Da una rapida analisi di alcune applicazioni presenti da tempo su Internet e notoriamente catalogate come Rogue Applications (falsi programmi che in realta' contengono spyware o malware) emergono dati abbastanza allarmanti rispetto all'efficacia del software antivirus.
Mi riferisco in particolare ad alcuni softwares, gia' citati in passato dal blog 'Gromozon e i suoi fratelli', su McAfee Site Advisor, ed anche in questo blog che quindi si prestano ad un confronto dei dati ottenuti allora con la situazione attuale.
L' indirizzo IP di queste false applicazioni rimane lo stesso di quello rilevato in precedenza e cioe' siti web hostati su IP USA ( 69.72.144.122 ) mentre per quanto si riferisce ai files dei programmi da scaricare su IP locato in Svezia.
Cerchiamo ora di verificare l'efficacia del software antivirus comparando, per quanto possibile, i dati ottenuti precedentemente con quelli riferiti ad oggi sempre tramite l'uso di Virus Total
Il primo software che esaminato e' DivoPlayer:
Si tratta di un falso video player scaricabile dal sito che vedete nella schermata qui sotto.
Mi riferisco in particolare ad alcuni softwares, gia' citati in passato dal blog 'Gromozon e i suoi fratelli', su McAfee Site Advisor, ed anche in questo blog che quindi si prestano ad un confronto dei dati ottenuti allora con la situazione attuale.
L' indirizzo IP di queste false applicazioni rimane lo stesso di quello rilevato in precedenza e cioe' siti web hostati su IP USA ( 69.72.144.122 ) mentre per quanto si riferisce ai files dei programmi da scaricare su IP locato in Svezia.
Cerchiamo ora di verificare l'efficacia del software antivirus comparando, per quanto possibile, i dati ottenuti precedentemente con quelli riferiti ad oggi sempre tramite l'uso di Virus Total
Il primo software che esaminato e' DivoPlayer:
Si tratta di un falso video player scaricabile dal sito che vedete nella schermata qui sotto.
Se si esaminano i risultati di una scansione ottenuta da un utente Site Advisor il 21/10/07 si puo vedere che una parte di AV riesce a rilevare il pericolo.
Vediamo ora cosa succede attualmente
La scansione dimostra una assenza quasi totale di rilevamento del pericolo.
Spicca ad esempio l'assenza di Kaspersky che , di solito, riusciva a rilevare la minaccia .
Un altro esempio e' il programma che tenta di imitare il piu' noto WinZip e cioe' WinZix
Comparando i dati VT precedenti e attuali notiamo la differenza.Questa la situazione precedente come risposta antivirus:
| ile WinZix-2.2.0.0-setup-0411.exe received on 11.14.2007 15:37:20 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.14.1 | 2007.11.14 | - |
| AntiVir | 7.6.0.34 | 2007.11.14 | DR/FraudTool.WinZix.A.130 |
| Authentium | 4.93.8 | 2007.11.14 | - |
| Avast | 4.7.1074.0 | 2007.11.13 | Win32:Trojan-gen {Other} |
| AVG | 7.5.0.503 | 2007.11.14 | - |
| BitDefender | 7.2 | 2007.11.14 | Application.WinZix.A |
| CAT-QuickHeal | 9.00 | 2007.11.14 | - |
| ClamAV | 0.91.2 | 2007.11.14 | - |
| DrWeb | 4.44.0.09170 | 2007.11.14 | Trojan.Packed.149 |
| eSafe | 7.0.15.0 | 2007.11.13 | - |
| eTrust-Vet | 31.2.5294 | 2007.11.14 | - |
| Ewido | 4.0 | 2007.11.14 | - |
| FileAdvisor | 1 | 2007.11.14 | - |
| Fortinet | 3.11.0.0 | 2007.10.19 | - |
| F-Prot | 4.4.2.54 | 2007.11.14 | - |
| F-Secure | 6.70.13030.0 | 2007.11.14 | Trojan.Win32.Obfuscated.en |
