Relatórios apontam que anti-vírus estão cada vez mais fracos

[lukazjau]

Um relatório a ser divulgado no próximo mês pela revista alemã c't diz que a precisão dos programas antivírus está diminuindo. Particularmente quando se trata de detectar ataques novos e não familiares, os 17 pacores testados baixaram sua efetividade média em aproximadamente 50% em 2007.

No estudo a revista c't disparou mais de um milhão de vírus conhecidos dos seis meses anteriores. Avira Antivir e Gdata Antivirus 2008 encabeçaram a lista ao identificar mais de 99% destes vírus pelas suas assinaturas, e Avast, AVG Anti Malware e BitDefender também obtiveram "resultados muito bons".

Contudo, muitos desses pacotes deixaram a peteca cair em uma área cada vez mais considerada muito importante: detectar e evitar novos e desconhecidos vírus e malwares. No começo de 2007, os pacotes tiveram uma acurácia média de 40% a 50%. Nos testes mais recentes da c't, no fim do ano, a média caiu para 20% a 30%. Mas pelo ponto de vista otimista, os antivírus NOD32 e BitDefender estão no topo da nova lista, com eficiência de 68% e 41%, respectivamente.

As duas causas relatadas para essa queda na eficiência é a crescente profissionalização dos autores de vírus, bem como os métodos mais sofisticados que esses programadores estão usando para escapar dos antivírus.

Two reported sources for this decline in accuracy are the increasing professionalization of virus writers, as well as more sophisticated methods these writers are using to evade virus software. De acordo com notas do site Channel Register, serviços online que permitem aos usuários enviar arquivos para análise através de 32 programas antivírus podem estar causando mais danos do que benefícios. Os autores de vírus utilizam estes serviços para testar "os poderes" de suas criações, e alguns serviços, como o AvCheck.ru, prometem não enviar os arquivos escaneados para os fabricantes de antivírus, ajudando a manter a potência temporária dos vírus.

Tudo isso dito, muitos detalhes do relatório da c't ainda precisam ser revelados, incluindo a listagem completa dos programas testados e as várias metodologias usadas nos testes.

Embora ainda vá demorar algumas semanas para que o relatório completo seja divulgado, o site Heise Security dispõe de um resumo.

Retirado de Fórum Invaders

 

[lukazjau]

Ou seja, computadores cada vez mais vulneráveis à Cracker e outros invasores!!
Esse mundo ta perdido mesmo, e quem sofre são os usuários comuns.

 

[Glaunir]

Ser hacker é uma profissão hoje em dia. Cada vez mais vemos crimes sendo cometidos por pessoas que se utilizam de práticas ilegais na rede para invadirem contas bancárias, espionagem e etc. O risco de se conectar à internet é cada vez maior, de forma que é importante combater os hackers como se fossem criminosos potencialmente perigosos. Um exemplo do que estou falando aconteceu no ano passando: o presidente da Rússia atacou todo o sistema da Internet de uma ex-colônia da URSS, porque já não era mais pertencente ao sistema de integração deste antigo Estado.

 

[Cildraemoth]

Não me surpreende, pois os anti-vírus ainda se focam muito em vírus propriamente ditos, aqueles que se anexam a arquivos e se espalham pelo disco, mas que geralmente não trazem nenhum benefício nem mesmo ao autor, mas apenas incômodo a quem é infectado. Esses vírus estão essencialmente em extinção, atualmente o que se vê hoje são programas para capturar senhas ou outros dados, mas que não seguem a linha de infectar arquivos, apenas se instalam e ficam escondidos. E os anti-vírus em geral não costumam detectar esse tipo de ameaça.

 

[lukazjau]

O que acontece é que os hackers e principalmente crackers estão desenvolvendo novos métodos de criar vírus mais rápidamente do que se desenvolvem os Anti-vírus, e também está aumentando o número de hackers no mundo o que complica mais ainda as desenvolvedores de anti-vírus, pois muitos tipos de vírus estão sendo criados, com uma diversificação de comandos e meios de se tornarem indetectáveis tão grande que os AVs não dão conta de detectar tudo!!

