Kaspersky Lab individua e blocca exploit 0-day in Adobe Flash Player

Il sottosistema di protezione e di rilevazione euristico di Kaspersky Lab ha bloccato gli attacchi mirati ad una vulnerabilità di tipo zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scoperto questa falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l'exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. 

La vulnerabilità era presente in Pixel Bender - un vecchio componente progettato per il video e l'elaborazione fotografica. Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. I ricercatori di Kaspersky Lab credono che l'attacco sia stato progettato per individuare i dissidenti siriani che si lamentavano del governo. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode.

Lo shellcode è un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software. "Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell'utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio", ha detto Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab.

"Inoltre abbiamo scoperto che questo 'secondo' exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime", ha aggiunto Vyacheslav Zakorzhevsky. Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe. 

Il numero di questa vulnerabilità è CVE-2014-0515. I browser Chrome e Internet Explorer aggiornano Flash Player automaticamente. "Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E' possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi", ha detto Vyacheslav Zakorzhevsky. 

"Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po'", ha concluso Zakorzhevsky. E' possibile trovare ulteriori dettagli su questa vulnerabilità in Adobe Flash qui. E' la seconda volta quest'anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell'azienda hanno scoperto CVE-2014-0497 - un'altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.

Il sottosistema di rilevamento euristico

Il sottosistema di rilevazione euristica è una parte del motore antivirus utilizzato in molteplici prodotti Kaspersky Lab sia per utenti privati che per utenti business, come Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business e altri. Proprio come un antivirus tradizionale, questo sistema utilizza un database di firme per rilevare i software dannosi. Mentre però la tecnologia antivirus di solito richiede una firma per ogni singolo pezzo di malware, non importa quanto strettamente connessi, la rilevazione euristica è in grado di coprire tutto il range di programmi nocivi. 

Per farlo utilizza speciali firme euristiche che rilevano non solo i singoli pezzi di malware ma anche le intere collezioni di programmi dannosi raggruppati in base a un elenco di caratteristiche speciali. La firma euristica che copriva il comportamento del nuovo zero-day exploit in Adobe Flash è stata aggiunta al database di Kaspersky Lab già a gennaio. Inoltre, durante una prova speciale condotta dagli specialisti di Kaspersky Lab si è scoperto che gli exploit che utilizzano CVE-2014-0515 vengono rilevati con precisione per sfruttare la tecnologia Automatic Exploit Prevention di Kaspersky Lab - un altro potente strumento per rilevare tutte quelle minacce non ancora note. 

A novembre del 2013, la stessa tecnologia ha bloccato con successo gli attacchi individuando una vulnerabilità di tipo zero-day nel software di Microsoft Office. All fine del 2012, in modo proattivo, ha bloccato diversi componenti dannose che - come si è scoperto in seguito - appartenevano a Ottobre Rosso, una campagna di cyber- spionaggio su vasta scala rilevato dai ricercatori di Kaspersky Lab nel mese di gennaio 2013.  Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche "Rocra", con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan. Per ulteriori informazioni: www.kaspersky.com/it Fonte: Immediapress

Symantec Intelligence Report, sesso domina il traffico mondiale di spam

Nel rapporto Symantec Intelligence Report di dicembre gli esperti di sicurezza hanno dato uno sguardo più da vicino al panorama delle minacce sulla base delle loro statistiche in tutto il mondo. Per il mese di dicembre, gli Stati Uniti ha sostenuto il dubbio onore di essere la principale fonte di spam a 12,7%, attacchi di phishing al 24,2%, e gli allegati dei virus al 40,9% a livello globale. Non è insolito per gli Stati Uniti essere alti in uno o due di queste tre categorie, ma rivendicando la tripla corona di distribuzione di risk-based è un pò meno comune.

Kaspersky Lab presenta la situazione malware al mese novembre 2011

Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:

• sono stati respinti 204.595.286 attacchi della rete;
• sono stati bloccati 89.001.505 tentativi di infezione via Internet;
• sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
• sono state registrate 98.047.245 attivazioni di analisi euristiche.

Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.

TOP 10 dei malware in Internet

L'argomento del mese: DUQU, indagini in corso

A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.

Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.

È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.

Nuovi programmi e tecnologie dei cybercriminali

Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.

Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.

Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo

A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.

Finestra principale di app hot

Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.

