Il malware Kaspersky Lab fa finta. Quanto dovrei essere preoccupato? [chiuso]

6

Molto probabilmente non sapremo mai la verità, ma comunque:

Beginning more than a decade ago, one of the largest security companies in the world, Moscow-based Kaspersky Lab, tried to damage rivals in the marketplace by tricking their antivirus software programs into classifying benign files as malicious, according to two former employees...

In one technique, Kaspersky's engineers would take an important piece of software commonly found in PCs and inject bad code into it so that the file looked like it was infected, the ex-employees said. They would send the doctored file anonymously to VirusTotal.

Articolo completo

Dato che sono un utente di un no Kaspersky AV, mi sto preoccupando un po '. In quali casi un AV decide di "pulire" un file invece di eliminarlo definitivamente? (Potremmo per esempio parlare di Avast). Questa "iniezione" di codice errato in un file di "salute" come descritto nell'articolo, è probabile che venga eliminata anziché eliminata?

    
posta 14.08.2015 - 18:27
fonte

1 risposta

2

Come afferma l'articolo, questo problema è stato osservato tra il 2009 e il 2013, quindi non è più attuale. Si basava principalmente su due cose:

  • Secondo i dipendenti anonimi di Kaspersky, perché un altro editore di software anti-virus stava presumibilmente copiando, "rubando" la tecnologia di Kaspersky,
  • E in ogni caso con più certezza perché c'è stato almeno durante questo periodo una vera gara di marketing a cui l'editor è stato il primo a rilevare un file infetto e a rilevarne il maggior numero.

Il trucco era quindi relativamente semplice: invia qualche esempio di codice a VirusTotal che verrà contrassegnato come malevolo solo da Kaspersky, e gli altri editori presto "aggiorneranno" aggiornando la loro base di firma per includere anche questo. La parte più difficile dal punto di vista tecnico è stata la manipolazione del software di altri editor nel produrre una firma che corrisponda anche a file legittimi.

IMHO questo ha mostrato un approccio molto povero in cui il marketing ha la precedenza sulla sicurezza.

Questo articolo spiega anche come tali pratiche di inganno siano state scoperte dalle società anti-virus (ad esempio un improvviso aumento di clienti che chiamano il supporto AV perché il driver della stampante è stato messo in quarantena) e come hanno visto questo come un difetto nella loro software anti-virus e processi di gestione delle firme da correggere.

Quindi questi software e processi essendo (teoricamente almeno!) più difficili da corrompere al giorno d'oggi, tale difetto non dovrebbe più accadere e, pertanto, per rispondere alla tua domanda non dovresti più preoccuparti.

Al momento di tale pratica, tuttavia, l'anti-virus non puliva il file ma lo metteva in quarantena o cancellato perché il suo codice corrisponde a un modello erroneamente contrassegnato come sospetto. Non c'è davvero nulla da pulire, il file è legittimo! Il "codice errato" è stato solo iniettato nel campione iniziale inviato a VirusTotal in modo che i concorrenti non aggiungano il codice errato alla propria base di firma, ma il legittimo ...

    
risposta data 15.08.2015 - 15:56
fonte

Leggi altre domande sui tag