Derfor stoppes ikke botnett av antivirus

Antivirus-programvare har en stor blindsone som flittig utnyttes, hevder sikkerhetsekspert.

Enorme nettverk av datamaskiner er under kontroll av kyniske personer, som benytter dem til å spre søppelpost. Nettverkene kan også brukes til tjenestenektangrep (DDoS) og andre kriminelle handlinger.

En fersk analyse har kommet opp med en mulig forklaring på hvorfor slike botnet lykkes med å infisere så mange PC-er:

Antivirus-løsningene er nærmest ubrukelige når det gjelder å stoppe binærfilene de benytter for å spre seg.

Ifølge sjefsforsker Stuart Staniford ved sikkerhetsselskapet FireEye avslører kun 40 prosent av sikkerhetsløsningene slike filer de første dagene etter utgivelse.

Det er nettopp den første tiden som er den mest kritiske fasen, fordi koden raskt endres. Bakmennene kjenner trolig til hvor lang tid det tar å fange opp filene, og endrer filene fortløpende.

I et detaljert blogginnlegg forklarer virusbekjemperen hvordan han lastet opp 217 eksempler på botnet-kode, som selskapet hans fortløpende samler inn fra berørte kunder.

Filene analyserte han gjennom den uavhengige nettjenesten VirusTotal.com, som kjører koden gjennom 36 ulike antivirus-løsninger.

Stanifords undersøkelse viser at kun fire av ti antivirus-løsninger maktet å avdekke ondsinnet kode innen tre dager fra de først ble oppdaget på internett. Funnene antyder at mange botnet ville unngått sikkerhetsløsninger på vanlige datamaskiner, hvis de var angrepet i samme periode.

Oppdagelsesgraden blir gradvis bedre over tid, men når aldri 100 prosent, selv ikke måneder etter at filene ble lagt inn i databasen.

En teknikk som virus-skribentene ofte benytter er polymorfi, det vil si at den skadelige koden endres ørelitt, alt for å unngå å bli kjent igjen av sikkerhetsløsningene. Dette gjør det ifølge Staniford enda viktigere å kunne oppdage filene raskt, helst innen en uke.

- Går det lenger, er sjansen stort for at bakmennene har byttet kode, skriver han.

Sjefsforskerens konkluderer med at antivirus fungerer best på eldre skadelig kode. Dersom virusfilene er et par måneder gamle, og fortsatt i bruk, vil rundt 70-80 prosent av løsningene oppdage dem, mener han.

Til toppen