Minacce MacOS

Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:

1. apertura di un accesso remoto al computer infetto;
2. raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
3. creazione di screenshot delle schermate;
4. sottrazione del file wallet.dat dai clienti BitCoin;
5. lancio non autorizzato del miner BitCoin.

Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.

Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner

Manomissione della banca dati Steam

La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.

La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.

TOP 10 degli hosting dannosi

Ancora problemi con i certificati

Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.

Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist

Nuova tecnica exploit PDF sfugge al rilevamento dei motori antivirus

Un nuovo metodo per produrre file PDF "maligno" è stato scoperto dai ricercatori del vendor di sicurezza  AVAST. Il nuovo metodo è più di una specifica vulnerabilità patchable, è un trucco che permette ai creatori di file PDF "maligno" di farlo scivolare innosservato da quasi tutti gli scanner Antivirus. Nel complesso, le specifiche PDF permettono molti diversi filtri (come ASCII85Decode, RunLengthDecode, ASCIIHexDecode, FlateDecode, ...) per essere utilizzati su dati grezzi. Inoltre, non vi è limite al numero dei filtri utilizzati per l'immissione di dati unici. Chiunque può creare un valido file PDF in cui i dati verranno usati, per esempio, cinque diversi filtri o cinque strati del filtro stesso. Tutte queste caratteristiche sono basati sulle specifiche estremamente libere, un fatto che permette di essere utilizzati dai cattivi file "maligni" in un modo che non consente l'accesso agli scanner antivirus per il reale payload. Il nuovo trucco si basa solo su un filtro per crittografare i dati di testo ed è pensato per essere usato solo per le immagini in bianco e nero. E a parte Avast! antivirus, probabilmente nessun altro scanner AV è attualmente in grado di decodificare il carico utile, perché nessun altro AV è in grado di rilevare il file PDF. AVAST ha avuto il primo incontro con questa tecnica in un file PDF un mese fa e da allora ha visto un utilizzo limitato, ma anche attacchi mirati. "Il suo indirizzo URL originario era piuttosto sospettoso e ben presto abbiamo confermato lo sfruttamento dell'infezione del sistema causata solo dall'apertura di questo documento. Ma il nostro parser non era in grado di ottenere qualsiasi contenuto idoneo che potremmo definire come "maligno". Non c'era alcun flusso di javascript, solo la singola matrice XFA [...]", scrive sul blog della società Jiri Sejtko, senior analist di Avast.

Font TTF nascosta sotto il flusso JBIG2

La matrice XFA di solito contiene una immagine TIFF maligna che sfrutta la nota vulnerabilità CVE-2010-0188, scoperta nel 2010. Uno degli unici due oggetti a cui fa riferimento una matrice XFA è stato decodificato, analizzato e rapidamente eliminate. I ricercatori hanno poi osservato che il restante ha richiesto due filtri, FlateDecode e JBIG2Decode. FlateDecode è comune, ma JBIG2Decode viene normalmente utilizzato per decodificare i dati delle immagini in bianco e nero, e questo perchè gli hacker hanno scelto di memorizzare il codice JavaScript. Come si è visto, JBIG2Decode può essere utilizzato su qualsiasi oggetto Stream, un comportamento insolito secondo gli sviluppatori AVAST, e probabilmente di altri fornitori, come pure, il fatto di non riuscire ad ottenere la codifica parser PDF. I criminali hanno costruito un file TIFF appositamente predisposto che ha sfrutta la vecchia falla in Adobe Reader. La vulnerabilità è stata patchata nelle versioni attuali, solo le vecchie versioni sono interessate. AVAST ha rilasciato la rilevazione PDF:Contex [Susp] subito dopo questa scoperta. AVAST ha tenuto sotto controllo questo nuovo trucco ormai da oltre un mese e ora ha aggiunto questo algoritmo di decodifica al suo motore PDF. Sulla base delle informazioni da Avast! Virus Lab logs, questo nuovo trucco è attualmente utilizzato solo in un numero molto limitato di attacchi (in confronto ad altri attacchi) ed è probabilmente la ragione per la quale nessun altro AV è in grado di rilevarlo. Tuttavia, Avast ha visto che questo sistema può anche essere utilizzato in un attacco mirato. Ecco i link di VirusTotal che mostrano il punteggio di rilevazione:

• 18D1BA224B4FAA2296362F93231B6C4E7E488D8FEFC5A5408FE078AD20A55C08
• b1543cd42d03a93b143737d91540b08efffe027219136a59463f80e83222e743

