domingo, 17 de octubre de 2010

Zbot, añadido al Malicious Software Removal Tool, bate récord

Microsoft añadió la firma de Zbot a su MSRT (Malicious Software Removal Tool) el pasado martes. Los resultados publicados, confirman que Zbot (Zeus) sigue siendo la familia que más afecta a los Windows, encontrándose en 1 de cada 5 sistemas limpiados, según Microsoft.

El MSRT no es un antivirus "al uso". Es un sistema antivirus que viene con Windows por defecto y que solo detecta malware por firmas. Se actualiza una vez al mes (el segundo martes de cada mes, junto con los boletines de seguridad de Windows). En ese momento realiza un análisis y una limpieza del sistema en caso de que encuentre algún malware que coincida con sus firmas.

El usuario puede lanzar en la máquina su MSRT, simplemente ejecutando "mrt" (sin las comillas) en la línea de comando. Desde esa interfaz, se podrá realizar un análisis del sistema a demanda. También incluye opciones por línea de comando para poder programarlo cada cierto tiempo. Esta herramienta no está pensada para sustituir al antivirus tradicional (Microsoft se hubiese ganado muchos enemigos si hubiese actuado así), sino para complementarlo.

El pasado martes Microsoft incluyó las firmas de Zbot en su actualización. Desde entonces ha sido el troyano más eliminado, aunque esto es común cuando se añade una nueva firma. De hecho, la política de Microsoft es publicar firmas cuando el troyano en cuestión está muy extendido. Lo que no es tan común es que, del más del 1.300.000 de sistemas limpiados, se ha encontrado en 1 de cada 5. Y esto es un récord para los analistas de Microsoft, incluso cuando estos resultados son de apenas una semana de análisis. Se han eliminado tantos Zbot como de las dos otras familias más detectadas juntas: Vundo y Bubnix. Estos son los números tras, "sólo" 86 millones de análisis realizados.

Aunque pueden ser consideradas buenas noticias, puesto que añadir esta firma ayudará a erradicar la plaga, si por algo se caracteriza la familia Zbot es por su rentabilidad, su continua evolución y por su capacidad de adaptación al medio (su último logro es un ingenioso método para introducirse en los móviles de las víctimas y eludir los sistemas de doble factor de autenticación de los bancos). Así que, por desgracia, se espera que las nuevas variantes de Zbot sigan pasando desapercibidas para muchos antivirus y continúe su sofisticación.


Sergio de los Santos
ssantos@hispasec.com


Más información:

An Early Look at the Impact of MSRT on Zbot
http://blogs.technet.com/b/mmpc/archive/2010/10/17/an-early-look-at-the-impact-of-msrt-on-zbot.aspx

No hay comentarios:

Publicar un comentario en la entrada