tiistai 6. elokuuta 2013

Virustorjunta yskii

Helsingin Sanomat uutisoi 16.7.2013 Helsingin kaupungin joutuneen maksamaan Tiedolle 100 000 euroa virustartunnan puhdistamisesta. Haittaohjelma levisi satoihin koneisiin, mutta ei ehtinyt "aktivoitua" (miten tämä sitten pitäisikään ymmärtää, kaiketi haittaohjelma aktivoitui ja levisi mutta sen luoma bottiverkko ei alkanut toimia). Koneiden puhdistaminen aiheutti suuret työkustannukset (142,50 euroa/tunti + ilta- ja viikonloppulisät).

Uutisesta kiinnostuneena aloin kokeilla, miten hyvin tunnetut torjuntaohjelmat havaitsevat uusia viruksia. Lähetin seuraavien parin viikon aikana tulleet sähköpostivirukset Virustotal-palveluun, joka tarkistaa ne useilla torjuntaohjelmilla.

Tämä ei ole sama kuin virustorjunta. Tarkistus perustuu sormenjälkiin ja kertoo vain, antaisiko ohjelma hälytyksen epäilyttävästä liitetiedostosta. Vaikka hälytystä ei tulisikaan, oikein toimiva torjuntaohjelma estäisi haitallisen ohjelman käynnistymisen ja näin suojaisi konetta. Mahdollista on sekin, ettei estoa olisi, vaan haittaohjelma pääsisi koneeseen torjunnasta huolimatta. Ilmeisesti Helsingin kaupungin tapauksessa kävi juuri näin.

Virustotalin palvelussa on noin 50 eri torjuntaohjelmaa, joten otin vertailuun vain viisi: Symantec, McAfee, F-Secure, Kaspersky ja ilmainen AVG. Vaikka palvelu on nykyään Googlen omistuksessa, sen vastausaika on pitkä ja palvelu muutenkin epävarmaa. Välillä jokin ohjelma puuttuu listauksesta ja ainakin yhdellä kerralla tunnistetietokantojen päiväykset olivat vanhaa versiota.

Vielä pari varausta: kuten tiedostonimistä voi päätellä, heinä-elokuussa jokin rikollisryhmä on pommittanut sähköposteja aktiivisesti. Tulokset kertovat siitä, miten nopeasti uusien virusten tunnisteet päätyvät eri torjuntaohjelmiin. Jos antaa epäilyttävän liitetiedoston vanhentua pari päivää postilaatikossa, millään yleisesti käytetyllä ohjelmalla ei pitäisi olla vaikeuksia sen löytämisessä. Tätä kokeilin pari vuotta sitten tietoturvakirjaa varten. Kaikki sähköpostin tuomat haittaohjelmat olivat helppoja tunnistaa ilman torjuntaakin, juuri siksi tiesin lähettää ne Virustotaliin, vaikka omassa koneessani ei olekaan mitään torjuntaohjelmaa.

Peruskäyttäjältä ei voi vaatia odottelua tai viruksen tunnistamista omin silmin. Juuri siksi torjuntaohjelmia hankitaankin. Ja kuten kokeilu osoittaa, uusien haittaohjelmien tunnistus jättää paljon toivomisen varaa.

Testien tulokset käänteisessä aikajärjestyksessä:

Complete scanning result of "Booking number 508661223.zip", processed in VirusTotal at 08/06/2013 06:00:01 (CET)

[ file data ]
* name..: Booking number 508661223.zip
* size..: 101844
* md5...: e6cd29a09541213a5f73736fe6aac35b

[ scan result ]
McAfee  5.600.0.1067/20130806   found Ransom-FAC!A50E588E7F47
Symantec        20131.1.0.101/20130806  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130806      found Trojan-PSW.Win32.Tepfer.ouvf
F-Secure        11.0.19100.45/20130806  found nothing
AVG     10.0.0.1190/20130805    found nothing



Complete scanning result of "Transfer 364-050813.zip", processed in VirusTotal at 08/05/2013 21:56:37 (CET)

[ file data ]
* name..: Transfer 364-050813.zip
* size..: 227671
* md5...: 772f73e8aa50a34b6ef52580a6437ad9

[ scan result ]
McAfee  5.600.0.1067/20130805   found RDN/Generic.grp!fo
Symantec        20131.1.0.101/20130805  found Trojan.Zbot
Kaspersky       9.0.0.837/20130805      found nothing
F-Secure        11.0.19100.45/20130805  found nothing
AVG     10.0.0.1190/20130805    found nothing



