Video: Malware: Difference Between Computer Viruses, Worms and Trojans (September 2024)
För de skadliga virtuella maskiner som jag använder för att testa antivirusprodukter är det déjà vu varje gång jag startar ett nytt test. Jag rullar tillbaka den virtuella maskinen till exakt samma startpunkt för varje test, installerar sedan (eller försöker installera) antiviruset och utmanar det att rensa upp. Men ibland händer något mer; ibland inbjuder skadlig programvara vänner att spela.
Dagarna för att den ensamma hackaren skriver virus bara för att få det till är länge borta. Idag finns det ett helt ekosystem för skadlig programvara, och en blomstrande komponent i det ekosystemet innebär åkningsvägar, situationer där en cyber-skurk betalar en annan för att få tillbaka ett nytt hot mot befintlig skadlig programvara. De som vi kallar "droppare" har inte ens en skadlig nyttolast; de fungerar bara som en fot i dörren för annan skadlig programvara.
Vad betyder det för min testning? Ju längre tid ett infekterat system kommer att fungera innan ett nytt antivirusprogram kan installeras fullt ut och köra en skanning, desto större chanser finns det för det befintliga angreppet att bjuda in vänner till en fest. Att få skydd installerat på dessa system tar ibland dagar av arbete av teknisk support. Medan de håller sig upptagna, så är skadlig programvara också; skrämmande!
Gameover ZeuS
Vid Malware 2013-konferensen förra månaden presenterade en holländsk forskarstudent en mycket detaljerad analys av Gameover ZeuS. Liksom andra instanser av ZeuS Trojan har detta skadliga nätverk en mängd olika funktioner men syftar mestadels till att stjäla känslig information som referenser till onlinebanker. Vad som är annorlunda med Gameover ZeuS är att istället för ett centraliserat kommando- och kontrollsystem använder det ett distribuerat peer-to-peer-nätverk, vilket gör det mycket svårare att spåra och utrota. Nyheter till mig!
Föreställ mig min överraskning, då jag nyligen fick en meddelande från min ISP som säger att de hade upptäckt Gameover ZeuS-trafik från min IP-adress. Nej, jag fick inte en infektion från forskaren. Snarare inbjöd ett av mina existerande prover en helt ny vän att bo på, möjligen under ett ovanligt dagslångt tekniskt supportmaraton som gav det gott om tid.
För många år sedan, när jag först började testa antivirus med live malware-infekterade virtuella maskiner, kunde jag ganska mycket räkna med att skadepopulationen i mina testsystem förblir stabila. Så länge jag inte installerade skadliga prover som aktivt försöker sprida över Internet, kunde jag undvika att bli en del av problemet. Anteckningen från min internetleverantör var ett väckarklocka. Om jag installerar en representativ samling av malware-prover, finns det bara ingen garanti för att en av dem inte kommer att ändra beteende eller få in en farlig följeslagare.
Game Over Faktiskt
Tänkbart kunde jag ändra internetleverantörer och undvika meddelande, men det är ingen lösning. Jag kan inte med gott samvete fortsätta en praxis som kan orsaka skada utanför mina virtuella maskiner. Jag kan inte bara stänga av testsystemen från Internet, eftersom många antivirusverktyg kräver en anslutning. Och jag har inte resurser för att replikera skadlig trafik i en stängd miljö, som de stora, oberoende testlaboratorierna gör. Jag måste tappa den praktiska testen med live-skadlig programvara.
På den positiva sidan, de oberoende antivirus testlaborna producerar några riktigt bra tester i dag. Jag kommer definitivt att använda dessa resultat mer. Jag testar fortfarande skräppostfiltrering, phishing-skydd, skadlig URL-blockering - alla test som inte involverar potentiellt släpp av aktiv skadlig programvara. Och jag ska fortfarande gräva in alla funktioner i alla antivirusprogram och arbeta för att identifiera de bästa. Jag kommer bara inte att utföra några tester som potentiellt kan orsaka problem i omvärlden.
Nytt nolldagstest
Dessutom lägger jag till ett nytt test för att kontrollera hur bra antivirusprogram hanterar blockering av nedladdning av extremt nya hot. De goda människorna på MRG-Effitas, ett brittiskt säkerhetsforskningsföretag, har gett mig tillgång till deras enorma realtidsflöde av skadliga webbadresser. Med hjälp av det här flödet kan jag kontrollera hur ett antivirusprogram hanterar hundra eller så av de allra senaste skadliga filerna. Blockerar det webbadressen? Blockera nedladdningen? Saknar det helt? Jag ser fram emot att komma igång med detta nya test.
