Retrospective/ProActive test AV-Comparatives MAGGIO 06:OUT

[eraser]

certo, é ovvio quello che dici.

Il 99% é valutato utilizzando i malware piu diffusi. D'altronde, il discorso é lo stesso che si faceva io e te parecchio tempo fa in news Se vuoi trovare il modo di infinocchiare un software antivirus lo trovi (al tempo erano i packer, ora tu dici del comportamento).

Ma, studiato a tavolino, dimmi quali sono le percentuali di virus isolati ogni giorno che radono al suolo la cartella documenti per esempio e quanti sono quelli che invece agiscono secondo certi comportamenti.

Il discorso sempre lí torna. Puoi anche comprimere un file con il runtime packer piu sconosciuto del mondo e patcharlo manualmente, non verrá identificato. Ma questo fa parte dello 0,0003 % della casistica

Quote:

Originariamente inviato da eraser

certo, é ovvio quello che dici.

Il 99% é valutato utilizzando i malware piu diffusi. D'altronde, il discorso é lo stesso che si faceva io e te parecchio tempo fa in news Se vuoi trovare il modo di infinocchiare un software antivirus lo trovi (al tempo erano i packer, ora tu dici del comportamento).

Ma, studiato a tavolino, dimmi quali sono le percentuali di virus isolati ogni giorno che radono al suolo la cartella documenti per esempio e quanti sono quelli che invece agiscono secondo certi comportamenti.

Il discorso sempre lí torna. Puoi anche comprimere un file con il runtime packer piu sconosciuto del mondo e patcharlo manualmente, non verrá identificato. Ma questo fa parte dello 0,0003 % della casistica

Certamente, ma la questione è un po' strana.
Anche ammettendo di aver valutato i malware piu diffusi, mi sembra strano che fatalità il 99% di questi eseguissero esclusivamente azioni intercettate dal PDM. Insomma... probabilmente un malware tenterà di inserirsi in esecuzione automatica per potersi avviare ad ogni startup, magari cambierà la home page di IE, ma dopo essersi avviato un minimo di payload "effettivo" ci dovrà pur essere. E' come se piazzassi una base missilistica... dopo averla piazzata dovrò pur far partire qualche missile. Il PDM ad esempio monitora modifiche ben precise al registro e mi sembra quasi nulla a livello di filesystem quindi il "parco danni" è piuttosto ampio. I creatori di malware impareranno molto presto a non farsi intercettare... ma mentre con un runtime packer "poco noto" o "self made" posso tentare di imbrogliare uno scanner on-demand e pattern-based (minchia quanti anglicismi ), la situazione del PDM è molto più compromettente perchè viene spacciato come qualcosa che dovrebbe prevenire l'attacco di malware non noti, una protezione proattiva appunto... dunque "imbrogliarla" è una beffa nella beffa...

[eraser]

il trend attuale dei malware informatici si é evoluto seguendo una strada che é quella del "fare i soldi".
Cio significa che attualmente quali saranno la maggior parte dei comportamenti?

- autoeseguirsi all'avvio
- iniettarsi all'interno di qualche processo
- usare un driver per nascondersi (rootkit)
- incominciare ad inviare e-mail di nascosto (server smtp, bot per lo spam)
- mettersi in ascolto su qualche porta tcp/udp (backdoor)
- keylogging per furto di password

e cosí via....insomma i comportamenti sono "standard" attualmente e sono quelli che coprono la maggior parte dei malware attualmente esistenti, scritti in questo modo per un motivo preciso. Malware per lo spam, per attacchi DoS, per furti di password...tutti con i relativi comportamenti e possibili modi di agire.

Certo, magari poi arriverá il tempo dei malware scritti per cancellare i documenti (piú che arriverá direi tornerá). In tal caso, se la maggior parte dei malware avrá questo scopo, le tecnologie di adatteranno. Infatti non credete che tecnologie di individuazione proattiva siano finite come un pacchetto pronto. Si devono adattare alle minacce attuali. Non esiste una tecnologia in grado di poter "parare" qualunque malware esistente al mondo attuale passato e futuro.

Diceva tempo fa un ricercatore mio amico e attualmente alla Frisk:

"Se riuscite a creare una tecnologia euristica che non necessiti di continui aggiornamenti e adattamenti al tempo, vengo a lavorare per voi anche gratis" (beh, la frase non era proprio cosí, l'ho riadattata ma il concetto é quello )

Quote:

Originariamente inviato da eraser

il trend attuale dei malware informatici si é evoluto seguendo una strada che é quella del "fare i soldi".
Cio significa che attualmente quali saranno la maggior parte dei comportamenti?

- autoeseguirsi all'avvio
- iniettarsi all'interno di qualche processo
- usare un driver per nascondersi (rootkit)
- incominciare ad inviare e-mail di nascosto (server smtp, bot per lo spam)
- mettersi in ascolto su qualche porta tcp/udp (backdoor)
- keylogging per furto di password

Nel documento che parla del PDM si dice che sono stati disattivati tutti i moduli escluso il PDM... invece ciò che si occupa di gestire le connessioni è il modulo Anti-Hacker. Ora... siccome nello stesso documento si dice che sono state testate delle backdoor, è evidente che il PDM non può aver bloccato il loro tentativo di "mettersi in ascolto" (perchè è compito dell'Anti-Hacker).

Premesso questo... non ti sembra strano che il risultato finale sia stato di 99% del malware intercettato? E' giustificabile soltanto ammettendo che le backdoor non funzionassero da backdoor ti pare?

Insomma... la cosa è abbastanza sospetta.