McAfee wacht gevaar niet langer af
Van reactief naar pro-actief
25 februari 2005 | Lars Pasveer
Antivirusbedrijf McAfee besloot onlangs om dagelijks virusdefinities uit te gaan brengen, omdat wekelijks te veel virussen het licht zien. Zelfs dagelijkse updates zijn eigenlijk onvoldoende, meent het bedrijf.
Daarom wordt er steeds meer de nadruk gelegd om de gebruikte methodiek bij aanvallen te herkennen, in plaats van achteraf met virusbeschrijvingen op de proppen te komen. "We moeten pro-actief in plaats van reactief leren reageren", aldus Greg Day van McAfee.
Virussen, spyware en wormen verschillen in methodiek weinig van elkaar. Ze maken veelal gebruik van dezelfde lekken, misbruiken bufferproblemen om code op de geïnfecteerde computer te krijgen.
Eenmaal actief is het gedrag ook hetzelfde: er worden massaal e-mails uitgestuurd, de virusschrijver krijg een melding (per mail of via websites) dat er pc's succesvol zijn geïnfecteerd, een achterdeur wordt actief om de computer van afstand te kunnen bedienen en vervolgens neemt de computer zelf deel aan infectie of kwaadaardig gedrag.
McAfee demonstreerde deze technieken tijden een Live Attack Roadshow in Utrecht. De virusjager heeft hardware ontwikkeld en meerdere softwarelagen om bedrijfsnetwerken te beschermen. Door alert te zijn op verdacht gedrag, kunnen bedrijven
"Vroeger wilden virusmakers vooral laten zien dat ze zich toegang konden verschaffen tot een machine. Nu zijn de beweegredenen veelal puur commercieel", aldus Day.
Netwerken van geïnfecteerde computers worden verhuurd als mailservers voor spammers. Een online gokhal werd onlangs in een gecoördineerde aanval een tijdje offline gedwongen, waarna de afpersers contact opnamen over een vergoeding om herhaling te voorkomen.
De hardware en netwerksoftware herkent en blokkeert virusactiviteit, ook als er machines in het netwerk zijn die ongepatched zijn en in andere gevallen geïnfecteerd zouden zijn geraakt. Zogenoemde
rogue machines die niet bij het netwerk bekend zijn, worden eerst 'ondervraagd' en krijgen bij onbevredigende respons geen of beperkt toegang.
Ook Microsoft werkt aan dergelijke automatische 'isolatie' van onbekende of potentieel gevaarlijke machines. McAfee neemt verder deel aan het 'Clean Pipes' initiatief, dat deze technologie "hoog in de voedselketen" bij providers wil installeren.
Lees meer artikels over :
mcafee, spyware, virus, clean pipes, ddos, zombie
bron: ZDNet
