Video: Malware: Difference Between Computer Viruses, Worms and Trojans (Oktober 2024)
For de malware-inficerede virtuelle maskiner, som jeg bruger til test af antivirusprodukter, er det déjà vu, hver gang jeg starter en ny test. Jeg ruller den virtuelle maskine tilbage til nøjagtigt det samme startpunkt for hver test, installerer (eller forsøger at installere) antivirussen og udfordrer den til at rydde op. Men nogle gange sker der noget mere; undertiden inviterer malware vennerne over til at spille.
De dage, hvor den ensomme hacker skriver vira bare for pokker, er længe gået. I dag er der et helt malware-økosystem, og en blomstrende komponent i det økosystem involverer ride-langs, situationer, hvor en cyber-skurk betaler en anden for at piggyback en ny trussel mod eksisterende malware. De, vi kalder "droppers", har ikke engang en ondsindet nyttelast; de tjener bare som en fod i døren til anden malware.
Hvad betyder det for min test? Jo længere et inficeret system kommer til at fungere, før en ny antivirus kan installeres fuldt ud og køre en scanning, jo større er chancerne for den eksisterende angreb til at invitere venner til en fest. At få beskyttelse installeret på disse systemer tager undertiden arbejdsdage fra teknisk support. Mens de holder sig travlt, så er malware også; skræmmende!
Gameover ZeuS
På Malware 2013-konferencen i sidste måned præsenterede en hollandsk studerende en meget detaljeret analyse af Gameover ZeuS. Ligesom andre tilfælde af ZeuS Trojan har dette malware-netværk en række forskellige funktioner, men sigter hovedsagelig mod at stjæle følsomme oplysninger som online-bankoplysninger. Hvad der er anderledes ved Gameover ZeuS er, at i stedet for et centraliseret kommando- og kontrolsystem bruger det et distribueret peer-to-peer-netværk, hvilket gør det meget sværere at spore og udrydde. Nyheder til mig!
Forestil mig min overraskelse, da jeg for nylig fik en note fra min internetudbyder, der sagde, at de havde opdaget Gameover ZeuS-trafik, der kom fra min IP-adresse. Nej, jeg fandt ikke en infektion fra forskeren. I stedet inviterede en af mine eksisterende prøver en splinterny ven til at tage ophold, muligvis under et usædvanligt dage langt teknisk supportmaraton, der gav det masser af tid.
For mange år siden, da jeg først begyndte at teste antivirus ved hjælp af levende malware-inficerede virtuelle maskiner, kunne jeg stort set stole på, at malware-populationen i mine testsystemer forbliver stabile. Så længe jeg ikke installerede malware-prøver, der aktivt forsøger at sprede over internettet, kunne jeg undgå at blive en del af problemet. Bemærkningen fra min internetudbyder var et wake-up call. Hvis jeg installerer en repræsentativ samling af malware-prøver, er der bare ingen garanti for, at en af dem ikke ændrer adfærd eller indbringer en farlig ledsager.
Game Over faktisk
Jeg kunne forestille mig, at jeg kunne ændre internetudbydere og undgå varsel, men det er ikke en løsning. Jeg kan ikke i god samvittighed fortsætte en praksis, der kan forårsage skade uden for mine virtuelle maskiner. Jeg kan ikke bare afbryde testsystemerne fra Internettet, da mange antivirusværktøjer kræver en forbindelse. Og jeg har ikke ressourcerne til at replikere malware-trafik i et lukket miljø, som de store, uafhængige testlaboratorier gør. Jeg bliver nødt til at droppe den praktiske test af live malware.
På plussiden producerer de uafhængige antivirus-testlaboratorier nogle rigtig gode tests i disse dage. Jeg vil bestemt bruge mere af disse resultater, bestemt. Jeg tester stadig spamfiltrering, phishing-beskyttelse, ondsindet URL-blokering - enhver test, der ikke involverer potentielt frigivelse af aktiv malware. Og jeg vil stadig grave i alle funktioner i enhver antivirus og arbejde for at identificere de bedste. Jeg kører bare ikke test, der potentielt kan forårsage problemer i omverdenen.
Ny nul-dages test
Derudover tilføjer jeg en ny test for at kontrollere, hvor godt hver antivirus håndterer blokering af download af ekstremt nye trusler. De gode folk hos MRG-Effitas, et britisk sikkerhedsundersøgelsesfirma, har givet mig adgang til deres enorme real-time-feed af ondsindede webadresser. Ved hjælp af dette feed kan jeg kontrollere, hvordan en antivirus håndterer hundrede eller så af de meget nyeste ondsindede filer. Blokerer det URL'en? Blokerer download? Gå helt glip af det? Jeg ser frem til at komme denne nye test i gang.
