miércoles, 30 de abril de 2008

El malware se vale de los antivirus para proteger sus intereses

Symantec publica una curiosa entrada en su blog sobre las licencias de uso de un kit de troyano. Como industria, no debe extrañar que un kit de malware sea adquirido con su correspondiente licencia de uso, archivo de ayuda, e incluso restricciones que protejan la "propiedad intelectual" del aguerrido (grupo) creador de la pieza o sistema (se suele suministrar el malware y además el código del panel de control de la botnet). Lo curioso es que se utiliza a las casas antivirus como arma arrojadiza, como una amenaza para quien viole los términos de uso del malware.

Cualquiera que desarrolle un programa y quiera obtener un beneficio económico directo por su venta, debe lidiar con el problema que supone que el software se distribuya de forma descontrolada más allá del primer comprador. Para eso se escriben unos términos de uso que acuerdan las condiciones del 'contrato' entre el comprador y el desarrollador. En el mundo underground, donde se venden binarios a demanda para crear una botnet, confiar en que el comprador (cuyo fin de por sí es ilegal) respete los acuerdos, es poco más que una cuestión de fe.

Symantec ha curioseado en los archivos de ayuda de un 'viejo conocido', el paquete de malware Zeus. Este crea una botnet con una interfaz muy cómoda con la que manejar a los zombis. En su acuerdo de licencia, aparte de la prohibición expresa de distribución descontrolada, aplicar ingeniería inversa y demás condiciones que se aplican en las licencias 'habituales' de software, se puede leer (en ruso):

"En caso de que se detecte la violación de los acuerdos, el cliente pierde el soporte técnico. Además, el código binario de la botnet será enviado inmediatamente a las casas antivirus."

Se utiliza a las casas antivirus como el 'coco' que puede venir a aguar la potencial 'fiesta' que organice el cliente con el kit de botnet adquirido. ¿Es efectiva esta amenaza? Suponemos que si a los usuarios legítimos les cuesta, no ya respetar, sino simplemente leer los acuerdos en las licencias de software en el marco de la legalidad, si lo trasladamos a otros ambientes, quizás no tenga mucho sentido esta amenaza. La detección por parte de los motores hace las veces de 'juez' donde acudir cuando se viola un acuerdo. Una especie de 'embargo' de la mercancía.

Por tanto, se observa una curiosa mezcla de industrias, legítima y no. La del malware se sirve de la industria antivirus para cubrir dos intereses bien distintos: por un lado, usa al 'enemigo' para asegurar sus intereses, amenazando con enviar las muestras a los laboratorios si a alguien se le ocurre romper un trato con un estafador. Ejerce de 'chivato' confiando en la eficacia de los antivirus cuando les conviene.

Por otro, huyen de las firmas de los antivirus como de la peste, y el hecho de que una muestra que se quiere vender pase 'limpia' por los distintos motores (utilizan capturas y enlaces de VirusTotal.com, por ejemplo) se utiliza como estrategia de marketing y para potenciar el producto. Alardean de su capacidad para poner a prueba la eficacia de esos mismos motores en los que también confían en cierta forma para proteger sus intereses.

Aquí cabe matizar que el test que realizan con VirusTotal.com no se ajusta del todo a la realidad. El comportamiento de un antivirus en un escritorio es muy distinto al de nuestro sistema multimotor, sobre todo porque lo que encierra VirusTotal.com son versiones de línea de comando sin muchas funciones que incluyen los sistemas de escritorio que potencian sustancialmente su eficacia.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Copyright Violations in the Underground
http://www.symantec.com/enterprise/security_response/weblog/2008/04/copyright_violations_in_the_un.html