HP komt met virusvertragende middelen

HP heeft aangekondigd dat het vanaf volgend jaar software zal verkopen die erop gericht is de verspreiding van virussen te vertragen. In eerste instantie zal de software geschikt zijn voor ProLiant- en ProCurve-servers, maar later zou er ook een versie voor desktops gelanceerd worden. De software baseert zich onder andere op de activiteit van een proces om te bepalen of het om een virus of om een betrouwbaar serverproces gaat. Een virus of worm heeft namelijk de neiging eenzelfde connectie veel frequenter te proberen te maken dan een legitiem proces.

4px; height:65px; float: right; margin: 5px 0px 0px 10px;" title="HP Logo" alt="HP Logo">Hoe sneller malware zich probeert te verspreiden, hoe eerder het zal opvallen, aldus Tony Redmond, technologiedirecteur bij HP. Zo infecteerde Slammer maar liefst 79.000 systemen in 31 minuten. Zodra de software merkt dat een applicatie viruskenmerken vertoont, wordt het programma vertraagd zonder andere processen te beïnvloeden.

Lees meer

Reacties (60)

dawuss 1 december 2004 10:00

Tsja, ze noemen dit nu "virusvertragend", maar eigenlijk is het maar een wilde gok in de ruimte. Niemand kan vantevoren weten of een proces een virus is, omdat het zich nooit als zodanig zal voordoen.
Daarbij komt nog dat het helemaal niet ondenkbaar is dat je juist zelf een applicatie hebt die herhaaldelijk en snel moet kunnen connecten. In zo'n geval zit je er echt niet op te wachten dat dat wordt vertraagd.
Ik ben benieuwd of we hier ooit nog wat van zullen horen.

gammuts @dawuss • 1 december 2004 10:06

Once the software detects a process with viruslike characteristics, it slows that procedure down, without affecting regular processes. "Eventually it chokes it off," Redmond said.

Dus in beginsel wordt het trager gemaakt, als in: het virus kan zijn werk nog wel voortzetten.

Wat is nu het verschil met een "gewone" virusscanner dan?

(offtopic)
* 786562 gammuts
Edit:
(still offtopic)
@biertjuh: Bron was wellicht slecht gekozen. Wellicht was "wortel" beter geweest. Onkruid (viri) groeit niet op baksteen, hoogstens aan de randen. Vervang de aarde door baksteen en viri (of eigenlijk virussen dus) hebben vrijwel geen kans meer.

ACM Software Architect @gammuts • 1 december 2004 10:08

't Probleem is natuurlijk dat iets ook best GEEN virus kan zijn en toch zulk gedrag kan vertonen. Dan is het wat vervelend als het domweg afgesloten wordt.

Wel zou het handig zijn als de beheerder/eigenaar een melding krijgt voor dat gedrag en een uitzondering kan definieren voor dat specifieke proces.

Verwijderd @ACM • 1 december 2004 11:20

Beste snelle lezers,

Het programma of process wordt helemaal nniet afgesloten maar "VERTRAAGD" !

Zodra de software merkt dat een applicatie viruskenmerken vertoont, wordt het programma vertraagd zonder andere processen te beïnvloeden.

Zelfs als het detectie programma een verkeerd process vertraagd zullen de admins dit wel snel merken en die een whitelist kunnen zetten.

jcvw @ACM • 1 december 2004 10:23

Sterker nog, het is bewijsbaar dat het voor een detectieprogramma per definitie niet vast te stellen is of een ander programma een virus is ja of nee (via reductie tot het Turing halting probleem). Met andere woorden: je kunt nooit zeker weten of het Ja/Nee van dat detectieprogramma terecht is, en je zult altijd blijven zitten met false positives (ten onrechte als virus bestempeld) en false negatives (ten onrechte als non-virus bestempeld).

Conclusie: Je wilt niet dat als een detectieprogramma virusachtig gedrag denkt te zien, dat het betreffende programma wordt afgesloten, want je bent niet zeker van je zaak. Je zou koosjere programma's ten onrechte vertragen en zo onbruikbaar maken.
Keerzijde: virusschrijvers zullen steeds weer proberen false negatives uit te lokken.

miw @ACM • 1 december 2004 10:37

Als het theoretisch zo moeilijk is, hoe kunnen viri dan opgespoord worden?
Bijvoorbeeld doordat iemand opmerkt dat er iets vreemds aan de hand is op een computer (aan de hand van log-bestanden, CPU gebruik, rare processen, vreemd netwerk verkeer, etc.)
Deze anomalie detectie kan je automatiseren: een progje kan naar dit soort informatie kijken en daar een soort profiel van maken. Als er iets ongebruikelijks gebeurt krijgt je beheerder een seintje. Iets soortgelijks doe je bij intrusion detectie. Kan dus best gaan werken.

ritsjoena @ACM • 1 december 2004 11:39

GEEN virus kan zijn en toch zulk gedrag kan vertonen.