| Ikarus | T3.1.1.12 | 2007.11.14 | Virus.Trojan.Win32.Obfuscated.en |
| Kaspersky | 7.0.0.125 | 2007.11.14 | not-a-virus:FraudTool.Win32.WinZix.b |
| McAfee | 5162 | 2007.11.13 | - |
| Microsoft | 1.3007 | 2007.11.12 | - |
| NOD32v2 | 2658 | 2007.11.14 | - |
| Norman | 5.80.02 | 2007.11.14 | - |
| Panda | 9.0.0.4 | 2007.11.14 | Application/WinZix |
| Prevx1 | V2 | 2007.11.14 | Heuristic: Suspicious Self Modifying File |
| Rising | 20.18.20.00 | 2007.11.14 | - |
| Sophos | 4.23.0 | 2007.11.14 | Mal/Generic-A |
| Sunbelt | 2.2.907.0 | 2007.11.14 | - |
| Symantec | 10 | 2007.11.14 | - |
| TheHacker | 6.2.9.127 | 2007.11.14 | - |
| VBA32 | 3.12.2.4 | 2007.11.11 | - |
| VirusBuster | 4.3.26:9 | 2007.11.13 | - |
| Webwasher-Gateway | 6.0.1 | 2007.11.14 | Trojan.Dropper.FraudTool.WinZix.A.130 |
| Additional information | |||
| File size: 1096241 bytes | |||
| MD5: a0e77a28248e3dcd33399b08bf7fa6c8 | |||
| SHA1: 20bd372cb49756b88d76a24098fd5467468ddf22 | |||
| packers: ZIP | |||
ed anche in questo caso i risultati attuali di una scansione del file exe mostrano una quasi completa assenza del pericolo.
Ultima applicazione esaminata BitGrabber (falso client bitTorrent)
Nell'ottobre 2007 sul suo blog. Maverick, scriveva, verificando l'eseguibile : “il file viene rilevato da kaspersky 7 come Trojan.Win32.Obfuscated.en “Attualmente abbiamo
Praticamente nessun problema rilevato dalla quasi totalita' dei softwares !Sembra quindi che la capacita' di offuscare i contenuti malevoli in files di falsi programmi abbiano raggiunto livelli notevoli in quanto il numero di positivi rilevati e', nei casi visti sopra, veramente molto basso.
Che improvvisamente questi programmi siano diventati privi di pericolo mi pare lo si possa escludere e quindi rimane la constatazione di una efficacia dei software antivirus che si va di giorno in giorno riducendo.
Questo e' anche dovuto in parte alla capacita' da parte dei malintenzionati di modificare continuamente il contenuto malevolo e dipende inoltre dal numero enorme di codici pericolosi che ogni giorno vengono immessi in rete rendendo l'aggiornamento dei prodotti antivirus molto difficoltoso.
Per questo l'orientamento attuale e' anche quello di creare programmi antimalware che si affidino sempre di piu' ad esempio alla ricerca euristica del pericolo per ovviare alla disponibilta' o meno degli aggiornamenti delle firme dei virus in tempo reale.
L'unico fatto che, se pur in minima parte, giustifica questo comportamento dei software antivirus, potrebbe essere la natura stessa dei codici malevoli che stiamo esaminando e che rientrano tutto o in parte in quella categoria di sofware definita Spyware.
I programmi antimalware cioe' tenderebbero a non 'occuparsi' in maniera approfondita della rilevazione dello Spyware che risulta essere rilevato da programmi specifici (cito come esempio AD-AWARE della Lavasoft (di cui esiste una versione FREE) e Spybot - Search & Destroy ).
In ogni caso sembra che l'affidarsi unicamente ad un software antivirus nel tentativo di testare la sicurezza o meno di un programma scaricato da Internet non ci possa piu' assolutamente garantire dell'assenza nel file di contenuti malevoli e questo vale ormai, come abbiamo visto, per tutti i prodotti utilizzati.
Edgar
Nessun commento:
Posta un commento