domenica 3 febbraio 2008

Problemi su Virus Total ?

Quasi per caso ho voluto eseguire un test sul file malware withlove.exe hostato da siti storm worm il 3 febbraio usando anche il sito VirSCAN.org.
Si tratta di un sito che allo stesso modo di Virus Total permette di analizzare un file attraverso l'uso di diversi software antivirus.
Nel caso di VirSCAN.org abbiamo una scansione multipla del file con 35 diversi softwares.
Purtroppo dall'elenco VirSCAN mancano pero' alcuni dei software piu' utilizzati ad esempio NOD32, e Microsoft.

Una volta confrontati i dati delle 2 scansioni eseguite da Virus Total e VirSCAN le sorprese pero' non sono mancate.

Intanto i valori MD5 e SHA1 restituiti sia da VT che da VirSCAN risultano uguali e questo ci garantisce che il file inviato sia lo stesso per i due siti di ricerca malware:

Con Virscan


e questo il valore letto con Virus Total


ed ora la sorpresa.

Il noto software PREVX (versione identica per i due siti e precisamente la V2 20080203 ) mentre con Virus Total risulta non rilevare il pericolo

con VirSCAN rileva il malware come

Considerato che abbiamo utilizzato versioni di PREVX uguali (almeno da quello che si legge sui report) ed identico file withlove.exe (stessi MD5 e SHA1) sottoposto a scansione il risultato lascia alquanto perplessi.

Una delle ipotesi, relativamente a questa diversita' di risultati tra VT e VirSCAN, potrebbe essere la differente modalita di ambiente utilizzato per eseguire Prevx. (esempio diverso SO: XP, VISTA .... ecc). quando vengono testati i files inviati alla ricerca del malware.

In ogni caso, questo comportamento, crea qualche dubbio, al riguardo dell'affidabilita' delle scansioni online e dei risultati che ci vengono restituiti da VT.

Edgar

4 commenti:

lucass ha detto...

Ciao,
prevx installato su un normale pc rileva questo files?
probabilmente, sono le impostazione ad essere diverse e un pò + "spinte" ma da qui avere dubbi sull' affidabilità del servizio ce ne passa poi, almeno io, non uso cose che ritengo poco affidabile oltre al fatto che si sta parlando di 2 servizi gratuiti!

Ciao

Edgar Bangkok ha detto...

Il fatto e' che, se dai una occhiata in rete, virus total e' usato dal 99% dei siti che analizzano pagine con malware e viene considerato, erroneamente, da molti come un test sull'affidabilita' del software antivirus ...
Secondo me vedendo prevx che non rileva il malware quando invece sembra che lo possa fare ...( forse impostazioni spinte, forse altro ... ) qualcuno si fara' l'idea che Prevx su certi tipi di codici non funzioni.

saluti
Edgar

lucass ha detto...

Ciao,
questa cosa che hai notato tu, l'avevo notata anche io un pò di tempo fà ma, stranamente, quei samples che Prevx mancava su VT erano riconosciuti su VirScan sempre con lo stesso nome(TROJAN.DOWNLOADER.GEN) come ti ho detto nel commento precedente, devi(se vuoi) vedere se quel sample è rilevato da prevx installato su un normale pc.

Ciao

Edgar Bangkok ha detto...

Volevo provare nel pc virtuale, onde evitare casini, ma prevx2 non si installa su macchina virtuale, con Prevx CSI, che funzione anche in pc virtuale, invece non viene trovato il malware.
Devo anche dire che adesso ripensando al problema prevx su VT mi e' successo due o tre volte che quando facevo una scansione online su VT Prevx non appariva nel report... e avevo adirittura pensato che non venisse piu' utilizzato da VT per creare i reports.

ciao