Daar kun je een kleine database voor aanleggen in dit programma. Hierin kun je toegestane programma's plaatsten. Bij eerste detectie kun je dan klikken om het programma in deze database op te nemen.

Dat is dezelfde techniek als firewalls gebruiken voor internetverbindingen. Ik neem aan dat ze dat inbouwen.

edit: goedemorgen nederlands

Verwijderd @ACM • 2 december 2004 16:45

Behalve dat het vertraagt word zoals Truster hierboven ook al zegt lijkt het mij ook dat er niet vaak veel software op de server wisselt, een goed softwareprogramma word in het begin er op gezet en zodra het opgemerkt word als virus dan zal de admin hem op de whitelist zetten. daarna gebeurd er niets meer behalve als er een nieuw proces bij komt. dit gebeurt normaal gesproken niet dagelijks

RwD @gammuts • 1 december 2004 10:32

Als dit bekend is gaan virussen toch gewoon op een andere manier te werk???

offtopic:
Virussen is het meervoud van virus, jij bent vast zo'n "euri" Gamma figuur.

MossMan @RwD • 1 december 2004 11:51

Maar de "gedrags"-kenmerken waar ze het over hebben (in tegenstelling tot specifieke eigenschappen die door scanners gespot worden) zijn toch juist dingen die en bijna alleen maar virussen zullen vertonen en (sterker nog) ze zijn min of meer de essentie van wanneer iets zich een virus mag noemen!

Als je dus een virus herschrijft om minder snel verbindingen te maken en/of minder verbindingen zowieso proberen te maken dan zal hij zichzelf een stuk minder goed verspreiden... wat toch het doel in het leven van een virus is.

Als het zichzelf niet snel genoeg en/of verspreid genoeg kan repliceren zou een virus alleen kunnen overleven / voortplanten door hele slimme, maar toch ogenschijnlijk ongevaarlijke strategieen te gebruiken.

Ik denk aan bijvoorbeeld heel af en toe een uitgezocht en doelgerichte kopie naar een andere machine te sturen. Als dit gedurende een paar weken of maanden gebeurt, dan zou je bijvoorbeeld alle besmette machines kunnen "activeren" op een gecoordineerde datum om schade aan te richten, je boodschap over te brengen of wat dan ook.

Maar dan moet de schrijver ontzettend slim bezig zijn om dit proces zo onopvallend mogelijk te laten verlopen, want zodra een anti-virus instantie er achter komt is de pret voorbij.

Dus om het kort te houden: snel, massale verspreiding is toch een bijna onvermijdelijke kenmerk van een virus.

Verwijderd @RwD • 1 december 2004 10:54

als hij latinist was dan heeft hij niet goed opgelet:
viri is het meervoud van man (viriel enzo).
http://www.linuxmafia.com/~rick/faq/plural-of-virus.html

RwD @RwD • 1 december 2004 15:35

Massale verspreiding hoeft niet in 1 keer vanuit 1 plaats te komen, voorzichtig verspreiden gaat ook steeds sneller natuurlijk. Hoe meer punten geinfecteerd, hoe meer het virus zich kan verspreiden!!

MossMan @RwD • 1 december 2004 23:33

"Hoe meer punten geinfecteerd" is wat ik bedoelde met "massale verspreiding". Als alles vanuit 1 machine komt is het ook geen virus, want het repliceert dan ook niet.

Elk virus wil zoveel mogelijke kopieen van zichzelf maken, en dat betekent zoveel mogelijk verbindingen maken... en de beste kans op overleving is om dat zo snel mogelijk te doen voor dat bestrijdingsmiddelen ontwikkeld worden.

magnifor @gammuts • 1 december 2004 10:18

Wat is nu het verschil met een "gewone" virusscanner dan?

Een gewone virusscanner herkent alleen virussen als de juiste definities geinstaleerd zijn. De software van HP analyseert processen en houd hun gedrag in de gaten. Aan de hand van het gedrag van een process bepaalt de software of het om kwaadaardige software gaat of niet.

