VirusTotal es un servicio gratuito de análisis de malware creado por
Hispasec Sistemas, y que permite a un usuario que dude sobre la
inocuidad de un determinado archivo analizarlo con una gran cantidad de
productos antivirus que unen sus poderes de detección para reforzar
dicha tarea.
Este servicio beneficia por una parte al usuario, ya que puede detectar
posibles amenazas que su producto no haya identificado, o clarificar
posibles problemas con el variopinto nombrado del malware. Por otra
parte, también ayuda a las casas antivirus participantes ya que reciben
muestras de malware que no detectan (lo que a su vez redunda de nuevo en
beneficio de los usuarios ya que actualizan más rápido sus archivos de
definiciones). Finalmente, el servicio ayuda a nuestro laboratorio, ya
que nos dota de un conocimiento íntimo de las capacidades de dichos
productos Antivirus que posteriormente utilizamos a la hora de realizar
tareas de consultoría en ese campo.
VirusTotal ha experimentado un importante aumento de actividad desde su
lanzamiento el pasado mes de junio. Si bien en julio el número de
archivos analizados fue de 4.997, éste pasado mes de diciembre esa cifra
ha subido a 12.556 (más de un 150% de aumento de actividad).
De dicha cantidad de archivos analizados, un 63,3% (7951) dio positivo
avisando a los usuarios de que contenían algún tipo de código malicioso.
El alto porcentaje de muestras que no dieron positivo muestran que el
servicio está siendo utilizado por muchos usuarios para hacer
comprobaciones rutinarias de los archivos que reciben, en un gesto
rápido y sencillo para asegurar en lo posible su inocuidad.
Sobre el número de muestras que dieron positivo, una abrumadora mayoría
del 92,2% no fue detectada por todos los motores integrados. Esto apunta
tanto a un posible problema resuelto si el usuario utilizaba uno de esos
productos que no lo detectó, como a una tendencia general a utilizar el
servicio ante muestras menos comunes que los típicos gusanos de
distribución masiva, ya que estos suelen ser detectados por todos los
productos a las pocas horas de su aparición (como ejemplo, ver
referencias [1] y [2]).
Lo anteriormente expuesto y la gran heterogeneidad de las muestras
recibidas se refleja perfectamente en el top 10 del malware detectado:
el porcentaje mayor es para una muestra detectada solamente por la
heurística de un producto (‘probably unknown NewHeur_PE’, con 215
muestras que hacen un porcentaje del 2,7%), mientras que las cuatro
siguientes son detecciones genéricas de ejemplares maliciosos (‘Trojan
Horse’, ‘W32/Backdoor’ con porcentajes sobre el total del 2,5%, 2,1%,
1,8% y 1,6% respectivamente). Siguiendo este top 10, nos encontramos
también con ‘Zafi.d’, que tan velozmente se expandió estas pasadas
navidades (un 1,5%), ‘TrojanSpy.Win32.Banbra.q’, un troyano diseñado
para el robo de credenciales bancarias (1,3%), ‘Backdoor.SDBot.Gen’,
orientado al control remoto de la víctima (1,1%) y a Netsky.P y Sober.I
(1,2% y 1,0%), cuya persistencia aún hoy día resulta sorprendente.
Bajando más en dicha lista, comprobaremos que hay un protagonismo
bastante importante de los troyanos en general, más proclives a no ser
detectados por determinados productos que se centran más en las amenazas
de virus y gusanos.
Los productos integrados en VirusTotal se actualizaron un total de 1763
veces, lo que hace una media de 2,36 actualizaciones por hora. Este
estadístico en concreto es uno de los que mejor muestra la utilidad de
este servicio, en especial a la hora de la identificación temprana de
malware recién publicado.
Siguiendo la filosofía de mejorar constantemente este servicio
gratuito, se ha procedido a incorporar el motor del antivirus AVG de
Grisoft [3], producto gratuito muy utilizado por usuarios domésticos.
Esta nueva entrada sube el número de productos integrados a 14, y el de
motores a 16 (dado que Sybari incorpora dos motores más que no figuran
entre los usados para analizar las muestras de los usuarios).
Por lo demás, seguimos a la espera de las centrales de McAfee y
TrendMicro para poder volver a utilizar sus productos (hemos recibido
muchas consultas de usuarios al respecto) y seguimos también en
conversaciones con otras casas antivirus para integrar sus productos al
servicio y así reforzarlo aún más.
jcanto@hispasec.com
Más información:
[1] Alerta: Gusano Zafi.D aparenta ser una felicitación navideña
http://www.hispasec.com/unaaldia/2242
[2] Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)
http://www.hispasec.com/unaaldia/2223
[3] Grisoft: AVG Free
http://free.grisoft.com/freeweb.php/doc/2/
VirusTotal
http://www.virustotal.com/
VirusTotal aumenta su poder de detección e incorpora nuevas funcionalidades
http://www.hispasec.com/unaaldia/2228
Finding a second opinion: Using free Web-based AV scanning resources
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1022311,00.html
When a Zero-Day Visits You
http://www.enterpriseitplanet.com/security/features/article.php/11321_3440311_2
Submitting Malware – Unpatched IE Hole Being Exploited – eJihad or
iHysteria?
http://isc.sans.org/diary.php?date=2004-08-24
Deja una respuesta