• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Rumorología antivirus

Rumorología antivirus

19 octubre, 2009 Por Hispasec 1 comentario

«A una colectividad se le engaña siempre mejor que a un hombre». A bote pronto esta afirmación de Pío Baroja puede parecer errónea, pero enseguida cobra sentido si pensamos en el fenómeno de la rumorología, cómo una información falsa puede expandirse con gran fuerza en un colectivo, donde los individuos actúan como cadenas propagando el rumor de forma inconsciente.

El origen de un rumor puede ser intencionado e interesado, de hecho es una de las técnicas bien conocidas para la manipulación de masas de cara a influir en el comportamiento voluntario de los individuos. «Miente, miente, que algo quedará. Una mentira repetida mil veces se convierte en una realidad», que decía Joseph Goebbels, ministro encargado de la propaganda nazi en tiempos de Hitler. En otras ocasiones el origen de un rumor no es intencionado, pero no por ello deja de ser menos efectivo.

¿Por qué se propaga un rumor?. Probablemente se pueda encontrar mucha literatura sobre la psicología del rumor, si bien una de las causas palpables es la falta de crítica y criterio propio de los individuos a la hora de dar por buena y propia la información que reciben. Hay que analizar y contrastar la noticia, que dirían los periodistas.

Otro aspecto interesante del rumor es que evoluciona y se intensifica al transmitirse. Cada uno de los individuos puede añadir elementos a la información para dotarla de mayor credibilidad de cara a terceros, por lo que el bulo crece con fuerza a medida que se propaga aprovechando las relaciones de confianza entre individuos. Una misma historia puede sonar más o menos convincente dependiendo del grado de confianza que tengas en el transmisor.

¿Pero que tiene todo esto que ver con los antivirus? ¿Vamos a hablar de los mensajes sobre falsos virus que pueden llegar a nuestro buzón y que la gente reenvía? Pues no, vamos a ver como los propios antivirus pueden verse afectados por la rumorología, como partiendo de una información falsa no analizada y contrastada pueden propagar y aumentar un error de forma inconsciente.

En el 2002 se llevó a cabo en España la II Campaña de Seguridad en la Red, encabezada por la Asociación de Internautas con la colaboración de diversas instituciones, desde el Ministerio de Ciencia y Tecnología hasta medios de comunicación. Entre otras actuaciones se facilitó de forma gratuita diverso software de seguridad: Antivirus de Panda, CheckDialer de Hispasec o una pequeña utilidad desarrollada por la propia Asociación de Internautas denominada «AlertVir». Es esta última la protagonista de nuestra historia.

AlertVir es una especie de «avisador», tipo cliente RSS para Windows, que muestra información sobre malware de nueva aparición. Un programa tan pequeño como legítimo e inofensivo. Algunas heurísticas de varios motores antivirus empezaron a detectar de forma errónea esta utilidad, es lo que llamamos «falso positivo»:

CAT-QuickHeal: (Suspicious) – DNAScan
Fortinet: PossibleThreat
Norman: W32/Suspicious_U.gen
Sophos: Mal/Packer
Sunbelt: VIPRE.Suspicious

Como puede observarse las primeras detecciones eran muy genéricas, en los nombres dados se hace mención a «sospechoso» ó «posible amenaza». La clave sin embargo la podemos encontrar en la firma de Sophos que lo identifica como «Mal/Packer», lo que nos da una pista de porque algunos motores antivirus empezaron a detectarlo. El ejecutable de AlertVir está comprimido con la utilidad «UPack» para hacerlo más pequeño. Algunos creadores de malware también utilizan este tipo de utilidades para ofuscar sus especímenes, por lo que algunos antivirus optaron por el camino más fácil: identificar directamente como sospechoso cualquier software que utilice alguno de estos packers.

Lo que en principio fue un caso más de falso positivo y heurísticas paranoicas ha ido degenerando con el tiempo a medida de que otros antivirus detectaban la utilidad como malware, probablemente llevados a equívoco por alguna de esas primera detecciones. El caso es que ya no se trataba de heurísticas paranoicas basadas en el packer, sino que los motores empezaron a crear una firma específica para detectar a AlertVir identificándolo como malware con nombre propio:

AntiVir: PHISH/FraudTool.AlertVir.A
AhnLab-V3: Win-AppCare/Alertvir.46788
Authentium: W32/Alertvir.A
Comodo: ApplicUnsaf.Win32.FraudTool.AlertVir
eTrust-Vet: Win32/Tarliver.A
F-Prot: W32/Alertvir.A
F-Secure: FraudTool.Win32.AlertVir.a
VBA32: FraudTool.AlertVir.a
ViRobot: Adware.AlertVir.46788

Por las denominaciones antivirus podemos apreciar que en estos casos se trata de una identificación unívoca (AlertVir), no por heurística, y por los prefijos la mayoría lo cataloga como herramienta para llevar a cabo algún tipo de fraude (FraudTool).

¿Cómo es posible que distintos análisis llevados a cabo por laboratorios antivirus independientes lleguen a una misma conclusión errónea?. La respuesta es simple, porque no se han llevado a cabo esos análisis independientes, sino que se han dejado arrastrar e influenciar unos por otros (eufemismos aparte, porque se copian entre ellos).

Con el transcurso del tiempo la bola de nieve ha ido creciendo cual rumor, ya que cada uno de esos motores que identificaron erróneamente a la aplicación hacían más creíble que se trataba de un malware, y el resultado a día de hoy es que, nada más y nada menos, 31 motores antivirus identifican a AlertVir:

a-squared: Win32.SuspectCrc!IK
AntiVir: PHISH/FraudTool.AlertVir.A
Antiy-AVL: FraudTool/Win32.AlertVir.gen
Authentium: W32/Alertvir.A
Avast: Win32:Trojan-gen
AVG: Suspicion: unknown virus
BitDefender: Trojan.Small.AVB
CAT-QuickHeal: FraudTool.AlertVir.a (Not a Virus)
Comodo: Heur.Packed.Unknown
DrWeb: Trojan.Fakealert.380
eSafe: Win32.Trojan
eTrust-Vet: Win32/Tarliver.A
F-Prot: W32/Alertvir.A
F-Secure: Trojan.Small.AVB
Fortinet: PossibleThreat
GData: Trojan.Small.AVB
Ikarus: Win32.SuspectCrc
Jiangmin: TrojanDropper.Agent.aehe
K7AntiVirus: not-a-virus:FraudTool.Win32.AlertVir
Kaspersky: not-a-virus:FraudTool.Win32.AlertVir.a
McAfee-GW-Edition: Phish.FraudTool.AlertVir.A
nProtect: Trojan/W32.Small.46788
PCTools: FraudTool.AlertVir!sd5
Sophos: Sus/ComPack-C
Sunbelt: Trojan.Win32.Packer.Upack0.3.9 (v)
Symantec: Trojan Horse
TheHacker: Aplicacion/AlertVir.a
TrendMicro: TROJ_SMALL.FCY
VBA32: FraudTool.AlertVir.a
ViRobot: Adware.AlertVir.46788
VirusBuster: Packed/Upack

¿Es lícito que los antivirus se copien? Desde mi punto de vista, dado el aluvión de malware que sufrimos hoy día, es necesaria la colaboración entre antivirus. Es materialmente imposible que un solo laboratorio tenga capacidad suficiente para analizar al detalle todos los especímenes que surgen a diario. El caso «AlertVir» es un efecto colateral no deseado, pero en general la colaboración es beneficiosa para todos los antivirus y por ende para la seguridad global.

Para minimizar situaciones similares sí sería deseable establecer mejores controles antes de dar como buena la detección de otro motor, por muy reputado que nos parezca, y siempre evitando la copia de firmas indiscriminadas sin algún tipo de análisis independiente adicional (evitar el plagio sin más). Como con los rumores en el boca a boca, es necesario cierto sentido crítico antes de dar por buena la información que recibimos y hacernos eco de ella.

Otra área de oportunidad interesante es la colaboración de la industria para la gestión de los falsos positivos. Los errores son inevitables en cualquier actividad, y el determinar si un software es malintencionado o legítimo es una tarea más complicada cada día, no existe un algoritmo perfecto. Si a eso le sumamos que, dada la cantidad de malware, la industria se ha visto obligada de pasar de los analistas humanos a la automatización a la hora de discernir el goodware del malware, el ratio de errores se ha incrementado considerablemente.

Hasta la fecha los errores por falsos positivos se suelen gestionar de forma individual. En el propio caso «AlertVir» hubo al menos dos casas antivirus que rectificaron y eliminaron sus firmas de detección, si bien ese conocimiento no se propagó al resto de laboratorios. En la actualidad existen canales de colaboración para el intercambio de muestras de malware y amenazas en general, sería beneficioso que se establecieran mecanismos similares para corregir errores por ese «exceso de celo». La industria del desarrollo de software, cada vez más golpeada por los falsos positivos, lo agradecerá.

bernardo@hispasec.com
Bernardo Quintero

Más información:

Detección de alertvir.exe en VirusTotal
http://www.virustotal.com/analisis/ffb1db59eca78eceb66365d5dd4605a3a0e69c92f
bbb30e5b3e0e7b147b9a079-1255884096

Alertvir, paradojas antivirus
http://blog.hispasec.com/laboratorio/303

AlertVir
http://www.alertvir.es

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. jorge luis Fontan dice

    21 noviembre, 2013 a las 12:06 pm

    Este comentario ha sido eliminado por el autor.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR