A feltöltött rosszindulatú programok csak körülbelül 25 százaléka van megosztva a VirusTotal és más multi-szkennerekkel

Krónika

A BleepingComputer biztonsági hírszerkesztője, Catalin Cimpanu által közzétett jelentés szerint a nem disztribúciós szkennerekre feltöltött rosszindulatú program-minták körülbelül 75 százaléka később nem kerül megosztásra multi-szkennerekkel. A VirusTotal, a Jotti rosszindulatú program-vizsgálata és más hasonló webhelyek visszaküldik az információkat a beolvasott fájlokról az infosec laboratóriumoknak, amelyek ezt követően további kutatásokat végeznek a rosszindulatú fertőzésekről.

Ez a fajta adatmegosztás azonban felvethet néhány potenciális vörös zászlót az adatvédelmi kérdésekben. Sokan, különösen azok, akiknek bizalmas dokumentumaik vannak, nem szeretnék megosztani ezeket az információkat a biztonsági társaságokkal. Különösen igaz ez azokra, akik rosszindulatú célokra használják az internetet, mivel nem akarják elárulni, amit a kapcsolataikkal tettek.

Ráadásul a terjesztés nélküli szkennerek semmilyen API-t nem nyújtanak kívülállóknak. Ennek eredményeként a biztonsági kutató laboratóriumok nem profitálnak az ilyen szkennerekre feltöltött fájlokból. Átlagban úgy tűnik, hogy sokkal kevesebb adatot kapnak, mint azt eredetileg hitték.

A Recorded Future, egy amerikai biztonsági társaság kijelenti, hogy ez azt jelenti, hogy a rosszindulatú programok egy része ismeretlen marad azok számára, akik a szkennelő szoftver kódját írják. Számos víruskereső termék képes lesz végül észlelni ezeket a sérülékenységeket ennek ellenére, de ez jelentősen lelassítja az új fertőzések elkapásához szükséges időt.

A biztonsági szakértők megtudhatják, hogy a nagy szereplőkhöz, például a VirusTotalhoz feltöltött kis mennyiségű minták körülbelül 45 százalékát eredetileg egy terjesztés nélküli szkenner látta. Néhányan eljutottak odáig, hogy azt sugallják, hogy a rosszindulatú programok szerzői megtanulják, hogy ne töltsék fel saját munkájuk mintáit a VirusTotal és más hasonló oldalakra, hogy ne kapják meg túl korán.

A rosszindulatú szoftverek fejlesztőinek azonban le kell futtatniuk a saját kódjuk AV-ellenőrzését, hogy megbizonyosodjanak arról, hogy a heurisztikai technológia nem tudja-e azonnal megjelölni. Lehet, hogy mintákat töltenek fel terjesztés nélküli szkennerekbe annak érdekében, hogy elkerüljék a kódrészecskék továbbadását egy laboratóriumba.

Mindazonáltal a törvényes felhasználók körében felvetett adatvédelmi aggályok azt jelenthetik, hogy olyan változások történnek az iparban, amelyek legalább hozzájárulhatnak a hagyományos szkennerekbe feltöltött rosszindulatú programok mennyiségének növeléséhez, miközben csillapítják az ilyen problémákat.