjer det noe mer; noen ganger inviterer skadelig programvare venner til å spille.
Dagene med at den ensomme hackeren som skriver virus bare for pokker, er for lengst borte. I dag er det et helt skadelig økosystem, og en blomstrende komponent av det økosystemet innebærer ride-langs, situasjoner der en cyber-skurk betaler en annen for å få en ny trussel mot eksisterende malware. De vi kaller "droppers" har ikke en skadelig nyttelast; de fungerer bare som en fot i døra for annen skadelig programvare.
Hva betyr det for testingen min? Jo lenger et infisert system kommer til å fungere før et nytt antivirus kan installeres og kjøre en skanning, jo større er sjansen for at den eksisterende infestasjonen kan invitere venner til en fest. Å få beskyttelse installert på disse systemene tar noen ganger arbeid med teknisk support. Mens de holder seg opptatt, er også skadelig programvare; skummelt!
Gameover ZeuS
På Malware 2013-konferansen forrige måned presenterte en nederlandsk forskerstudent en veldig detaljert analyse av Gameover ZeuS. I likhet med andre tilfeller av ZeuS Trojan, har dette skadelige nettverket en rekke funksjoner, men tar mest sikte på å stjele sensitiv informasjon som nettbankbevis. Det som er annerledes med Gameover ZeuS, er at i stedet for et sentralisert kommando- og kontrollsystem bruker det et distribuert peer-to-peer-nettverk, noe som gjør det mye vanskeligere å spore og utrydde. Nyheter til meg!
Tenk deg min overraskelse, da jeg nylig fikk en beskjed fra Internett-leverandøren min om at de hadde oppdaget Gameover ZeuS-trafikk fra IP-adressen min. Nei, jeg hentet ikke en infeksjon fra forskeren. Snarere, en av de eksisterende prøvene mine inviterte en helt ny venn til å ta bolig, muligens under et uvanlig dagelangt teknisk supportmaraton som ga det god tid.
For mange år siden, da jeg først begynte å teste antivirus ved å bruke live malware-infiserte virtuelle maskiner, kunne jeg ganske mye stole på at malware-populasjonen til testsystemene mine forblir stabile. Så lenge jeg ikke installerte malware-prøver som aktivt prøver å spre over Internett, kunne jeg unngå å bli en del av problemet. Merknaden fra Internett-leverandøren min var en vekker. Hvis jeg installerer en representativ samling av malware-prøver, er det bare ingen garanti for at en av dem ikke vil endre atferd, eller få inn en farlig følgesvenn.
Game Over Faktisk
Tenkelig kunne jeg endre ISP-er og unngå varsel, men det er ikke en løsning. Jeg kan ikke med god samvittighet fortsette en praksis som kan forårsake skade utenfor de virtuelle maskinene mine. Jeg kan ikke bare kutte av testsystemene fra Internett, siden mange antivirusverktøy krever tilkobling. Og jeg har ikke ressurser til å gjenskape trafikk for skadelig programvare i et lukket miljø, slik de store, uavhengige testlaboratoriene gjør. Jeg må slippe den praktiske testen med live malware.
På plussiden produserer de uavhengige antivirus-testlaboratoriene noen virkelig gode tester i disse dager. Jeg vil definitivt bruke mer av disse resultatene. Jeg skal fortsatt teste spamfiltrering, phishing-beskyttelse, skadelig URL-blokkering - enhver test som ikke innebærer potensielt å frigjøre aktiv skadelig programvare. Og jeg vil fremdeles grave i alle funksjoner i hvert antivirusprogram, og arbeide for å identifisere de beste. Jeg vil bare ikke kjøre noen tester som potensielt kan forårsake problemer i omverdenen.
Ny nulldagstest
I tillegg legger jeg til en ny test for å sjekke hvor godt hvert antivirus håndterer blokkeringsnedlasting av ekstremt nye trusler. De gode menneskene på MRG-Effitas, et britisk sikkerhetsforskningsfirma, har gitt meg tilgang til deres enorme sanntidsstrøm av ondsinnede nettadresser. Ved hjelp av denne feeden kan jeg sjekke hvordan et antivirusprogram håndterer hundre eller så av de aller nyeste ondsinnede filene. Blokkerer det nettadressen? Blokkerer du nedlastingen? Helt glipp av det? Jeg ser frem til å komme denne nye testen i gang.