 

[Omykron]

okay, por essas duas argumentações estou me borrando de medo dos hackers dominarem o planeta.

é, hm, não.

O Cildraemoth falou bem como atuam os virus de hoje. São verdadeiros espiões. Não armas de destruição de computadores. E até os fabricantes de AV adaptarem seus produtos para esse molde, os virus vão continuar um passo a frente.

 

[Glaunir]

O problema é que os criadores de vírus têm grande conhecimento dos anti-vírus, por terem que vencer os obstáculos que tais apresentam. Já os AV não têm que desenvolver este trabalho todo, porque diversos vírus surgem muito mais rapidamente do que programas de combate.

 

[Úvatar]

Vale incluir nos problemas de segurança, o retorno dos vírus de boot (?!).

Da transcrição do episódio 127 do podcast Security Now (audio, texto, arquivo).

Spoiler

LEO: But before we do that, is there any news in the security...

STEVE: Oh, there was a bunch of stuff this week that was really sort of interesting and fun. Last week we talked about, you may remember, Master Boot Record, that is to say, MBR rootkits. Okay? Last week they were theory. This week they are in the wild.

LEO: Wow, that was fast.

STEVE: It turns out that there are four vulnerabilities which are known and have been patched. Microsoft has a JVM, a Java Virtual Machine byte-verify vulnerability; a problem with MDAP, which is one of their database APIs; a different problem with Internet Explorer's Vector Markup Language, the VML vulnerability; and a problem with XML core services. Those four different problems are being used to install, currently install, a new set of Master Boot Record rootkits. These have been found in the wild. So when someone visits a hostile web page - and we talked about before, this is sort of pretty much the typical way bad stuff now gets in your machine is that one way or another you are tricked into going somewhere bad. And a known vulnerability, hopefully a known vulnerability, which hopefully you've patched, will try to do something bad to you.

Again, if you're current, and if Microsoft knows about this - or I don't mean to just blame Microsoft. I mean, there are in fact, for example, there's now proof-of-concept code out for a new QuickTime remote code execution vulnerability that affects both Mac and Windows. Now, of course, it would have to be different code in order to run in a Mac than would run in Windows. So the same exploit of that vulnerability could not be used across both platforms. But both of them are vulnerable because they both are using QuickTime. And this was something that came out with zero day, so Apple wasn't even aware that this existed when this thing first showed up. So this is typically what's happening.

The really scary thing is, being a rootkit, this thing gets control of and patches the OS before it loads. That is, in this case it is a Windows-only MBR rootkit. And it makes itself undetectable by antivirus software. So it's a rootkit in the pure sense of getting in and modifying the kernel prior to loading in order to protect itself.

LEO: Now, the anti-rootkit programs like RootkitRevealer from Mark Russinovich, BlackLight from Frisk, those would work against something like this; right?

STEVE: I don't know at this point. This is so new that not much research has been done. I haven't seen this myself, and I haven't read much about it except that these things are now in the wild. And what's sort of interesting, too, is that this is what we faced 15 years ago with the very first viruses. I mean, when people were using so-called "sneakernet" to - by mistake you'd get floppies that would be infected, and you'd stick a floppy in someone's computer. And when you accessed it, it would install itself over on that machine's hard drive. I mean, this is - we've seen in the old days Master Boot Record viruses that sort of were all in fashion for a while, then went away. And as security has tightened up everywhere else, this is one little hole that has never been patched in our newer machines. And so it's been sort of rediscovered as, hey, look, we can still infect the MBR, and that'll give us control before the OS boots. And using state-of-the-art techniques now to analyze code, it's much easier to patch someone on the fly and modify the kernel as it comes up.

LEO: Right. A traditional rootkit would get run at some point during boot-up, just not so early.

STEVE: Exactly. Normally, if, for example, it installs itself as a device driver, a boot-time device driver, which the OS would unwittingly load, and then being in the kernel as device drivers are, gives that thing a lot of control. They would then go about patching the kernel in order to obscure its own presence.

