Probleme cu scaparea WMF
Potrivit unui test a mai multor produse antivirus publicat miercuri, Trend Micro a fost singurul vanzator major de produse antivirus care nu a reusit sa opreasca un numar de fisiere malitioase care exploteaza noua vulnerabilitate Windows.
In cadrul testului, realizat de organizatia independenta de testare AV-Test, 206 fisiere malitioase au fost trecute prin scuturile anti-virus ale unui numar de vanzatori. Dintre cele trei companii antivirus de varf, Symatec si McAfee au oprit toate fisierele malitioase, in timp ce Trend Micro a scapat 63 dintre acestea, potrivit rezultatelor testului.
Alti cativa furnizori de produse antivirus au stopat toate fisierele malitioase, printre care Sophos, Kaspersky, Computer Associates International, F-Secure si BitDefender.
Noul Microsoft Windows OneCare, disponibil in prezent in versiune de testare, de asemenea protejeaza impotriva tuturor atacurilor potrivit AV-Test.
Tren Micro lucreaza pentru a-si updata produsul pentru a imbunatati detectia, dupa cum a declarat compania. Totusi, compania este de parere ca produsele sale ofera o buna protectie. Cu toate ca nu a depistat toate fisiere utilizate in test, totusi acesta detecteaza toate fisierele malitioase ce circula liber pe Internet.
Scaparea Windows este atipica, fiind mult mai complicat pentru producatorii de antivirus sa furnizeze protectie, dupa cum a declarat Andreas Marx, specialist antivirus de la Universitatea Magdeburg din Germania si director al AV-Test.
Vulnerabilitatea este prezenta in modul in care Windows interpreteaza imaginile Windows Meta File. Problema a fost descoperita saptamana trecuta si a fost exploatata intr-un atac care compromite un PC vulnerabil daca utilizatorul viziteaza un web site cu un fisier imagine malitios.
„Companiile antivirus au probleme din cauza faptului ca atacul implica un format fisier care nu a mai fost utilizat in atacurile anterioare”, a spus Marx intr-un interviu prin email. „Cercetatorii trebuie sa caute adanc formatul fisier, iar rutinele de detectie trebuie sa fie atent testate pentru a evita alarmele fals pozitive”.
Unii furnizori de software antivirus lucreaza inca la dezvoltarea rutinelor de detectie potrivite si ar putea oferi protectie numai impotriva celor mai raspandite exploatari, a spus Marx.
In cazul Trend Micro, compania lucreaza la capacitatile fine-tuning de detectie. Provocarea este de a gasi o balanta intre capacitatile de detectie a noului tip de fisier si viteza motorului de scanare.
AV-Test a testat si produse antivirus gratuite, inclusiv Clam AntiVirus si AVG. Clam AntiVirus a stopat toate fiserele cu exceptia unuia singur, in timp ce AVG a scapat 59 de fisiere.
Detectia Clam AntiVirus functioneaza bine, dar poate avea multe rezultate fals pozitive si stopa aproape toate fisierele WMF, a spus Marx. Aceasta nu este insa o problema majora, deoarece Clam AntiVirus este utilizat mai mult ca un scanner gateway, nu pe desktop.
Intre timp, expertii au avertizat ca zeci de web site-uri malitioase precum si troieni si cel putin un virus instant messaging care utilizeaza scaparea WMF au aparut recent.
Totusi, Microsoft declara ca nu a inregistrat multe atacuri asupra clientilor sai. Compania intentioneaza sa ofere marti un patch, in cadrul ciclului sau lunar de lansare de patch-uri. Pana atunci clientii se pot proteja utilizand standardele de securitate, precum updatarea software-lor antivirus.
Sursa: ZDNet, preluat de SmartNews.