Iblies @magnifor • 1 december 2004 10:32

Wat is het verschil nu dan, nu maak je toch een aantal eisen, ofwel hardwarematig ofwel softwarematig, om mogelijk virussen buiten de deuren te houden.
Die definities worden vantevoren ook vastgesteld, maar ipv van kenmerken van een bepaalde virus, geeft men definities van een bepaald gedrag.

magnifor @magnifor • 1 december 2004 15:03

Wat is het verschil nu dan, nu maak je toch een aantal eisen, ofwel hardwarematig ofwel softwarematig, om mogelijk virussen buiten de deuren te houden.

Het grote verschil is dat virusscanners defenities nodig hebben. Dus je moet je virusscanner updaten. Zonder de extensies worden virussen niet herkend. HP komt met software die geen defenities nodig heeft om virussen tegen te kunnen houden. Dus als je je virusscanner een keertje vergeet te updaten, dan hoef je niet gelijk geinfecteerd te raken met een virus.

Verwijderd @magnifor • 2 december 2004 16:47

Ja, je word wel geinfecteerd, maar de server die dit veroorzaakt gaat dit langzamer doen waardoor er minder snel computers geinfecteerd raken.

Biertjuh @gammuts • 1 december 2004 10:36

Gammuts,

De bron van een virus is niet het platform maar de schrijver.

resink @dawuss • 1 december 2004 10:41

De overeenkomst met biologische processen is wederom treffend. Het is te vergelijken met een virusinfectie of een kanker: die overleven in een lichaam door normale processen na te bootsen. Pas in een later stadium lopen de ziekteprocessen merkbaar uit de pas met gewone lichaamsprocessen.
Het 'medicijn' dat HP aanbiedt heeft op zijn zachtst gezegd nogal wat bijwerkingen. Dawuss merkt terecht op dat ook bonafide applicaties soms rare processen gebruiken. Die wil je dus niet geremd zien. Het is alsof iemand die aan kanker lijdt kaal wordt van de chemotherapie. Kortom: het is een beginnetje, maar er is nog veel computerklinisch onderzoek nodig.

mjtdevries @resink • 1 december 2004 16:16

Wacht nou eerst maar eens tot je er iets meer van weet voor je over bijwerkingen begint.

virussen in computers werken de laatste jaren immers totaal verschillend van virussen in het menselijk lichaam.

computervirussen doen vaak helemaal geen normale processen na.
Massmailers worden juist snel opgemerkt omdat ze zo ontzettend veel mail gaan sturen.
Als je op dit moment een nieuw virus maakt dat 10 mailtjes per dag stuurt op een besmette machien, dan heeft niemand in de gaten dat er een nieuw virus is.

Voor mailservers zijn dit soort tools er al een hele tijd. En ja natuurlijk moet je gewaarschuwd worden als een tool wat vind. Maar het is zelden normaal dat exact hetzelfde mailtje ineens 4000 in 5 min verzonden wordt. Dan is het negen van de tien keer toch wel een virus en dan ben je blij dat je een tooltje hebt dat niet afhankelijk is van een virusdefinitiefile.

In die zin is het volstrekst logisch om zo'n tooltje ook te ontwikkelen voor servers in het algemeen. Mailservers worden immers steeds beter beschermd waardoor massmailers lang niet zo effectief meer zijn.

De groep van Tony Redmond staat zeer hoog aangeschreven en die zijn echt wel in staat zo'n tooltje zodanig te maken, dat het echt zijn waarde bewijst.

killah @dawuss • 1 december 2004 11:33

Nou de nieuwe firmware voor de procurve 5308 en de 3400 serie zullen deze nieuwe firmware krijgen. Heb de beta al. En de optie is limiting,notify of blocking. Dus de beheerder kan zelf instellen wat hij wil. En dit alles gaat passen in de nieuwe series software die uit gaat komen,

Verwijderd @killah • 1 december 2004 13:29

Schitterend, nu nog een systeem dat bij verdacht gedrag automatisch even de boel blockt en de laatste virusdefinities ophaald (op laat ophalen) herkent het de worm/virus signature dan autokill anders delay/notify of block notify naar de admins.

Deze nieuwe vorm van heuristic scans lijkt me een welkome aanvulling op de reeds bestaande mogelijkheden, niet waterdicht maar het kan schade voorkomen.

SCOOTER1 @killah • 1 december 2004 23:18

He killah,
Welke versie draai jij? Ik 08.53

Verwijderd @dawuss • 1 december 2004 10:20

Het is voor virusscanners altijd al de kunst geweest om het kaf van het koren te scheiden, ook qua gewone files op je harde schijf. Ik vind dit een goed initiatief, er is over de manier van scannen goed nagedacht. En we moeten ons gewoon realiseren dat het onmogelijk is om een 100% waterdicht systeem te krijgen.