LEO: So by loading in the Master Boot Record, what is the advantage?

STEVE: Well, the advantage is that literally nothing is running. That is, the way...

LEO: No security software, nothing.

STEVE: Well, literally yes, nothing.

LEO: Not even Windows.

STEVE: That first sector is loaded into raw memory. And in fact the system is not even in protected mode. It's in real mode, which is the way this code runs. So there aren't even protection services available from the chipset at that point. I mean, it is literally - the BIOS has run at that point. But then the system's in real mode. That one sector, that 512 bytes, is copied into a location in low memory. Then that sector is jumped into, that is, that chunk of memory is jumped into and executed. That normally then goes about finding the beginning sectors of the bootable partition, which it then loads into memory and then runs. In this case, it loads more of itself, that is, more of the first track of the hard drive where this thing lives in order to get conscious enough to do the kind of damage that it needs to. It then goes out and patches, on the fly patches the operating system, which then boots, although it's already been infected.

Mas, na real, os maiores contribuidores para a disseminação de vírus são os usuários. Talvez a próxima geração a usar a internet - aqueles já nativos - serão mais destros para se safar dessas ameaças.

 

[Cildraemoth]

Não li o podcast inteiro, dei só uma olhada, mas me pareceu mais algo relacionado aos vírus tradicionais. Mas é muito trabalho para fazer um keylogger, é mais fácil fazer um programa que apenas se esconda na lista de tarefas, chamado FotosDaJulianaPaesPelada.jpg.exe que se espalha através de um e-mail com o mesmo subject, e se valer do fato que os usuários não têm capacidade de ler o aviso que o Windows dá perguntando se a pessoa realmente deseja executar um programa quando supostamente seria só o caso de ver fotos.

 

[wsnjr]

Bom era de se esperar algo do tipo, afinal o material pra aprender a ser Hacker hoje é bem mais abundante, a um tempo atrás eu achei uns 2 livros sobre o assunto à venda na livraria aqui da cidade, e se for falar dos tutoriais do tipo que tem pela net é coisa de louco, acho que vou entrar nessa

 

[Izze.]

O jeito é se unir aos Hackers pra não se dar tã mal. xD

Mas que isso sirva para as empresas fazerem anti-vírus melhores, pq se não ta funcionando do jeito que devia, muitos vão abrir mão desse recurso. É bom que elas comecem a se mexer...

 

[lukazjau]

hehehe, eu já tinha pensado nisso e quase que segui o que você falou, eu já estava até começando a estudar sobre esses materiais hacker, mas descidi deixar para lá. O melhor é esperar que as empresas que desenvolvem anti-vírus comecem a se desempenhar mais para estar um passo a frente dos hackers e nos garantirem mais segurança virtual.

 

[Cildraemoth]

hehehe, eu já tinha pensado nisso e quase que segui o que você falou, eu já estava até começando a estudar sobre esses materiais hacker, mas descidi deixar para lá. O melhor é esperar que as empresas que desenvolvem anti-vírus comecem a se desempenhar mais para estar um passo a frente dos hackers e nos garantirem mais segurança virtual.

A responsabilidade não é das empresas, é das pessoas. E mesmo que fosse, um anti-todo-tipo-de-malware pode ajudar, mas ele nunca vai conseguir estar à frente dos malwares, pois o anti-vírus só pode interceptar os malwares depois que eles surgem, então por mais atualizado que seja, sempre vai ter uma janela de algumas horas a alguns dias em que o anti-malware-em-geral não está pronto para aquela ameaça.

Existem sim progrmas que se usam de vulnerabilidades no sistema operacional ou em aplicativos, mas a maioria das ameaças a usuários comuns de desktop, como os programas de capturar senhas e similares, usam vulnerabilidades nas pessoas, então um pouco de bom senso e desconfiômetro na hora de clicar em links em mensagens ajuda muito na prevenção.