Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

Googles onlinevirusscanner VirusTotal kan nu ook firmware-images op malware controleren. Hiermee speelt het bedrijf in op het feit dat er steeds meer firmware-infecties optreden, die moeilijk te detecteren en te verwijderen zijn.

De dienst kan een aantal functies uitvoeren, waaronder het uitlezen en controleren van certificaten van firmware-images en uitvoerbare bestanden. Ook is het mogelijk om de losse uitvoerbare UEFI-bestanden uit de ingestuurde images te analyseren, waarmee na te gaan is of er een infectie aanwezig is. VirusTotal laat gebruikers verder tabbladen met bestandsgegevens en aanvullende informatie inzien.

Volgens het bedrijf is de nieuwe functie nodig, aangezien firmware-malware niet meer alleen door de NSA zou worden ingezet. Het verwijst daarbij naar de bios-rootkit, die Lenovo in bepaalde laptopmodellen inbouwde, en de uefi-rootkit van Hacking Team. Het bericht van VirusTotal biedt gebruikers ook enkele tips voor het dumpen van de bios naar een bestand dat naar de dienst geüpload kan worden.

Malware die zich in de firmware van apparaten nestelt, is lastig te detecteren en te verwijderen. Zo laadt het bios bijvoorbeeld voor het starten van het besturingssysteem in het geheugen en blijft het intact, ook wanneer een systeem opnieuw wordt geïnstalleerd. Ook scannen de meeste antimalwareproducten volgens VirusTotal niet op biosniveau, waardoor detectie moeilijk is. VirusTotal werd in 2012 door Google gekocht en maakt bij het scannen gebruik van 55 antivirusproducten en 61 scan-engines.

virustotal

Moderatie-faq Wijzig weergave

Reacties (23)

Volgens het bedrijf is de nieuwe functie nodig, aangezien firmware-malware niet meer alleen door de NSA zou worden ingezet.
Dat het alleen door de NSA zou worden ingezet zou geen reden zijn om dit in te voeren? :?

Regeringen vallen, net als activisten en terroristen, onder een zwaardere categorie van bedreigingen dan de simpele malware-verspreider die uit is op geld. Geld is namelijk iets dat je makkelijk kan kwantificeren. Bedreigingen met zelfverrijking als doel zijn af te weren door simpelweg een beveiliging te hebben die ervoor zorgt dat een succesvolle aanval meer kost dan dat het oplevert.

Regeringen werken echter niet vanuit een winstoogmerk en werken vaak ook niet rationeel. Zij kunnen drie, vier, acht of tigmaal een hoeveelheid belastinggeld spenderen aan een succesvolle aanval, waarbij de schade van het slachtoffer minder is dan dat de aanval kostte maar nog steeds desastreus is.

Vanuit een informatiebeveiligingsperspectief zijn regeringen (ook de eigen reging) daarom niet de beste vriend, maar ook partijen waarvoor je risicoanalyses uit zal moeten voeren.

Om terug te komen op het artikel: juist dat de NSA (en andere overheidsinstanties, en andere regeringen) deze werkwijze hanteert zou al een goede reden zijn om de uitbreiding op VirusTotal door te voeren.

[Reactie gewijzigd door The Zep Man op 28 januari 2016 10:46]

Denk dat als je in Amerika een bedrijf als Google hebt en je gaat iets maken puur en alleen om iets wat de NSA doet te stoppen dat je de volgende dag de deuren kan sluiten.
Als eindgebruiker zul je in dat opzicht aan 'layered security' moeten doen:
http://securityzap.com/wp-content/uploads/2015/12/layered-security.jpeg
Virustotaal blijft een mooie online dienst. Maak er vaak gebruik van en toch wel opvallend dat de dienst er nog steeds is. Ik had namelijk verwacht dat Google de stekker er uit zou trekken na de overname.

