Toename 'singletons' groot probleem voor antivirus
Gepubliceerd: Dinsdag 20 april 2010
Auteur: Sander van der Meijs
Antivirus heeft te maken met een nieuw probleem. Het is malware die maar één keer voorkomt, en die zich dus niets aantrekt van signatures.
Symantec heeft haar jaarrapport over 2009 uitgebracht, het Internet Security Threat Report, met daarin alle cijfers over de verschillende bedreigingen en de trends daarin. Welke virussen zijn het meest gesignaleerd, van waaruit werden aanvallen gelanceerd, waar worden de botnets gehost, hoeveel verschillende nieuwe virussen zijn er ontdekt, en nog een aantal van dit soort rijtjes. Het persbericht van Symantec meldt als hoogtepunten het toenemend aantal gerichte aanvallen en dat cybercrime makkelijker is dan ooit door het gebruik van toolkits.
Nederland komt een aantal keer in een top 10 voor, maar nooit hoger dan de vijfde plaats en altijd op straatlengte afstand van de winnaars. "Specifiek voor Nederland staat er niets spannends in", zegt ook Tom Welling van Symantec. "Nederland draait een beetje mee in de middenmoot." Maar hij signaleert wel een belangrijke ontwikkeling ten opzichte van 2008. Het aantal signatures van virussen dat de antivirusfabrikant heeft verspreid is dramatisch groter geworden. In 2008 waren er 1,6 miljoen nieuwe signatures, in 2009 2,9 miljoen. Dat is bijna twee keer zo veel.
Singletons
Achter die 2,9 miljoen signatures gaan 240 miljoen nieuwe kwaadaardige codes schuil. Dat betekent dat er gemiddeld 80 varianten ondervangen worden door één definitie. Maar er zijn ook signatures die maar één virus definiëren. En dat is de belangrijkste trend die Tom Welling ziet. Hij heeft het dan over de toename van het aantal 'singletons'. "Singletons zijn virussen die we maar één keer tegenkomen. Het zijn virussen die voor een specifiek doel geschreven zijn, voor één enkele aanval op één persoon. Of het zijn natuurlijk mislukte virussen, dat kan ook", legt hij uit. Hoeveel singletons er precies tussen die 240 miljoen nieuwe virussen zitten, kan Welling niet zeggen, maar hij weet wel dat het er steeds meer worden.
I won't be back
Die singletons vormen een probleem voor antivirus die op signatures is gebaseerd. Want als een virus maar één keer voorkomt, dan is de aanval die je signaleert de enige die ertoe doet. De signature die je vervolgens naar je product uploadt, staat daar als mosterd na de maaltijd niets te doen. Blacklisten heeft met singletons dus geen zin.
Ook bij GData zien ze deze trend, vertelt Eddy Willems. Alleen noemen ze deze malware daar geen singletons, maar oneliners. "Dat is inderdaad een trend die zich steeds meer begint door te drukken, dat is ook onze opvatting", zegt Willems. Deze oneliners worden vooral ingezet bij targeted attacks, legt hij uit, die op bepaalde bedrijven of op een bepaald persoon zijn gericht.
