giovedì 15 novembre 2007


Velocissimo post per mettere l'accento su alcuni problemi di aggiornamento delle basi virali del famoso ed efficiente antivirus russo che ho riscontrato in questi giorni. La velocita' di analisi dei malware e il conseguente aggiornamento delle basi virali è da sempre stato un punto di forza di kasperskylab ma ultimamente ho potuto verificare che questa caratteristica sta venendo meno.
Facciamo 2 esempi pratici con 2 nuovi malware:

Il primo é quello che alcuni AV definiscono Trojan: OSX/DNSChanger.AT o OSX/RSPlug.A
ovvero spazzatura per Apple OSX

http://bp1.blogger.com/_CDS_SXPrm3A/Rzy4oe0m5lI/AAAAAAAAARo/DjVmxzpMRD4/s200/zosx.png (http://bp1.blogger.com/_CDS_SXPrm3A/Rzy4oe0m5lI/AAAAAAAAARo/DjVmxzpMRD4/s1600-h/zosx.png)

Ho mandato il file a Kaspersky circa 15 giorni fa e ho ricevuto risposta, 24 ore dopo, che il file era infetto e sarebbe stata inserita la firma nell' aggiornamento successivo.

Stessa cosa per il file che un analista della loro societa' definisce

Trojan-Downloader.Win32.Delf.cyb

Si tratta dell'n-esimo falso codec video targato Inhoster (Ucraina) descritto in questo post
su castlecops.

http://www.castlecops.com/p1022350-Nasty_codec_iedefender.html

http://bp1.blogger.com/_CDS_SXPrm3A/Rzy7Ye0m5mI/AAAAAAAAARw/HH3aLeV7kcQ/s200/zcodec.png (http://bp1.blogger.com/_CDS_SXPrm3A/Rzy7Ye0m5mI/AAAAAAAAARw/HH3aLeV7kcQ/s1600-h/zcodec.png)

Attuamente nessuno dei 2 virus sono rilevati dall'AV cosa che non mi era mai capitata prima dopo che avevo ricevuto mail di conferma.
Non si capisce davvero questo ritardo nell'update delle basi che di solito è fulmineo.
Forse i problemi tra i coniugi kaspersky stanno portando ad un ridimensionamento dell'organico della societa'?
Difficile dirlo.
Aspettiamo i nuovi test per trarre qualche conclusione ma anche l'esperienza personale ha un peso determinante per la scelta di un prodotto.
La cosa che vorrei è che ci fosse finalmente una societa' AV italiana di grande livello
che possa competere con i giganti internazionali, visto che ormai molti paesi europei ne hanno una.
Questo sarebbe utilissimo nel caso in cui ci fossero attacchi mirati verso il nostro paese.
I tempi di reazione sarebbero in quel caso decisamente minori.

In questa pagina ci sono le nazionalita' delle principali societa' antivirus del mondo

http://av-tests.com/index.php?sub=viren&menue=5&lang=0

come potete vedere manca l'Italia


Fonte: maipiugromozon blog by mausap (http://maipiugromozon.blogspot.com/2007/11/kaspersky-antivirus-perde-efficacia.html)

@mausap, un piccolo appunto: se f-secure (che come noto ha l'engine kaspersky) riesce a rilevare questi virus, come mai il kaspersky no? sei sicuro?

@mausap, un piccolo appunto: se f-secure (che come noto ha l'engine kaspersky) riesce a rilevare questi virus, come mai il kaspersky no? sei sicuro?

Assolutamente si! :-)

F-secure integra il motore kaspersky ma non sono lo stesso prodotto.
Proprio questa cosa te lo dimostra.
Io ho kaspersky 7 e ho fatto anche la scansione online sul sito ufficiale per controllare che non ci fosse un problema sul mio pc.


Aggiornamento

Entrambi i virus vengono riconosciuti da kaspersky 7

Che abbiano letto il mio post? :-) scherzo

[...]

Aggiornamento

Entrambi i virus vengono riconosciuti da kaspersky 7

Che abbiano letto il mio post? :-) scherzo

beh... meglio cosi! :D

in effetti anch'io vedo che kaspersky nn è tra i primi a riconoscere i nuovi virus...


Ps: tra una 15ina di giorni escono i test sull'euristica di av-comparatives :D

In effetti qualche tempo fà la softhouse K. era più veloce nell'aggiornamento firme virali.
Anzi senza un motore euristico che poteva competere con quello implementato nei migliori antivirus
concorrenti la velocità era indispensabile per non "perdere la faccia".
Azzardo un ipotesi.
Sarà che hanno "allungato" i tempi dopo aver implementato l'euristica ?

Non si puo estrapolare un dato statitistico in funzione di solo due virus non riconosciuti.