Heeft bij mij een goede infectie kunnen voorkomen toen ik toch iets niet vertrouwde.
Malware auteurs gebruiken VirusTotal soms ook: om te zien of hun malware voldoende veranderd is om niet gedetecteerd te worden door virusscanners.
En ze gebruiken ook vaak verschillende antimalware producten voor dezelfde reden. Dusja, het is niet echt een argument tegen virustotal.
Is op zich geen ramp:
When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry (normally the companies that participate in VirusTotal receive files containing virus samples that their engines do not detect and are catalogued as malware by at least one other engine). The samples can be analysed by automatic tools and security analysts to detect malicious code and to improve antivirus engines
Tegen de tijd dat je een aanpassing hebt gemaakt die door geen enkele virusscanner herkend wordt zijn je tussenproducten inmiddels geanalyseerd en opgenomen in een nieuwe handtekening.
Ik hecht weinig waarde aan de uitslag van virusscanner op vandaag. Echte malware komt er toch wel door. Mooi artikel van Krebs: http://krebsonsecurity.co...dead-long-live-antivirus/
Klopt, antivirus is inderdaad niet meer de 'eindoplossing' die het ooit was, maar dat wil niet zeggen dat het waardeloos is, zoals Krebs zelf in dat artikel ook aangeeft:
Does this mean antivirus software is completely useless? Not at all. Very often, your antivirus product will detect a new variant as something akin to a threat it has seen in the past. Perhaps the bad guys targeting you or your organization in this case didn’t use a crypting service, or maybe that service wasn’t any good to begin with.

In either case, antivirus remains a useful — if somewhat antiquated and ineffective — approach to security. Security is all about layers, and not depending on any one technology or approach to detect or save you from the latest threats.
het nadeel is dat het ook false positives geeft, dus het is een waarschuwing, maar die moet je soms negeren.
Zo laadt het bios bijvoorbeeld voor het starten van het besturingssysteem in het geheugen en blijft het intact, ook wanneer een systeem opnieuw wordt geļnstalleerd.
Grappig. Ik dacht altijd dat alles van de bios kon worden gehandoffed naar het OS.

Kan mij overigens wel herinneren dat BIOS virussen in 1995-2000 erg populair waren. Fabrikanten hadden soms niet eens door dat er geinfecteerde BIOS-en op hun eigen downloadsite stond.
Dat was met legacy BIOSsen het geval, met EFI blijft een gedeelte memory resident. Ook Intel ME firmware blijft actief wat vanuit een stukje op de BIOS chip word ingeladen.

De BIOS virussen waar jij het over hebt zouden al eerder onmogelijk moeten zijn toen Intel/AMD de no execute/execute disable invoerden. Als ik me niet vergis in '98 al.

En met UEFI zijn we dus weer op datzelfde probleem beland.
Het had handig geweest als het artiekel wist te vermelden om welke platformen het gaat.
Firmware voor een x86 platform is anders dan firmware voor een ARM platform is anders dan firmware voor een muis.
Virustotal is een super functionele website en al jaren eigenlijk mijn manier van virusccanner geworden.
Ik draai op mijn laptop geen virusscanner meer omdat mijn laptop niet zo snel is en een virusscanner altijd voor langere opstarttijden zorgt en de performance negatief beinvloed, ook bij het gebruik van een efficiente virusscanner zoals ESET.
Als ik een exe download van een website die ik niet 100% vertrouw dan upload ik hem eerst naar virustotal. Vooral de comments zijn daar heel handing bij false-positives.
Samen met noscript en ad blockers in de browser en natuurlijk het goed up to date houden van mijn windows 7 moeten er al rare dingen gebeuren voor ik een virus te pakken heb.
Mooi dat het niks kost!

https://www.virustotal.com/nl/

[Reactie gewijzigd door style147 op 28 januari 2016 10:29]

Er bestaan (of bestonden?) er nog wel meer, waarschijnlijk is deze een van de bekendste alternatieven:

https://virusscan.jotti.org/

De andere(n) kan ik zo 1.2.3 niet meer vinden, al te lang geleden.
https://malwr.com is ook een fijne, maakt ook screenshots van gebeurtenissen na het runnen van een bestand.
is idd een gave, gek dat je/ik dat niet tegen komt via google ( online virus scan/analyzer oid )
thx
tja, misschien kost het niets, maar hoe goed is de scanner zelf, en dan niet alleen mbt detecteren maar ook qua gebruik van resources..
het scannen gebeurt online op google's servers, dus over het gebruik van resources hoef je je geen zorgen te maken
Ik gebruik toch liever Anubis om bestanden te analyseren :)
Die kende ik nog niet, je moet alleen veel geduld hebben zo lijkt:
Time Remaining: 6 hours, 0 minutes and 0 seconds (44 jobs in queue)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True