Aan de ene kant kan je namelijk nooit je beschermen tegen een virus wat uit komt (of je moet weten dat het komt).

Aan de andere kant is het maar beter ook want wanneer we gaan denken een virusvrij systeem te hebben gaan we er minder op letten en zal het alleen maar erger worden

Verwijderd @dawuss • 1 december 2004 12:09

Daarbij komt nog dat het helemaal niet ondenkbaar is dat je juist zelf een applicatie hebt die herhaaldelijk en snel moet kunnen connecten.

Het probleem lijkt me vrij simpel op te lossen door een exclude lijst in te bouwen, een legitiem proces op deze lijst kan dan eenvoudig worden genegeerd.

swampy @dawuss • 1 december 2004 12:22

Mmm zoals Counterstrike!

Die moet ook herhaaldelijk met kleine pakketjes contact hebben.....

Verwijderd 1 december 2004 10:02

Ik heb toch liever dat het virus verwijdert wordt, dan vertraagt. Leuk, lief en aardig maar als dit de enige functionaliteit is van dit pakket dan zie ik het al floppen.

Erycius @Verwijderd • 1 december 2004 10:08

Virussen verwijderen is dan ook duidelijk niet het doel van deze toepassing, daar zorgt andere software wel voor. Maar omdat die al wel eens te laat komt (updaten van virusdefenities en zo), kan dit programma een eindje helpen.

Net zoals een EHBO team de eerste zorgen toedient, ervoor zorgt dat de toestand niet verslechterd, tot de grote cavalerie met toeters en bellen eraan komt sjeezen.

Ik zie dit dus niet floppen.

Verwijderd 1 december 2004 10:29

Wat is hier eigenlijk nieuw aan?

IDSen bestaan al enige tijd. Ook de mogelijkheid om automatisch maatregelen te nemen is nou niet echt heel erg nieuw. Het is wel handig dat ook HP het nu als softwarepakket gaat leveren maar het lijkt wel alsof men hier nog nooit van gehoord heeft.

Edit
@killah
Switches niet maar ook HP wil het op servers leveren, niet op switches. Lijkt mij trouwens wel leuk 48 GBit porten onafhankelijk monitoren Duur? Zeer waarschijnlijjk wel. Nuttig? Niet echt Maar wel leuk

killah @Verwijderd • 1 december 2004 11:36

Dit is ook hardware based in de switches dus niet via een sniffer.

En zover ik weet is er geen switch die deze opties in zich heeft.

killah @killah • 2 december 2004 02:23

yups op de nieuwe 3400 serie draait het ook.
Tipje van de sluier. het werkt alleen voor de routers dus het blokkeert alleen op de gateway en niet op l2 nivo

HDoc @Verwijderd • 1 december 2004 13:15

Heb ergens gelezen dat in SP2 ook zo'n soort functionaliteit zit.

tweaktubbie 1 december 2004 11:26

ff simpel gedacht maar wel waar: als virusschrijvers nou gewoon 'de kenmerken' omzeilen, dus geen x aantal connecties proberen te leggen per y tijd, maar een random tijdsspanne...

'heuristics' werken immers ook al niet bij mcafee of norton, dus waarom hier wel? als het echt goed spul was, zou het wel in een consumentenversie worden aangeboden

zelflerende spamfilters moeten toch ook voor virii kunnen worden ontwikkeld. mailadressen met vreemde tekenreeksen, bijlages filteren op 'bekende' filenamen??

ritsjoena @tweaktubbie • 1 december 2004 11:42

als virusschrijvers nou gewoon 'de kenmerken' omzeilen

Dat betekent dat virusschrijvers hun virussen opzettelijk langzamer maken. Hoewel dit systeem dan niet meer als detecor gebruikt kan worden is het doel van vertragen ook dan geslaagd.