Complete scanning result of "Your Bill Summary REF.346061894703.zip", processed in VirusTotal at 08/05/2013 14:48:45 (CET)

[ file data ]
* name..: Your Bill Summary REF.346061894703.zip
* size..: 50367
* md5...: c5e150c2410801f2ed095fe7e2533275

[ scan result ]
McAfee  5.600.0.1067/20130805   found nothing
Symantec        20131.1.0.101/20130805  found nothing
Kaspersky       9.0.0.837/20130805      found UDS:DangerousObject.Multi.Generic
F-Secure        11.0.19100.45/20130805  found nothing
AVG     10.0.0.1190/20130805    found FakeAlert



Complete scanning result of "T55488013118169563323.zip", processed in VirusTotal at 08/01/2013 15:26:37 (CET)

[ file data ]
* name..: T55488013118169563323.zip
* size..: 90775
* md5...: cdafa16661d89d31355699f30a516749

[ scan result ]
McAfee  5.600.0.1067/20130801   found nothing
Symantec        20131.1.0.101/20130801  found nothing
Kaspersky       9.0.0.837/20130801      found nothing
F-Secure        11.0.19100.45/20130801  found nothing
AVG     10.0.0.1190/20130801    found FakeAlert



Complete scanning result of "payment receipt 29-07.zip", processed in VirusTotal at 07/31/2013 23:03:15 (CET)

[ file data ]
* name..: payment receipt 29-07.zip
* size..: 235737
* md5...: a8e8baa1b0296b2dcd5753c064469c09

[ scan result ]
McAfee  5.600.0.1067/20130731   found PWSZbot-FAM!7C320BAEE892
Symantec        20131.1.0.101/20130731  found Trojan.Zbot
Kaspersky       9.0.0.837/20130731      found Trojan-Spy.Win32.Zbot.nvrw
F-Secure        11.0.19100.45/20130731  found Trojan.GenericKD.1145416
AVG     10.0.0.1190/20130731    found PSW.Generic11.BDQX



Complete scanning result of "Translink Critical Update.zip", processed in VirusTotal at 07/30/2013 05:28:05 (CET)

[ file data ]
* name..: Translink Critical Update.zip
* size..: 101283
* md5...: 5a10695e45261ae4698920ef9c6da5b8

[ scan result ]
McAfee  5.600.0.1067/20130730   found PWS-Zbot
Symantec        20131.1.0.101/20130730  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130730      found HEUR:Trojan.Win32.Generic
F-Secure        11.0.19100.45/20130730  found nothing
AVG     10.0.0.1190/20130729    found nothing



Complete scanning result of "SecureMessage.zip", processed in VirusTotal at 07/25/2013 06:10:44 (CET)

[ file data ]
* name..: SecureMessage.zip
* size..: 104670
* md5...: c0523d0f69f51965d93c1fa44bcf92a9

[ scan result ]
McAfee  5.400.0.1158/20130725   found BackDoor-FJW!DA366C4CF64C
Symantec        20131.1.0.101/20130725  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130724      found nothing
F-Secure        11.0.19100.45/20130725  found nothing
AVG     10.0.0.1190/20130724    found Crypt_s.CBS



Complete scanning result of "Print.Image-E-ticket.zip", processed in VirusTotal at 07/24/2013 14:57:39 (CET)

[ file data ]
* name..: Print.Image-E-ticket.zip
* size..: 59130
* md5...: 926fee50bc22a50959f0e81aedfc0f56

[ scan result ]
McAfee  5.400.0.1158/20130724   found PWS-FBHE!12B14DC0B121
Symantec        20131.1.0.101/20130724  found nothing
Kaspersky       9.0.0.837/20130724      found nothing
F-Secure        11.0.19100.45/20130724  found nothing
AVG     10.0.0.1190/20130724    found nothing



Complete scanning result of "Advice.zip", processed in VirusTotal at 07/24/2013 07:24:09 (CET)

[ file data ]
* name..: Advice.zip
* size..: 104653
* md5...: 8f715e315eb3100ed7f8fb4388dc8d8c

[ scan result ]
McAfee  5.400.0.1158/20130724   found BackDoor-FJW!675DEDA78877
Symantec        20131.1.0.101/20130724  found Trojan.Zbot
Kaspersky       9.0.0.837/20130724      found Trojan-Spy.Win32.Zbot.nsyz
F-Secure        11.0.19100.45/20130724  found nothing
AVG     10.0.0.1190/20130724    found nothing



