Estadísticas de diciembre e incorporación de AVG a VirusTotal - Una al Día

VirusTotal es un servicio gratuito de análisis de malware creado por
Hispasec Sistemas, y que permite a un usuario que dude sobre la
inocuidad de un determinado archivo analizarlo con una gran cantidad de
productos antivirus que unen sus poderes de detección para reforzar
dicha tarea.

Este servicio beneficia por una parte al usuario, ya que puede detectar
posibles amenazas que su producto no haya identificado, o clarificar
posibles problemas con el variopinto nombrado del malware. Por otra
parte, también ayuda a las casas antivirus participantes ya que reciben
muestras de malware que no detectan (lo que a su vez redunda de nuevo en
beneficio de los usuarios ya que actualizan más rápido sus archivos de
definiciones). Finalmente, el servicio ayuda a nuestro laboratorio, ya
que nos dota de un conocimiento íntimo de las capacidades de dichos
productos Antivirus que posteriormente utilizamos a la hora de realizar
tareas de consultoría en ese campo.

VirusTotal ha experimentado un importante aumento de actividad desde su
lanzamiento el pasado mes de junio. Si bien en julio el número de
archivos analizados fue de 4.997, éste pasado mes de diciembre esa cifra
ha subido a 12.556 (más de un 150% de aumento de actividad).

De dicha cantidad de archivos analizados, un 63,3% (7951) dio positivo
avisando a los usuarios de que contenían algún tipo de código malicioso.
El alto porcentaje de muestras que no dieron positivo muestran que el
servicio está siendo utilizado por muchos usuarios para hacer
comprobaciones rutinarias de los archivos que reciben, en un gesto
rápido y sencillo para asegurar en lo posible su inocuidad.

Sobre el número de muestras que dieron positivo, una abrumadora mayoría
del 92,2% no fue detectada por todos los motores integrados. Esto apunta
tanto a un posible problema resuelto si el usuario utilizaba uno de esos
productos que no lo detectó, como a una tendencia general a utilizar el
servicio ante muestras menos comunes que los típicos gusanos de
distribución masiva, ya que estos suelen ser detectados por todos los
productos a las pocas horas de su aparición (como ejemplo, ver
referencias [1] y [2]).

Lo anteriormente expuesto y la gran heterogeneidad de las muestras
recibidas se refleja perfectamente en el top 10 del malware detectado:
el porcentaje mayor es para una muestra detectada solamente por la
heurística de un producto (‘probably unknown NewHeur_PE’, con 215
muestras que hacen un porcentaje del 2,7%), mientras que las cuatro
siguientes son detecciones genéricas de ejemplares maliciosos (‘Trojan
Horse’, ‘W32/Backdoor’ con porcentajes sobre el total del 2,5%, 2,1%,
1,8% y 1,6% respectivamente). Siguiendo este top 10, nos encontramos
también con ‘Zafi.d’, que tan velozmente se expandió estas pasadas
navidades (un 1,5%), ‘TrojanSpy.Win32.Banbra.q’, un troyano diseñado
para el robo de credenciales bancarias (1,3%), ‘Backdoor.SDBot.Gen’,
orientado al control remoto de la víctima (1,1%) y a Netsky.P y Sober.I
(1,2% y 1,0%), cuya persistencia aún hoy día resulta sorprendente.

Bajando más en dicha lista, comprobaremos que hay un protagonismo
bastante importante de los troyanos en general, más proclives a no ser
detectados por determinados productos que se centran más en las amenazas
de virus y gusanos.

Los productos integrados en VirusTotal se actualizaron un total de 1763
veces, lo que hace una media de 2,36 actualizaciones por hora. Este
estadístico en concreto es uno de los que mejor muestra la utilidad de
este servicio, en especial a la hora de la identificación temprana de
malware recién publicado.

Siguiendo la filosofía de mejorar constantemente este servicio
gratuito, se ha procedido a incorporar el motor del antivirus AVG de
Grisoft [3], producto gratuito muy utilizado por usuarios domésticos.
Esta nueva entrada sube el número de productos integrados a 14, y el de
motores a 16 (dado que Sybari incorpora dos motores más que no figuran
entre los usados para analizar las muestras de los usuarios).

Por lo demás, seguimos a la espera de las centrales de McAfee y
TrendMicro para poder volver a utilizar sus productos (hemos recibido
muchas consultas de usuarios al respecto) y seguimos también en
conversaciones con otras casas antivirus para integrar sus productos al
servicio y así reforzarlo aún más.

Julio Canto
jcanto@hispasec.com

Más información:

[1] Alerta: Gusano Zafi.D aparenta ser una felicitación navideña
http://www.hispasec.com/unaaldia/2242

[2] Comentarios sobre el gusano Pawur (Tasin/Inzae/Anzae)
http://www.hispasec.com/unaaldia/2223

[3] Grisoft: AVG Free
http://free.grisoft.com/freeweb.php/doc/2/

VirusTotal
http://www.virustotal.com/

VirusTotal aumenta su poder de detección e incorpora nuevas funcionalidades
http://www.hispasec.com/unaaldia/2228

Finding a second opinion: Using free Web-based AV scanning resources
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1022311,00.html

When a Zero-Day Visits You
http://www.enterpriseitplanet.com/security/features/article.php/11321_3440311_2

Submitting Malware – Unpatched IE Hole Being Exploited – eJihad or
iHysteria?
http://isc.sans.org/diary.php?date=2004-08-24

Publicaciones relacionadas

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.

Necesaria

Siempre activado

Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.