Rabu, 27 April 2011
» » Struktur Tanatos.M (AVG) masih terlalu tangguh Untuk AV lokal

on
No Comment
sudah pernah dengar blum virus Tanatos.M atau salah satu varian sality yang cukup update. Mungkin bagi kalian pengguna AVG tentunya sudah pernah tahu, karena AVG memberi nama demikian. Kali ini Bidan Malware ingin membahas tentang kekuatan AV lokal dalam mendeteksi Tanatos.M dibanding AV import. Untuk kali saya memang hanya mengambil 7 file PE yang berbeda yang terinfeksi tanatos.m dalam melakukan analisa kekuatan AV lokal yang akan dibandingkan dengan AV import yaitu AVG 9.0.
Sebelumnya berikut adalah ke-7 file berbeda yang terinfeksi Tanantos.M

Sebagai AV Import yang sangat baik, AVG akan dicoba dulu melakukan pemindaian terhadap ke-7 file tersebut.
Gila, klaim AVG yang menyebutkan dirinya sudah dipercaya lebih dari 80 juta orang diseluruh dunia kayana sebanding dengan kinerjanya…7 file (semua) tidak ada yang lolos dengan nama varian yang jelas yaitu Tanatos.M.

Lalu Bagaimana Dengan AV lokal unggulan?
Sebelumnya saya mau Minta izin dulu kepada founder AV lokal unggulan yang akan di uji disini yaitu
  • PCMAV Sality Express Beta2 Fixed (Produk turunan tapi disertakan)
  • ANSAV 2.0.50
  • SMADAV 75
  • CMC PH#2.1 (bukan unggulan tapi dimasukan)

Lanjut Yuk…..

Scan PMCAV
Hasil PCMAV
  • Virus Terdeteksi : 6 dari 7 file
  • Variasi : 1 jenis (Sality.M)
  • Keberhasilan : 85.8 % pada kasus ini



Scan ANSAV

Hasil ANSAV
  • Virus Terdeteksi : 5 dari 7 file
  • Variasi : 1 jenis heuristic (Suspect/Sality)
  • Keberhasilan : 71.4 % pada kasus ini
Scan Smadav

Hasil SMADAV
  • Virus Terdeteksi : 6 dari 7 file
  • Variasi : 1 jenis (Sality.G)
  • Keberhasilan : 85.8 % pada kasus ini

Scan CMC dengan protektornya
Hasil CMC
  • Virus Terdeteksi : 7 dari 7 file
  • Variasi : 4 jenis heuristic (Suspect/Tanatos.X) -> X sampai 4 variasi
  • Keberhasilan : 100 % pada kasus ini

Penting Untuk Dibaca Semua!
Pada kasus analisa kali ini tidka bisa dijadikan patokan, siapa yang AV lokal punya detector paling bagus terhadap Tanatos.M karena :
  • PCMAV Sality Express masih gagal satu padahal sudah produk turunan, yang seharusnya tingkat akurasinya adalah 100% seperti AVG. Menurut saya inilah yang terkuat diantara AV lokal lainya, karena berani memastikan namafile dengan tanpa heuristic namun sayangnya produk turunan tidak bisa dibandingkan dengan produk pokok.
  • Ansav walapun tingkat deteksi keberhasilan 71.2 % pada kasus ini, Ansav belum berani memastikan bahwa ke-7 file tersebut adalah 1 jenis sality tanpa heuristic dan masih ada 2 file yang lolos dari heuristicnya. Karena membuat Heuristic untuk sality dan varian tertentunya cukup mudah dengan membandingkan section serta komponen dalam section baru yang dibuatnya.
  • Smadav tingkat akurasinya hampir 86% pada kasus ini dan sudah berani memastikan nama malware, namun pada masih belum kuat karena ada file yang lolos artinya pola yang dipakai blum sempurna.
  • CMC walapun tingkat deteksinya mencapai 100% pada kasus ini, tetap saja belum bisa dikatakan kuat karena memakai Heuristic seperti Ansav, artinya CMC belum memakai pola yang sistematis seperti AVG dalam mendeteksi Tanatos.M.
Tambahan (Cara Mendeteksi Tanatos)
Saya akui memang tanatos sungguh sangat beda dengan sality awal, Tanatos.M menginfeksi file dengan hasil infeksi yang acak-acakan sehingga cukup sulit dibuat pola OP Codenya. Mungkin itulah sebabnya Ansav dan CMC memakai cara sedikit curang, yaitu heuristic (suspect) untuk mendapatkan Tanatos. Karena jika dilihat struktur PE file yang terinfeksi Tanatos.M pastilah akan
  • Terjadi penambahan section baru
  • Section yang ditambahkan namanya identik dengan section ke-2
  • Section terakhir punya nilai ukuran fisik dan ukuran memory yang sama (bukan berarti ukuranya statis untuk semua file)
  • Ini juga berlaku untuk salit.A (CMC)

Semoga keterangan di atas, bisa dijadikan referensi AV lokal lain yang belum dilengkapi detector sality.
Info CMC
Jika anda melakukan scanning dengan CMC, maka hasil dari deteksi tanatos tidak akan anda lihat pada Tab Malware melainkan pada Tab Informasi karena keyakinan deteksi CMC adalah yang kurang dari 70% tidak berani dinyatakan file terinfeksi secara terang-terangan. Walaupun sampai saat ini kesalahan belum terbukti, namun suatu saat kesalahan pasti terjadi mengingat populasi file PE 32 byte pastilah sangat banyak pada setiap computer. Jika anda menggunakan fasilitas protektronya, maka anda akan melihatnya secara langsung, itulah sebabnya yang dicontohkan di atas bukan scannernya melainkan memakai protectornya.

Kesimpulan
Melihat hasil analisa (walapun memakai 7 file) tentunya kita sadar bahwa, AV import (produk pokok) lebih unggul dibanding AV lokal (Produk pokok), bukan bermaksud memojokan AV lokal, namun supaya menjadi koreksi kita bersama untuk berbagai dan bertukar informasi bersama menjadi satu kekuatan yang kuat dalam memerangi posisi AV import.
Namun mungkin ada orang membenci AV asing karena lambat dan terlalu sensitive?
Ya, suatu keakuratan memang ada harganya.. pada kasus ini AVG mampu 100% menyatakan dengan tanpa ragu-ragu terhadap file terinfeksi tanatos.M, dimana jika dibandingkan AVG lah yang paling lambat, itu karena AV import selalu memakai cara yang sistematis sesuai alur yang valid.

Salam Maniz
Bidan Malware

Thanks to Pamzlogic yang udah kasih sedikit kesimpulan …….
Diposting oleh di 20.05
Share:

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)