Complete scanning result of "A136_Incoming_Money_Transfer_Form.zip", processed in VirusTotal at 07/23/2013 21:25:01 (CET)

[ file data ]
* name..: A136_Incoming_Money_Transfer_Form.zip
* size..: 104706
* md5...: 9bd136876bd8b5796c30f1750983e764

[ scan result ]
McAfee  5.400.0.1158/20130723   found PWS-Zbot-FBAE!3CDA70F6B262
Symantec        20131.1.0.101/20130723  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130723      found UDS:DangerousObject.Multi.Generic
F-Secure        11.0.19100.45/20130723  found nothing
AVG     10.0.0.1190/20130723    found nothing



Complete scanning result of "PaymentAdvice.zip", processed in VirusTotal at 07/23/2013 06:04:19 (CET)

[ file data ]
* name..: PaymentAdvice.zip
* size..: 104626
* md5...: 637f92e8002dc57f4c4d8e9ed08c9cd9

[ scan result ]
McAfee  5.400.0.1158/20130723   found BackDoor-FJW
Symantec        20131.1.0.101/20130723  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130723      found Trojan-PSW.Win32.Tepfer.ojyv
F-Secure        11.0.19100.45/20130723  found nothing
AVG     10.0.0.1190/20130723    found nothing



Complete scanning result of "Complaint_685835591861.zip", processed in VirusTotal at 07/22/2013 22:24:29 (CET)

[ file data ]
* name..: Complaint_685835591861.zip
* size..: 104689
* md5...: df048bfc398f609691dc0492f0420398

[ scan result ]
McAfee  5.400.0.1158/20130722   found Artemis!95B542B1BCBD
Symantec        20131.1.0.101/20130722  found Trojan.Zbot
Kaspersky       9.0.0.837/20130722      found Trojan-Spy.Win32.Zbot.nsnu
F-Secure        11.0.19100.45/20130722  found nothing
AVG     10.0.0.1190/20130722    found nothing



Complete scanning result of "mms_data_21-07-2013_14763120.zip", processed in VirusTotal at 07/22/2013 22:23:50 (CET)

[ file data ]
* name..: mms_data_21-07-2013_14763120.zip
* size..: 20630
* md5...: b9ccc8ba014c145e344050c703fb4a88

[ scan result ]
McAfee  5.400.0.1158/20130710   found Artemis!6AEACB54D57C
Symantec        20131.1.0.101/20130710  found WS.Reputation.1
Kaspersky       9.0.0.837/20130710      found UDS:DangerousObject.Multi.Generic
F-Secure        11.0.19100.45/20130710  found nothing
AVG     10.0.0.1190/20130710    found nothing
(huom. tunnistetietokantojen päiväykset!)


Complete scanning result of "Document.zip", processed in VirusTotal at 07/22/2013 15:47:49 (CET)

[ file data ]
* name..: Document.zip
* size..: 21007
* md5...: 1a273fcd2ffd5bd4ecfb76a6f4c614d6

[ scan result ]
McAfee  5.400.0.1158/20130722   found Trojan-FCSC!6AEACB54D57C
Symantec        20131.1.0.101/20130722  found W32.Spyrat
Kaspersky       9.0.0.837/20130722      found Backdoor.Win32.Androm.afhx
F-Secure        11.0.19100.45/20130722  found nothing
AVG     10.0.0.1190/20130722    found FakeAlert



Complete scanning result of "Electronic Reservation ID_SK1OCSV5.zip", processed in VirusTotal at 07/22/2013 15:32:16 (CET)

[ file data ]
* name..: Electronic Reservation ID_SK1OCSV5.zip
* size..: 21037
* md5...: 1c11a1336ad2ca5cefa9c2573fcbc0b3

[ scan result ]
McAfee  5.400.0.1158/20130722   found Trojan-FCSC!6AEACB54D57C
Symantec        20131.1.0.101/20130722  found W32.Spyrat
Kaspersky       9.0.0.837/20130722      found Backdoor.Win32.Androm.afhx
F-Secure        11.0.19100.45/20130722  found nothing
AVG     10.0.0.1190/20130722    found FakeAlert


Complete scanning result of "Payment Advice [G63222635832].zip", processed in VirusTotal at 07/19/2013 15:33:59 (CET)