Non si puo estrapolare un dato statitistico in funzione di solo due virus non riconosciuti.

infatti socio, linka la pagina che mi hai fatto vedere per dimostrare che il kasper lab sono molto veloci.

infatti socio, linka la pagina che mi hai fatto vedere per dimostrare che il kasper lab sono molto veloci.

con piacere socio, come da richiesta:
http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

@mausap

ti riferisci a questo?
Kaspersky 7.0.0.125 2007.11.15 not-a-virus:FraudTool.Win32.IeDefender.d

...
http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp...

non lo conoscevo, molto interessante...

con piacere socio, come da richiesta:
http://www.commtouch.com/site/ResearchLab/virusLab/recent_activity.asp

@mausap

ti riferisci a questo?
Kaspersky 7.0.0.125 2007.11.15 not-a-virus:FraudTool.Win32.IeDefender.d


No a questo: Trojan-Downloader.Win32.Delf.cyb

preso qui

NON CI ANDATE

hxxp://newoutserv.com/l/error/id/3912995/(attenzione)

Comunque almeno per me kasperskylab e' meno veloce si un tempo ad inserire le firme di file che i loro analisti hanno gia' riconosciuto come malevoli.

Magari molti sono in malattia :-) Non lo so.

Rimane comunque il mio AV preferito

No a questo: Trojan-Downloader.Win32.Delf.cyb

preso qui

NON CI ANDATE

hxxp://newoutserv.com/l/error/id/3912995/(attenzione)

Comunque almeno per me kasperskylab e' meno veloce si un tempo ad inserire le firme di file che i loro analisti hanno gia' riconosciuto come malevoli.

Magari molti sono in malattia :-) Non lo so.

Rimane comunque il mio AV preferito

adesso mi ci faccio un giro :D

E' il solito inganno del codec Video mancante.
inserisco un immagine innoqua di quello che vi apparirebbe a schermo, usando Opera, se cliccate nel link che ha messo all'attenzione Mausap:

http://img28.picoodle.com/img/img28/5/11/17/t_Trojansm_18dd7a9.png (http://www.picoodle.com/view.php?img=/5/11/17/f_Trojansm_18dd7a9.png&srv=img28)

Linkscanner prende come al solito in questi casi un bel palo:

http://linkscanner.explabs.com/linkscanner/checksite.asp?NS=ChkOnly&SRC=apps.ExpLabs.com&CS=http://newoutserv.com/l/error/id/3912995/

p.s. Riscrivo tutto che è meglio !!

L'inganno si evidenzia dal testo dell'avviso in lingua inglese quando dovrebbe essere in lingua italiana.
Anche da ciò che si può leggere nella finestra javascript che non è presente nell'immagine.
Ed anche dai colori della finestra d'avviso.
Almeno questo con Opera.
Ho provato con FF ed ho notato delle differenze.
Non ho provato con I.E. perchè naturalmente sono adesso sotto Linux.
Mi chiedo se con windows avrei avuto risultati diversi che non ho naturalmente
voglia e tempo di appurare !!

Linkscanner prende come al solito un bel palo

in questo caso secondo me no, LinkScanner non è un AV

in questo caso secondo me no, LinkScanner non è un AV

A me L. non è mai piaciuto.
Se non è in grado di rilevare un sito potenzialmente truffaldino non dovrebbe generare
un messaggio in cui dice che è tutto OK ma dovrebbe generare un messaggio dubitativo.
Comunque la mia è solo un'opinione personale !! ;)

A me L. non è mai piaciuto.
Se non è in grado di rilevare un sito potenzialmente truffaldino non dovrebbe generare
un messaggio in cui dice che è tutto OK ma dovrebbe generare un messaggio dubitativo.
Comunque la mia è solo un'opinione personale !! ;)


Infatti il messaggio è il seguente:
Congratulations! LinkScanner Online did not find any exploits.
comunque sono assolutamente d'accordo sul fatto che un utente poco attento potrebbe male interpretare il segnale verde.

ma gli exploits non sono falsi codec che l'utente scarica volontariamente in seguito ad un inganno. Forse per exploit intendono pagine che sfruttano vulnerabilità,ecc

Forse per exploit intendono pagine che sfruttano vulnerabilità,ecc

esatto

Un utente (almeno io credo sia così) solitamente scarica quasi tutti i codec ed i soft necessari alla visualizzazione di tutto ciò che può reperire in rete direi in fase d'installazione del sistema operativo.

Quindi potenzialmente non dovrebbe cadere nel tranello.

Secondo me, ci cade, perchè in effetti in apparenza non riesce a visualizzare quello che si aspettava di poter visualizzare.

E quindi si chiede ma avrò dimenticato qualcosa ?
E' un dubbio quindi quello sfruttato dai delinquenti.
Nel dubbio quindi acconsente alla richiesta di download tanto si fida dei suoi sistemi difensivi.......
Non credo che sempre sia un utente inesperto,magari è in quel particolare momento disattento.

Chissà,mi chiedo se non sarebbe interessante creare una pagina in cui viene fatto vedere agli utenti l'inganno con i vari browser e poi in contemporanea come apparirebbe un avviso reale di codec mancante.