ANN ARBOR: Antivirus software on your personal computer could become a thing of the past thanks to a new “cloud computing” approach to malicious software detection developed at the University of Michigan.
 
Cloud computing refers to applications and services provided seamlessly on the Internet.
 
Traditional antivirus software is installed on millions of individual computers around the world but according to researchers, antivirus software from popular vendors is increasingly ineffective. The researchers observed malware—malicious software—detection rates as low as 35 percent against the most recent threats and an average window of vulnerability exceeding 48 days. That means new threats went undetected for an average of seven weeks. The computer scientists also found severe vulnerabilities in the antivirus engines themselves.

The researchers' new approach, called CloudAV, moves antivirus functionality into the "network cloud" and off personal computers. CloudAV analyzes suspicious files using multiple antivirus and behavioral detection programs simultaneously.
 
"CloudAV virtualizes and parallelizes detection functionality with multiple antivirus engines, significantly increasing overall protection," said Farnam Jahanian, professor of computer science and engineering in the Department of Electrical Engineering and Computer Science.
 
Jahanian, along with doctoral candidate Jon Oberheide and postdoctoral fellow Evan Cooke, both in the Department of Electrical Engineering and Computer Science, recently presented a paper on the new approach at the USENIX Security Symposium.
 
To develop this novel approach, the researchers evaluated 12 traditional antivirus software programs against 7,220 malware samples, including viruses, collected over a year. The vendors tested were: Avast, AVG, BitDefender, ClamAV, CWSandbox, F-Prot, F-Secure, Kaspersky, McAfee, Norman Sandbox, Symantec, and Trend Micro.
 
Traditional antivirus software that resides on a personal computer checks documents and programs as they are accessed. Because of performance constraints and program incompatibilities, only one antivirus detector is typically used at a time.
 
CloudAV, however, can support a large number of malicious software detectors that act in parallel to analyze a single incoming file. Each detector operates in its own virtual machine, so the technical incompatibilities and security issues are resolved, Oberheide said.
 
CloudAV is accessible to any computer or mobile device on the network that runs a simple software agent. Each time a computer or device receives a new document or program, that item is automatically detected and sent to the antivirus cloud for analysis. The CloudAV system the researchers built uses 12 different detectors that act together to tell the inquiring computer whether the item is safe to open.
 
CloudAV also caches analysis results, speeding up the process compared with traditional antivirus software. This could be useful for workplaces, for example, where multiple employees might access the same document. The new approach also includes what the developers call "retrospective detection," which scans its file access history when a new threat is identified. This allows it to catch previously-missed infections earlier.
 
The researchers see promising opportunities in applying CloudAV to cell phones and other mobile devices that aren't robust enough to carry powerful antivirus software.
 
The paper is called: CloudAV: N-Version Antivirus in the Network Cloud.
 
For more information: CloudAV Project Summary: http://www.eecs.umich.edu/fjgroup/cloudav/
USENIX Security Symposium: http://www.usenix.org/events/sec08/

 
Investigadores de la UM desarrollan nueva generación de sistema antivirus
ANN ARBOR: El programa antivirus en su computadora personal podría ser pronto una cosa del pasado gracias a un nuevo enfoque de "computación en nube" para la detección de programas dañinos desarrollado en la Universidad de Michigan.
 
La computación en nube se refiere a las aplicaciones y servicios provistos de manera integral en Internet.
 
Los programas antivirus tradicionales están instalados en millones de computadoras individuales en todo el mundo pero, según los investigadores, los programas antivirus de proveedores populares tales como Symantec, McAfee y Trend Micro son cada vez menos eficaces. Los investigadores observaron que las tasas de detección de programas dañinos son tan bajas como del 35 por ciento contra las amenazas más recientes y que existe una ventana de vulnerabilidad promedio que excede los 48 días. Esto significa que las nuevas amenazas pasan sin ser detectadas un promedio de siete semanas. Los científicos de computación también encontraron vulnerabilidades graves en los programas mismos de antivirus.
 