[ file data ]
* name..: Payment Advice [G63222635832].zip
* size..: 104487
* md5...: 4639044a6de4cc2e8529267e0b4fad0d

[ scan result ]
McAfee  5.400.0.1158/20130719   found BackDoor-FJW
Symantec        20131.1.0.101/20130719  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130719      found nothing
F-Secure        11.0.19100.45/20130719  found nothing
AVG     10.0.0.1190/20130719    found nothing



Complete scanning result of "Payroll_petteri.zip", processed in VirusTotal at 07/19/2013 08:39:46 (CET)

[ file data ]
* name..: Payroll_petteri.zip
* size..: 104456
* md5...: 424782ff41942ef818ffb0dd94480c31

[ scan result ]
McAfee  5.400.0.1158/20130719   found BackDoor-FJW
Symantec        20131.1.0.101/20130719  found Trojan.Zbot
Kaspersky       9.0.0.837/20130719      found Trojan-PSW.Win32.Tepfer.odij
F-Secure        11.0.19100.45/20130719  found Gen:Variant.Strictor.35035
AVG     10.0.0.1190/20130719    found nothing



Complete scanning result of "PaymentAdvice.zip", processed in VirusTotal at 07/17/2013 07:51:28 (CET)

[ file data ]
* name..: PaymentAdvice.zip
* size..: 104588
* md5...: 50154ccf7e6f507f82ec7927a1f2ce8b

[ scan result ]
McAfee  5.400.0.1158/20130717   found FakeSecTool-FAB!D69BC5FEC7BE
Symantec        20131.1.0.101/20130717  found Suspicious.Cloud.5
Kaspersky       9.0.0.837/20130717      found Trojan-PSW.Win32.Tepfer.nxxn
F-Secure        11.0.19100.45/20130717  found nothing
AVG     10.0.0.1190/20130717    found nothing
Lähettänyt klo
Tunnisteet: ,

7 kommenttia:

  1. Unknown6.8.2013 klo 9.15.00

    Ei yllätä.

    PC-pro testasi joku vuosi sitten samaa ja muistaaksen samantapainen tulos. En äkkiä löytänyt artikkeli Googlaamalla (?)

    Se oli yksi vahva peruste vaihtaa pois Windowsista.

    VastaaPoista
  2. Anonyymi6.8.2013 klo 10.10.00

    Mistä näitä viruksia oikein löytää? Pitääkö olla julkinen sähköpostiosoite, että näitä lähetetellään? Vai oliko jotain muuta kautta hankittuja?

    Otanta voi toki olla harhainen, mutta tässä kaikki näyttivät olleen naamioitu zip-paketeiksi, ellei sitten itse palvelu vaadi niitä zipissä.

    VastaaPoista
  3. Anonyymi6.8.2013 klo 10.32.00

    juurikin näin, virustotalin testissä skannerit eivät ota kantaa suoritettavan koodin käyttäytymiseen joten nykyisten antivirus tuotteiden tärkeimpiä ominaisuuksia ei hyödynnetä. toki virustotal on parempi kun ei mitään.

    VastaaPoista
  4. Anonyymi6.8.2013 klo 10.55.00

    Lähinnä pistää silmään F-securen huono menestys. Taisi olla sama ohjelma Helsingin kaupungilla?

    VastaaPoista
  5. Anonyymi6.8.2013 klo 11.49.00

    Kyllä ne pöpöt pitäisi organisaatiossa löytää ja poistaa jo sähköpostipalvelimen tasolla. Ei yksittäisen PC-käyttäjän vastuulle pitäisi laskea yhtään mitään virusten torjunnassa.

    VastaaPoista
  6. Anonyymi6.8.2013 klo 12.53.00

    Nykyisessä pilvimaailmassa Helsingin kaupungin kaltaisten organisaatioiden sähköpostipalvelimien ei tulisi päästää tiedostoliitteitä enää ollenkaan läpi.

    VastaaPoista
  7. Anonyymi6.8.2013 klo 18.07.00

    Mielenkiintoinen tulos F-Securen osalta joka kuitenkin on testeissä saanut hyviä arvioita. Olisiko niin että Googlen toteutuksessa on jotain huonoutta tai sitten F-Securen menestys perustuu heuristiseen analyysiin fingerprinttien sijasta? Tämä olisi kiva tietää?

    VastaaPoista

Tilaa: Lähetä kommentteja (Atom)