Symantec krijgt virusdetectie-patent

Anti-virussoftware producent Symantec heeft een Amerikaans patent gekregen voor zijn heuristische anti-virus technologie. Deze methode kan automatisch nieuwe virussen herkennen op basis van de eigenschappen van bestaande virussen. De heuristische techniek is al geïmplementeerd in de producten van Symantec zelf en is vrijwel op elk platform toe te passen. Met deze techniek kunnen nieuwe virussen bestreden worden voordat ze zich gaan verspreiden:

Traditional antivirus software detects viruses by searching for previously identified fingerprints in files and on disks. In contrast, Symantec's patented heuristic technology identifies new threats by directly examining files for suspicious behavior, without the need for fingerprints. This new system provides a powerful complement to traditional fingerprint-based antivirus software by providing protection against new malicious threats before definitions are available.

Blacksnak gaf ons deze tip.

Lees meer

Reacties (25)

Verwijderd 28 maart 2002 11:22

Met deze techniek kunnen nieuwe virussen bestreden worden voordat ze zich gaan verspreiden

Foute vertaling van:

This new system provides a powerful complement to traditional fingerprint-based antivirus software by providing protection against new malicious threats before definitions are available

Er staat dus dat er beveiliging wordt geboden voordat er een nieuwe virusdefinite in de scan engine wordt gezet. Dat is dus heel wat anders dan dat er beveiliging wordt geboden voordat het virus zich gaat verspreiden.

Auteur

zomertje @Verwijderd • 28 maart 2002 14:12

Dat was ook helemaal geen vertaling van precies die regel. Het is namelijk een vrije vertaling van dit stukje:

"The U.S. Patent and Trademark Office is recognizing Symantec for its cutting-edge technology that can detect and block a high percentage of entirely new virus strains before they have a chance to spread," said Rob Clyde, vice president and chief technical officer at Symantec.

Verwijderd 28 maart 2002 10:46

De kans dat dit tot veel valse herkenningen gaat leiden is wel erg groot. Volgens mij is het veel nuttiger om te scannen op generieke zaken die een virus doet zoals:
Zichzelf kopieren
Zich verstoppen
Dingen beschadigen

arjankoole @Verwijderd • 28 maart 2002 10:48

daarom kun je dat heuristische niveau ook aanpassen. Ik meen me trouwens te herinneren dat ThunderByte AV zoiets destijds ook al had. (is nu Norman geloof ik)

als je 'm op hoog zet, dan gaf ie bij een hoop dingen alarm, precies omdat die code 'vreemde' dingen doet zoals bootsectors aanpassen (format, fdisk of defrag) zich resistent in het geheugen laad (himem)...

edit:
typo's

Martin Sturm @arjankoole • 28 maart 2002 10:53

ThunderByte AV had dat inderdaad.. Het is ook niet echt bepaald 'nieuw' deze 'uitvinding'. Ik vraag me ook af of het zinnig is hier een patent voor te verlenen.. ik ben zowiezo geen voorstander van software patenten.

Wildfire

@Martin Sturm • 28 maart 2002 11:09

Idd, Thunderbyte Anti-Virus had al heuristiek aan boord. Thunderbyte heeft heuristisch scannen zelfs uitgevonden, en dat is alweer lang geleden in het DOS-tijdperk...

Tegenwoordig is het idd Norman Anti-Virus.

DennisBoom @Martin Sturm • 28 maart 2002 10:59

Als ze nu het patent toegekend hebben gekregen, dan zullen ze dat wel een aantal jaar geleden hebben aangevraagd. Er gaat redelijk wat tijd overheen tussen 'een ontdekking' en het toekennen van een patent hierop. Bovendien kun je geen patenten krijgen op zaken die al in producten zitten of die al gepubliseerd zijn (iig in Nederland en de VS).

stappel_ @Martin Sturm • 28 maart 2002 11:06

Het patent komt voort uit IBM AV. IBM had vroeger een antivirus pakket waar ze dit in geprogrammeerd hadden. Symantec heeft toen later alles van IBM in zaken AV overgenomen dus ook de patent aanvraag.

jkf @Martin Sturm • 28 maart 2002 21:50

Je kan patenten krijgen op producten die al gepubliceerd zijn. Mits het nog niet gepubliceerd was op het moment van de filing, het hebben van een NDA tot het moment van filen is al voldoende.

VHware @arjankoole • 28 maart 2002 12:29

Klopt, TBAV (ThunderByte) had ook heuristische scan-engine.

AlterEgo 28 maart 2002 10:43

Leuk voor Symantec.

[van Dale]
heu*ris*?tiek (de ~ (v.))
1 de wetenschap die langs methodische weg tot vondsten of ontdekkingen leert komen

Voor de echte virusbouwers is een heuristische scan-engine natuurlijk alleen maar een extra uitdaging

Ik vraag me af wat de meerwaarde is van heuristiek: een extra gevoel van veiligheid

In ieder geval niet van reeele veiligheid: de virussen die ertussendoor glippen, hebben (per definitie) een andere werking dan bestaande virussen.