El nuevo enfoque de los investigadores, llamado CloudAV (anti virus de nube), transfiere la funcionalidad antivirus a la "red en nube" y la saca de las computadoras personales. CloudAV analiza los documentos sospechosos utilizando múltiples programas antivirus y de detección de comportamiento simultáneamente.
 
"Los programas antivirus actuales son cada vez menos eficaces para proteger a los anfitriones contra las amenazas maliciosas modernas. Como respuesta CloudAV virtualiza y paraleliza la funcionalidad de detección con múltiples sistemas antivirus, lo cual incrementa significativamente la protección general", dijo Farnam Jahanian, profesor de Ciencias e Ingeniería de Computación.
 
Jahanian junto con el candidato al doctorado Jon Oberheide y el post doctorado Evan Cooke, ambos en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación, presentaron recientemente un artículo sobre este nuevo enfoque en el Simposio USENIX de Seguridad.
 
Para desarrollar su producto, los investigadores probaron 12 programas antivirus tradicionales contra 7.220 ejemplares de programas dañinos incluidos virus recolectados a lo largo de un año. Los proveedores probados fueron: Avast, AVG, BitDefender, ClamAV, CWSandbox,  F-Prot, F-Secure, Kaspersky, McAfee, Norman Sandbox, Symantec y Trend Micro.
 
Los programas antivirus tradicionales residen en una computadora y verifican los documentos y los programas a medida que se les introduce. Debido a las limitaciones de espacio en el disco y las incompatibilidades entre programas, habitualmente se usa un solo programa antivirus por vez.
 
CloudAV, sin embargo, puede apoyar un gran número de detectores de programas dañinos que actúan en paralelo para el análisis de un solo documento que ingresa. Cada detector opera en su propia máquina virtual, de manera que se resuelven las incompatibilidades técnicas y los problemas de seguridad, dijo Oberheide.
 
CloudAV es accesible a cualquier computadora o aparato móvil en la red que opere un simple agente de programa. Cada vez que una computadora o aparato recibe un nuevo documento o programa, ese objeto se detecta automáticamente y se envía a la nube antivirus para su análisis. El sistema CloudAV que construyeron los investigadores usa 12 detectores diferentes que actúan juntos para indicarle a la computadora que ordenó la inspección está limpio y puede guardarse con seguridad.
 
CludAV también comprime los resultados del análisis, lo cual acelera el proceso en comparación con los programas antivirus tradicionales. Esto podría ser útil para los lugares de trabajo, por ejemplo, donde diferentes personas pueden acceder al mismo documento. El nuevo enfoque también incluye lo que los desarrolladores llaman "detección retrospectiva", que escanea otra vez todos los archivos cuando se identifica una amenaza nueva. Esta permite la captura más temprana de infecciones que antes no se habían detectado.
 
Los investigadores ven oportunidades prometedoras en la aplicación de CloudAV para los teléfonos celulares y otros aparatos móviles que no son lo suficientemente robustos como para portar poderosos programas antivirus.
 
El artículo se titula: CloudAV: N-Version Antivirus in the Network Cloud.
 
Por más información: CloudAV Project Summary: http://www.eecs.umich.edu/fjgroup/cloudav/
USENIX Security Symposium: http://www.usenix.org/events/sec08/
 
Michigan Engineering:
El Colegio de Ingeniería de la Universidad de Michigan está clasificado entre las mejores escuelas de ingeniería del país. Con más de 130 millones de dólares anuales su presupuesto de investigación en ingeniería es uno de los mayores de cualquier universidad pública. Michigan Engineering alberga 10 departamentos académicos y un Centro de Investigación de Ingeniería de la Fundación Nacional de Ciencias. El colegio desempeña un papel de liderazgo en el Instituto Michigan Memorial Phoenix de Energía y alberga la Instalación Lurie de Nanofabricación de categoría mundial. Las becas de primera línea, la escala internacional y el alcance multidisciplinario de Michigan Engineering se combinan para crear La Diferencia Michigan. Puede obtener más información en http://www.engin.umich.edu