– Det finns en övertro på antivirusprogram. De ger en falsk känsla av trygghet. Det är enklare än vi trodde att lura antivirusprogrammen, säger Marcus Murray på säkerhetsföretaget Truesec i Stockholm.

Marcus Murray och hans kollega Hasain Alshakarti visar att det räcker med att kompilera om källkoden för kända virusprogram för att de ska slinka igenom antivirusprogrammens kontroller. Det krävs i många fall ingen programmeringskunskap alls för att modifiera ett skadligt program så att det tar sig förbi antivirusprogrammens barriärer.

– Man ska inte sluta använda antivirusprogram, men de skyddar inte mot fokuserade attacker, säger Marcus Murray.

Falsk trygghet
– Det är oerhört allvarligt om det är så enkelt att manipulera fram ett hot som man tror att man har skydd mot, säger Kent Larsson, informations-säkerhetschef på Stockholms stad.

Antivirusleverantörerna håller inte med om att antivirusprogrammen ger en falsk känsla av trygghet.

– Det finns gott om tid att få fram skydd mot den här typen av hot, som inte har en speciellt effektiv spridningsmekanism. Så tryggheten finns, säger säkerhetsexperten Marco Righetti på Trend Micro.

Anses inte farligt nog
Att antivirusprogrammen inte hittar det omkompi-lerade virusprogrammet i Truesecs test beror, enligt Marco Righetti, på att antivirusleverantörerna inte bedömer det som tillräckligt farligt för att ta till de mer resurskrävande åtgärderna.

– Det är en balansgång. Vi har ett ansvar att inte lasta ned kundernas datorer med antivirusprogram som tar för mycket resurser, säger Marco Righetti.

Två metoder
Antivirusprogrammen jobbar med två metoder för att hitta virus. Mönsterigenkänning – som kräver minst datorresurser – innebär att filer genomsöks på jakt efter specifikt binärt innehåll.

Heuristisk, eller generisk, analys innebär att virusprogrammens beteende analyseras. Heuristisk analys är mer resurskrävande och används bara för virus som bedöms vara allvarliga hot.

Minst fem förekomster
Mönsterigenkänning i Trend Micros fall innebär att minst fem specifika sekvenser måste finnas i en fil för att den ska klassas som ett virus. Det är med stor sannolikhet den här kontrollen som kan sättas ur spel med omkompilering av virusprogram.

Om heuristisk analys sedan inte används så hittas inte det omkompilerade virusprogrammet, trots att viruset är känt.

Slutsatsen är att antivirusprogrammen inte ger det skydd som många användare tror.

– Man kan inte skapa ett skydd med enbart antivirusprogram, alla pc måste ha flera säkerhetsprogram som brandväggar och programmen måste uppdateras kontinuerligt, säger Joakim Von Braun, säkerhetsexpert på Symantec.

Fakta

Marcus Murray och Hasain Alshakarti på Truesec har kört ett test med trojanen Institution 2004 som finns tillgänglig med källkod på internet. Källkoden är skriven med Borlands utvecklingsverktyg Delphi.
När en version av det körbara trojanprogrammet testades med antivirusprogram från marknadsledarna Symantec, F-Secure och Trend Micro hittade samtliga antivirusprogram trojanen.
Sedan tog de källkoden och kompilerade om den med den senaste versionen av Delphi, utan att ändra något i källkoden. När testet kördes om hittade inget av antivirusprogram från Symantec, F-Secure och Trend Micro Institution 2004.
Testet har gjorts med flera olika varianter av skadlig kod, med samma resultat.