Inoltre, Avast ha trovato altri 10 file PDF "maligni" in base al trucco JBIG2Decode. Tutti questi sono stati effettivamente rilevati utilizzando il loro rilevamento euristico JS: Pdfka-gen, anche se in realtà non decodifica il flusso JBIG2. In questi casi, diversi oggetti (gli oggetti senza filtro JBIG2Decode) sono stati contrassegnati come parti dannose. In sintesi, possiamo dire che i criminali stanno usando questo trucco per nascondere ogni possibile oggetto che vogliono nascondere (forme XFA, JS, TTF). Poiché il parser PDF è stato aggiornato per decodificare gli oggetti JBIG2-encoded, il venditore AV ha individuato la tecnica in altri file PDF.

AV-Comparatives, Avira è l’antivirus con la migliore difesa proattiva

AV-Comparatives ha svolto un complesso test per scoprire qual'è l'antivirus con la difesa proattiva migliore. Molti nuovi virus e altri tipi di malware compaiono ogni giorno, questo è il motivo per cui è importante che i prodotti antivirus non solo forniscano nuovi aggiornamenti, ma anche che essi siano in grado di rilevare tali minacce in anticipo con generiche tecniche euristiche.


Molti nuovi virus e altri tipi di malware compaiono ogni giorno, questo è il motivo per cui è importante che i prodotti antivirus non solo forniscano nuovi aggiornamenti, spesso e il più velocemente possibile, al fine di identificare le nuove minacce, ma anche che essi siano in grado di rilevare tali minacce in anticipo con generiche tecniche euristiche. Anche se oggi la maggior parte dei prodotti anti-virus forniscono giornalmente e ad ogni ora aggiornamenti ed offrono protezione "in the cloud", c'è sempre un periodo di tempo in cui l'utente non è protetto. Nel test, che ha coinvolto sedici antivirus candidati con le definizione degli antivirus aggiornate al 10 agosto 2009 e computer infettati con malware diffusi nel periodo che va dall'11 al 17 agosto, la protezione di tutti i software è stata impostata su Massima, eccezione fatta per Microsoft ed F-Secure (6). Il rapporto è stato consegnato alla fine di novembre a causa di elevate richieste di lavoro, un'analisi più approfondita e la preparazione del test retrospettivo.

http://www.av-comparatives.org/

I prodotti Anti-Virus spesso affermano di avere elevate capacità di rilevamento proattivo - molto superiori a quelli raggiunte in questo test. Questo non è solo una dichiarazione auto-promozionale, è possibile che i prodotti riescano a raggiungere le percentuali indicate, ma questo dipende dalla durata del periodo di prova, la dimensione del set campione e gli esempi utilizzati. Gli utenti non dovrebbero aver paura se i prodotti presentano basse percentuali di rilevamento proattivo. Se il software anti-virus è sempre tenuto aggiornato, sarà in grado di proteggere da più campioni. Come si può vedere, la maggior parte dei prodotti sono già in grado di rilevare in modo proattivo il malware nuovo / sconosciuto. Tali prodotti possono farlo anche senza eseguire il malware utilizzando l'euristica, mentre altri meccanismi di protezione come l'HIPS, analisi di comportamenti e di comportamenti-bloccanti, ecc., aggiungono un ulteriore livello di protezione.

http://www.av-comparatives.org/

Il test è stato eseguito utilizzando la retrospettiva scansione passiva e dimostra la capacità del prodotti in prova per individuare i nuovi malware in maniera proattiva, senza che vengano eseguiti. Nei test retrospettivi "in the cloud ", le tecnologie non sono considerate, così come non è stato considerato come spesso o quanto velocemente i nuove aggiornamenti vengono inviati all'utente. Oggi, quasi nessun prodotto antivirus fà affidamento unicamente sulle "semplice" firme. Tutti usano complesse firme generiche, ecc euristica al fine di catturare nuovi malware, senza dover scaricare o avviare l'analisi manuale di nuove minacce. Inoltre, i fornitori di anti-virus continueranno a consegnare le firme e gli aggiornamenti per colmare le lacune in cui pro-meccanismi attivi inizialmente non riescono ad individuare alcune minacce. Il software Anti-Virus utilizza varie tecnologie per proteggere un PC. La combinazione di tali livelli di protezione multipli di solito fornisce una buona protezione. Per maggiori informazioni potete leggere il report ufficiale.