Tuxie 1 december 2004 10:06

Ik denk dat het nog niet eens zo'n slecht idee is. Je moet het meer zien als een pro-actieve manier om virussen te bestrijden. De meeste virusscanners herkennen virussen op het moment dat de eigenschappen in de 'definition file' staan en kunnen vervolgens snel verwijderd worden, maar wat nu als je een virus hebt die nog niet in die definition file staat?
Dan kun je naar een aantal eigenschappen kijken die misschien 'verdacht' lijken, zoals het opengooien van een extra poort of het vreten van geheugen. Ik ben benieuwd in hoeverre dit (automatisch) betrouwbaar geimplementeerd kan worden

Verwijderd 1 december 2004 10:10

[Erycius en Tuxie typen sneller :-)]

Dit lijkt me duidelijk bedoeld als een soort primair reactieve tool... Vergelijk het verder met vlamvertragers, die zijn duidelijk reactief en werken alleen als er al brand is. Preventie zou je kunnen zoeken in het verbieden van vuur en rook in bepaalde ruimten (niet openen van attachments, goede firewall, netjes patchen). Helaas is dat niet voldoende.
Echt reactief is je sprinkler installatie, of last resort, de brandweer (virusscanner).
Maar in tegenstelling tot vuur zijn virussen niet altijd op dezelfde parameters waar te nemen. Je zult dus iets moeten bedenken wat de meeste virussen en andere threats gemeen hebben, die dingen signaleren en vertragen zodat jij de tijd hebt er op te reageren. Dit in tegenstelling tot het 'whoops, vandaag vijf miljoen computers geinfecteerd' zou het 'hey, er gebeurt iets geks op 50k computers, wat zouden we nu even kunnen doen om te analyseren of dit een bedreiging is'.
Het is dus wel degelijk nuttig en een eerste muurtje in de line of defense tegen nieuwe bedreigingen.

TaXaN 1 december 2004 12:30

SP2 voor Windows XP had toch een throttling mechanisme zodat programma's niet te veel connecties snel achter mekaar konden maken?

Verwijderd 1 december 2004 12:59

dit soort blockers zijn heel vervelend voor programma's als nmap (wat ik regelmatig gebruik, maar gelukkig niet op windows), omdat die ook een heleboel connecties per seconde maakt. de developers van nmap waren dan ook helemaal niet te spreken over de veranderingen in SP2, en naar mijn mening volledig terecht. SP2 probeert dingen op te lossen op de MS manier: het verwijderen van functionaliteit, zodat je het probleem zelf niet op hoeft te lossen.

Verwijderd 1 december 2004 09:58

Zitten hier ook schadelijke stoffen in?

kodak @Verwijderd • 1 december 2004 11:39

De bestrijdingsmiddelen die voor het virtuele deel van een computersysteem gebruikt worden voldoen volgens HP geheel uit milieuvriendelijke middelen. Uiteraard wordt er geen garantie gegeven dat er geen onschuldige programma's en informatie in de strijd omkomen.
Het HP onderzoeksteam heeft er over nagedacht om de fysieke buitenkant van deze milieuvriendelijke middelen te voorzien tegen schadelijke elementen die het systeem bedreigen, maar omdat het gebruik van giftige stoffen effectiever is gebleken heeft men daar maar vanaf gezien. Daarbij zouden de milieuvriendelijke middelen het product tijdens de geboorte periode alleen maar ernstig kunnen verminken en dat vinden ze net iets zwaarder meewegen dan de kans dat de fysieke omgeving in gevaar wordt gebracht.

familyman @kodak • 1 december 2004 13:27

Ik denk toch dat je kunt stellen dat er schadelijke stoffen in zitten, tenzij je groene stroom inkoopt, natuurlijk

NoepZor @Verwijderd • 1 december 2004 11:51

Nee, maar in de PC's zelf wel

Verwijderd 1 december 2004 10:15

Voortaan krijgen we dus langzame virussen over veel verschillende poorten. Dat zijn schijnbaar de check parameters.

ATS @Verwijderd • 1 december 2004 12:16

Je kan niet zomaar verschillende poorten gaan gebruiken. Een virus maakt juist gebruikt van bekende services, en die luisteren nu eenmaal op een bepaalde poort (SMTP voor mail, maar ook andere poorten voor andere services met lekken).
Als een virus zich, om detectie te voorkomen, langzaam gaat verspreiden wordt het al een stuk minder kwaadaardig, omdat er meer tijd is om tegenmaatregelen te nemen (virusscanner updaten bijvoorbeeld) in geval van een uitbraak.

mjtdevries @ATS • 1 december 2004 16:27

Maar dan moet je wel eerst die uitbraak gedetecteerd hebben.

En het herkkennen van een uitbraak gebeurt meestal juist doordat het virus zich zo snel verspreid en iedereen een soortgelijk bericht binnen krijgt.

Als je een virus maakt dat maar 10 mailtjes per dag stuurt, dan heeft niemand in de gaten dat er een nieuw virus actief is.

En dan ben je dus alsnog te laat met je tegenmaatregelen en is het dus wel zeker net zo kwaardaardig. (wellicht wel meer)

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (60)

Sorteer op:

Weergave: