Ya son pocos los antivirus que además de lo que podría considerarse
el malware tradicional (virus, troyanos y gusanos), no incluyen en sus
firmas la detección de spyware o adware, entre otras formas de código
malicioso. Sin embargo la detección basada en firmas tiene muchas
otras posibilidades que hasta la fecha no están siendo aprovechadas
por todos los productos antivirus.
Respecto al spyware hoy día parece que no hay duda. Aunque se ha
intentado disfrazar como una nueva categoría no tiene ningún sentido
situarla fuera del ámbito de actuación de los antivirus, es una
división artificial. De hecho, el que surgieran productos específicos
para el spyware y similares puede considerarse un error histórico por
parte de las casas antivirus al no centrar su atención en ese tipo
de malware, dando la oportunidad a que surgieran pequeñas empresas
con productos especializados.
Sin embargo a diario surgen nuevas amenazas que fácilmente podrían
ser prevenidas por las firmas de un antivirus y, generalmente, no
son tenidas en cuenta por este tipo de soluciones.
Un ejemplo podría ser la explotación de determinadas
vulnerabilidades, caso por ejemplo del histórico falseamiento de
URL en Internet Explorer, parcheado en su día, que se utilizó en
ataques reales de phishing (en el Banco Popular lo recordarán). La
detección basada en firma era trivial, bastaba en comprobar si la
URL contenía determinados caracteres, como » %00″.
Si pasamos un HTML con un phishing basado en esta vulnerabilidad
por 20 motores antivirus comprobamos que sólo detectan la URL
maliciosa 4 de ellos:
ClamAV :: Trojan.URLspoof.gen.2
McAfee :: Exploit-URLSpoof.gen
Panda :: Exploit/URLSpoof
Sybari :: Exploit-URLSpoof.gen
Otro ejemplo. Hace unos días Sober.q originó una avalancha de spam,
de la que nos hicimos eco en una-al-día. Muchos usuarios consultaron
a Hispasec como podrían librarse de ese «virus» que les llegaba en
forma de correo electrónico en alemán. Evidentemente no se trataba
de un virus propiamente dicho, los mensajes sólo contenían texto y
enlaces, pero no dejaba de ser un incordio debido al gran número
de correos electrónicos que llegaban a recibir.
Soluciones para evitar ese spam había varias, desde meter algunas
reglas en el servidor de correo pasando por cualquier tipo de
solución antispam, que para eso están. Eso pensarían las casas
antivirus, más si cabe en aquellos casos donde, además, venden
soluciones específicas o incorporan el antispam en sus suites de
seguridad.
Pero es un hecho de que muchos usuarios que contaban con solución
antivirus en su PC, incluso muchos otros también en el servidor
de correo, sufrieron la avalancha de spam emitida por Sober.q por
no tener ese tipo de soluciones antispam. Teniendo en cuenta que
Sober.q tenía una serie de mensajes definidos fijos, que no
modificaba, parece que hubiera sido trivial meter una firma en el
antivirus para detectar y eliminar esos mensajes.
Analizamos un mensaje de spam emitido por Sober.q con 20 motores
antivirus, y en esta ocasión sólo uno de ellos lo detecta:
McAfee :: W32/Sober.q!spam
Véase que la firma a partir del pasado 23 no tiene mucha razón de
ser, ya que Sober.q estaba programado para dejar de enviar spam
desde ese día, e intentar descargar e instalar otro ejecutable,
probablemente Sober.r (a día de hoy no ha aparecido aun). Pero
dejando a un lado la temporalidad de la utilidad de la firma,
no deja de ser un ejemplo más de otro uso de las firmas antivirus
que a buen seguro algún usuario agradeció.
Y llegados a este punto muchos se preguntarán hasta donde debe
llegar un antivirus. Viendo la nueva corriente de suites de
seguridad «anti-todo» parece complicado contestar algo concreto,
pero desde el punto de vista de la tecnología antivirus
tradicional parece que en muchas ocasiones se podría exprimir aun
más sus posibilidades sin que ello requiera incorporar nuevos
módulos al antivirus ni repercuta negativamente en la carga del
sistema.
bernardo@hispasec.com
Más información:
Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873
Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904
Sober.q causa de una avalancha de spam con propaganda neonazi
http://www.hispasec.com/unaaldia/2399
Deja un comentario