Prime comparative del MIRT
La sigla che suona un pò in modo strano nel titolo, MIRT, sta ad indicare un prezioso team di volontari che ha iniziato a svolgere un egregio lavoro in tutto il mondo per quanto riguarda la comunità della sicurezza informatica.
Chi non conosce il MIRT magari è a conoscenza del PIRT - Phishing Incident Reporting and Termination Squad - un team dedicato alla lotta contro lo spam. Ecco, lo stesso team di volontari ha fondato da pochi mesi il MIRT - Malware Incident Reporting and Termination Squad. Il team, guidato da Paul Laudanski - già fondatore del noto sito di sicurezza internazionale CastleCops e persona di certo spessore in campo mondiale - riceve le segnalazioni degli utenti da tutto il mondo, analizza i sample e li invia alle società di antivirus. Come per il PIRT, anche il MIRT lavora a contatto con autorità quali FBI e enti internazionali.
Interessante una prima comparativa che è stata pubblicata dal MIRT sull’efficacia dei software antivirus contro le infezioni 0-day, quelle cioè perlopiù nuove che sono state tracciate. La comparativa tiene in conto ovviamente queste infezioni, non altri parametri, per cui le indicazioni di questo test non rappresentano l’efficacia globale del software antivirus nel riconoscimento di tutti i malware.
La comparativa, i cui dati sono raggiungibili da qui, evidenzia - come era chiaro da tempo - una certa difficoltà dei motori di scansione che si basano esclusivamente su signature e su tecniche di scansione euristica non ben sviluppate o poco approfondite. Su 672 campioni, il punteggio più basso è stato il 5% mentre nella media il risultato si è stabilizzato intorno al 30%. Troppo poco, soprattutto in questo periodo, in gran parte dominato da botnet e attacchi mirati.
Nota personale: siamo particolarmente soddisfatti del risultato che Prevx1 ha raggiunto in questo test, una piccola felicità ogni tanto non guasta mai.
francesco
Gennaio 17th, 2007 at 10:05
da tutte queste prove comparative manca sempre trend micro con officescan o pccillin…. non ha dato l’assenso ?
GmG
Gennaio 17th, 2007 at 10:40
E’ stato usato virustotal che non comprende symantec, trend micro.
ps.
I dati sono bassi per avast perché suvirustotal non è stato aggiornato dal 30-12-2006 al 12-01-2007. Stessa cosa per antivir dal 9-01-2007 al 16-12-2007 e Ikarus dal 9-01-2007 ad ora.
Marco
Gennaio 17th, 2007 at 10:44
Questi sono gli antivirus che hanno aderito al progetto Virustotal.com, TrendMicro non ha aderito.
Per le comparative quali quella di AV-Comparatives.org invece Trend non ha dato il consenso da quello che so io.
Marco
Gennaio 17th, 2007 at 10:52
@GmG: sì, per avast c’è stato un problema ma non dipendente da VirusTotal in effetti.
In generale non è mai un bene sostanzialmente fare dei test utilizzando il servizio online, non sempre affidabile. Ma in alcuni casi dà comunque dei buoni spunti di riflessione
schumy2006
Gennaio 17th, 2007 at 19:05
Pero’ i primi 4 classificati, dovrebbero avere anche lo svantaggio di produrre + falsi positivi, mentre quelli appena dietro hanno imho un ottimo compromesso…
…Ma come mai Norton AV 2007 non è presente ?? E’ fuori dalla TOP 20 per caso ?? Mi piacerebbe sapere in che posizione si troverebbe……..
Ciauzz
maverick
Gennaio 18th, 2007 at 02:09
Avete letto sul blog della sunbelt che gromozon sfrutta anche un exploit per nootebook acer?
Se penso a quanti ne vendono in italia non c’è da stare tranquilli. Penso che sia arrivata l’ora di farla finita . E’ ora che la piantino sul serio. Non credo che sia troppo difficile scovarli specialmente se la loro impunita’ sara’ sacrificata per via di enormi accordi commerciali ed energetici tra paesi.
TNT
Gennaio 18th, 2007 at 17:05
Maverick, si’, l’ho letto…
Quel sito di gromozon ha comunque smesso di caricare gromozon e ora, come era successo con gli altri, carica Rootkit.DialCall (Trojan-Clicker.Win32.Small.kj e spesso Rustock.B).
Per quanto riguarda le investigazioni ti posso confermare che so personalmente e con certezza che qualcosa si sta muovendo.
Marco
Gennaio 18th, 2007 at 17:58
Si, le investigazioni ci sono…confermo anche io, personalmente
maverick
Gennaio 18th, 2007 at 22:48
La cosa mi fa veramente piacere perche’ la spuduratezza e strafottenza di questi criminali è davvero irritante. Comunque mi sembra che il loro pricipale mezzo di diffuzione ovvero google si sia svegliato e non indicizzi piu’ le pagine civetta’. E’ davvero incredibile quante ne abbiamo fatte. Facendo varie ricerche su argomenti diversissimi ne avevo trovate alcune nelle prime 20 posizioni.
P.s. oggi il sito di marco mi pare che non fosse accessibile per via dell’n-esimo attacco dos.
X TNT: ero sicuro che lo avevi “letto”
TNT
Gennaio 18th, 2007 at 22:56
Maverick, sono perfettamente d’accordo. Tra gli altri siti civetta che ridirigevano agli exploit avevano aperto “italy-good-for-me.info”, “ownitaly.info”, e robe del genere. E anche “free-bsd.org” (da non confondersi con quello vero freebsd.org)… Per non parlare del continuo e insopportabile spam su blog e guestbook… veramente irritante.
Marco
Gennaio 18th, 2007 at 23:04
Si, oggi il sito é stato inaccessibile.
L’hoster era completamente down, non so esattamente per quale motivo ma suppongo sempre per il solito intermittente DDoS.
maverick
Gennaio 18th, 2007 at 23:07
Lo scrissi tempo fa in post. Se vai a leggerti cosa afferma il tizio che gestisce la famigerata societa’ di dialer esclusivi per l’italia (che grande geni dell’informatica), che poi credo sia uno dei responsabili di gromozon, in forum c’è davvero da farsi “girare le palle” leggermente.Tanti sorrisini sul fatto di quanto fossero efficaci i suoi exploit e che lo “spirito dei dialer era ancora vivo e vegeto”.Forse credeva che il fatto che fosse scritto in cirillico lo mettesse a riparo da tutto?
Ste
Gennaio 20th, 2007 at 09:47
Ma secondo voi i dati riportati sono attendibili? ho visto in azione Panda ma non mi sembrava molto meglio del nod ,anzi!!!