El último virus de gran propagación, alias «AnnaKournikova», pone en
entredicho la utilidad de muchas de las soluciones antivirus
existentes en el mercado. El virus es el resultado de usar un kit
de creación automática, que permite diseñar gusanos sin necesidad
de saber programar y que se conoce desde agosto de 2000. Para
colmo se ha contado con la «colaboración ciudadana», ya que son
muchos los usuarios que se han dejado engañar por prácticamente un
«remake» del archiconocido «ILOVEYOU».
A bote pronto se pueden sacar algunas conclusiones de este último
brote vírico de escala mundial:
* La tan anunciada detección heurística en las soluciones antivirus
parece que queda en la mayoría de los casos en simple publicidad, a
juzgar por la propagación que ha conseguido alcanzar este gusano.
«AnnaKournikova» está creado con «Vbs Worms Generator», un kit
de creación automática desarrollado por un argentino apodado
[K]Alamar, que permite diseñar gusanos a golpe de ratón con tan
sólo seleccionar ciertas características en un menú de configuración.
Según las últimas noticias, fue un joven holandés quién generó el
«AnnaKournikova» aprovechando esta utilidad. El autor es lo de menos,
lo peor es que provocar un caos mundial está al alcance de
cualquiera que sepa manejar Windows. En estos momentos tenemos
que «agradecer» que el joven no pulsara en la opción de payload
(efecto) dañino, ya que a juzgar por la propagación alcanzada
hubiera causado perdidas multimillonarias entre empresas y usuarios.
Esta utilidad está disponible en Internet desde agosto del año pasado
y, como es normal, todos los gusanos generados tienen mucho código
en común, lo que hace trivial que se pueda detectar cualquier
versión que produzca. En el caso concreto de «AnnaKournikova», el
algoritmo de descrifrado que puede verse a simple vista es exactamente
el mismo, línea por línea, que el de gusanos reconocidos hace meses,
con la única diferencia en el nombre de las variables. No se entiende
pues que este gusano haya podido infectar sistemas que contaran con un
antivirus, a no ser que la má simple de las heurísticas brille por
su ausencia en dichas soluciones.
A continuación, se presentan los resultados de un test llevado a cabo
por Hispasec en relación a la eficacia de los motores antivirus en el
caso del gusano «AnnaKournikova», según poder de detección/heurística
antes de que éste saliera a la luz. En el grupo de los aprobados se
encuentran los antivirus que detectaron el virus desde el primer
momento sin necesidad de una actualización adicional.
Aprobados: AVP/Karspersky, F-Secure, McAfee, TrendMicro
Suspensos: Norman, Norton, Panda, Sophos
* La ingeniería social sigue siendo la mejor arma de los virus contra
los usuarios.
No ha hecho falta crear ninguna nueva técnica de infección, aprovechar
agujeros de seguridad, ni desarrollar complicadas rutinas. Si con
«ILOVEYOU» no se pudo resistir la tentación de leer una declaración de
amor, en esta ocasión ha bastado con el simple reclamo de ver una foto
de la joven tenista Kournikova. Los encantos de Anna hicieron olvidar
a miles de usuarios la regla básica: no abrir archivos adjuntos no
solicitados.
* El actual esquema de detección de virus que implementan la inmensa
mayoría de las soluciones antivirus no es efectivo ante virus nuevos
que aprovechan Internet como canal de propagación.
Primero es necesario que el virus nuevo infecte a algunos usuarios,
que éstos se percaten y envíen una muestra al laboratorio antivirus.
Allí analizan el espécimen y desarrollan una vacuna que ponen a
disposición del resto de sus usuarios registrados a través del proceso
de actualización.
Siempre existen unos usuarios perjudicados que reciben el primer
azote del virus (tengan sus antivirus actualizados o no), y el
resto de la comunidad se encuentra indefensa mientras que se
desarrolla la vacuna específica y, posteriormente, actualizan su
antivirus.
Este esquema podía ser válido hace años, cuando los virus se
propagaban con el intercambio de disquetes. Hoy día, en cuestión de
horas (las que se tardan en el mejor de los casos en analizar y
proporcionar una vacuna específica), un gusano puede haber causado
cientos de miles de infecciones aprovechando la infraestructura de
Internet. La Red ha facilitado las actualizaciones de los productos,
pero aun se muestra más efectiva como canal de distribución de una
nueva generación de virus. Es la pescadilla que se muerde la cola.
Sin duda es un esquema productivo para las casas antivirus, que se
aseguran el mantenimiento de por vida gracias a la necesidad de
actualizaciones continuas, y útil para el usuario si no tiene la
desgracia de sufrir la infección en los primeros momentos.
En cualquier caso, no es una solución óptima y ya hay movimientos
en pro de esquemas que ataquen el problema del código malicioso de
raíz, de una forma más global y genérica.
bernardo@hispasec.com
Más información:
Un nuevo virus se camufla como una foto de Anna Kournikova
http://www.hispasec.com/unaaldia.asp?id=839
Deja una respuesta