Trouwens: ook Kaspersky, E-Trust en ongetwijfeld een hoop andere antivirus-software fabrikanten maken gebriek van scan engines met heuristische scanning.

mvt @AlterEgo • 28 maart 2002 11:20

meerwaarde heuristiek : anti-scriptkiddies.
Door de heuristiek zal hij een nieuw virus, gebaseerd op een bestaand virus herkennen als virus, echter welke het is weet hij niet. Zonder heuristiek herkend hij het helemaal niet

arjankoole @mvt • 28 maart 2002 22:13

Niet alleen anti-scriptkiddie lijkt me, wat dacht je van polymorphische virussen? Die genereren zelf nieuwe variantjes van zichzelf. Aangezien ze altijd een stuk code van het oorspronkelijke virus hebben, zijn ze daar aan te herkennen als zijnde virus-394739.unknown

da's volgens mij waar het meer om ging bij Heuristische scan engines.

jprommen

28 maart 2002 10:44

Vraag me toch af hoe zo een programma dan op spyware reageert en andere programma's met virus achtige eigenschappen.

Maestro.mosjuh @jprommen • 28 maart 2002 11:23

spyware is op geen enkele manier een virus. een virus is

A virus is a program that reproduces its own code by attaching itself to other executable files so that the virus code is executed when the infected executable file is executed.

dus spyware zal je er nooit mee detecteren.
spyware is ook _niet_ schadelijk voor de computer, het verzend alleen prive-informatie naar site's/servers

Verwijderd @Maestro.mosjuh • 29 maart 2002 20:47

spyware is ook _niet_ schadelijk voor de computer, het verzend alleen prive-informatie naar site's/servers

Die stelling is toch niet geheel correct.

Ten eerste veranderd spyware ongevraagd instellingen op je computer en nesteld het zich in bijvoorbeeld IE.

Daarbij komt nog dat bij mij bijvoorbeeld internet bankieren van de ING bank met geen mogelijkheid aan de praat te krijgen was (wazige foutmeldingen, dubbel ingelogged etc.). Na een telefoontje met de helpdesk* kreeg ik te horen dat het waarschijnlijk aan spyware op mijn pc lag en dat ik dat even moest verwijderen met Ad-Aware of iets dergelijks. En laat het nadat ik dat had gedaan ook nog eens weer perfect werken!

Een programma dat ongevraagd bestanden/instellingen op mijn pc wijzigt om informatie te versturen via het internet zie ik dus in zekere zin wel degelijk als een virus.

EDIT:
* Vergeten: vonden ze leuk, om 5 minuten voor sluitingstijd op de extra ingeplande zondag bellen dat je spulletje niet werkt

Jive @Maestro.mosjuh • 28 maart 2002 12:44

Dan vind ik WinWhatWhere anders toch behoorlijk op een virus lijken ....

Maestro.mosjuh @Jive • 28 maart 2002 14:10

en welke eigenschappen van een virus heeft het dan?

Ricochet 28 maart 2002 10:39

Een hele nuttige techniek. Hiermee voorkomen ze dat ze eigenlijk achter de feiten aanlopen en alsnog een update moeten uitbrengen, zoals voorheen het geval was. Netjes gedaan.

[reactie op Mr-Leo]
Het kan zijn dat achtergebleven bestanden van Norton werden aangezien als virussen. Ik heb datzelfde namelijk andersom gehad. McAffee vond niets, Norton wel. De virus library van de een wordt gezien als virussen door de anders. Immers het is een preciese defenitie van de virussen.
[/reactie op Mr-Leo]

roelio 28 maart 2002 12:40

dit soort technieken worden toch al lang gebruikt? ik kan me herinneren dat de heuristiscs opties al jaren in de McAfee en Symantec software zitten.

Verwijderd 29 maart 2002 08:58

Eind jaren 80 zat dit soort technologie al in het (Nederlandse!) ThunderByte Anti-Virus (ook wel bekend onder TBAV).

Was toen al nuttig, omdat het inderdaad heel snel de varianten op bestaande virussen en virus algoritmen boven tafel kon halen.

eborn 28 maart 2002 10:48

Virusbouwers verzinnen gewoon altijd weer iets nieuws. Helaas loop je dan als virusscanner altijd achter de feiten aan. Zo'n heuristische scan is natuurlijk mooi, maar die 'slimme' jongens verzinnen vast wel in het vervolg betere virussen die niet gevonden worden.

Ik denk dat er in de toekomst vooral meer gelet moet gaan worden op het Internet. Het is voor een virus nu niet moeilijk om de hele inhoudt van je machine naar het Internet te sturen. En dat is toch niet echt een fijne gedachte.

PipoDeClown 28 maart 2002 14:45

de enige virusscanner die ik vertrouw is Sophos, die overigens geheel gratis is te downen en eigenlijk direct een virus-identiteit ter beschikking stelt als er een vers en nieuw virus geboren wordt.
tenminste niet van die multimegabytes installaties.

arjankoole @Mr-Leo • 28 maart 2002 10:45

En andersom zul je het net zo goed krijgen hoor.

waarom denk je dat zoveel mensen zo prat gaan op minimaal 2 virusscanners hebben? en sommige zelfs 3 tot 5 verschillende virusscanners gebruiken. En zelfs als je d'r 5 hebt, met allemaal uptodate dat files, dan nog ben je niet 100% veilig.

en: soms denkt een virusscanner wel eens een virus te zien, terwijl het niet zo is.

(erg leuk als je toevallig eens een unix binary neerpoot op je windows bak

)

Op dit item kan niet meer gereageerd worden.

Symantec krijgt virusdetectie-patent

Lees meer

Reacties (25)

Sorteer op:

Weergave: