Firmas antivirus más allá del malware tradicional
25 may 2005, 01:03
| #1 (permalink) |
| Miembro activo  Registrado: febrero 2005 Ubicación: en la tierra de los sueños"puxa asturias" Mensajes: 17.725 |  Firmas antivirus más allá del malware tradicional hola wenasss!!!!!!!!!! fuente.hispasec.com Ya son pocos los antivirus que además de lo que podría considerarse el malware tradicional (virus, troyanos y gusanos), no incluyen en sus firmas la detección de spyware o adware, entre otras formas de código malicioso. Sin embargo la detección basada en firmas tiene muchas otras posibilidades que hasta la fecha no están siendo aprovechadas por todos los productos antivirus. Respecto al spyware hoy día parece que no hay duda. Aunque se ha intentado disfrazar como una nueva categoría no tiene ningún sentido situarla fuera del ámbito de actuación de los antivirus, es una división artificial. De hecho, el que surgieran productos específicos para el spyware y similares puede considerarse un error histórico por parte de las casas antivirus al no centrar su atención en ese tipo de malware, dando la oportunidad a que surgieran pequeñas empresas con productos especializados. Sin embargo a diario surgen nuevas amenazas que fácilmente podrían ser prevenidas por las firmas de un antivirus y, generalmente, no son tenidas en cuenta por este tipo de soluciones. Un ejemplo podría ser la explotación de determinadas vulnerabilidades, caso por ejemplo del histórico falseamiento de URL en Internet Explorer, parcheado en su día, que se utilizó en ataques reales de phishing (en el Banco Popular lo recordarán). La detección basada en firma era trivial, bastaba en comprobar si la URL contenía determinados caracteres, como " %00". Si pasamos un HTML con un phishing basado en esta vulnerabilidad por 20 motores antivirus comprobamos que sólo detectan la URL maliciosa 4 de ellos: ClamAV :: Trojan.URLspoof.gen.2 McAfee :: Exploit-URLSpoof.gen Panda :: Exploit/URLSpoof Sybari :: Exploit-URLSpoof.gen Otro ejemplo. Hace unos días Sober.q originó una avalancha de spam, de la que nos hicimos eco en una-al-día. Muchos usuarios consultaron a Hispasec como podrían librarse de ese "virus" que les llegaba en forma de correo electrónico en alemán. Evidentemente no se trataba de un virus propiamente dicho, los mensajes sólo contenían texto y enlaces, pero no dejaba de ser un incordio debido al gran número de correos electrónicos que llegaban a recibir. Soluciones para evitar ese spam había varias, desde meter algunas reglas en el servidor de correo pasando por cualquier tipo de solución antispam, que para eso están. Eso pensarían las casas antivirus, más si cabe en aquellos casos donde, además, venden soluciones específicas o incorporan el antispam en sus suites de seguridad. Pero es un hecho de que muchos usuarios que contaban con solución antivirus en su PC, incluso muchos otros también en el servidor de correo, sufrieron la avalancha de spam emitida por Sober.q por no tener ese tipo de soluciones antispam. Teniendo en cuenta que Sober.q tenía una serie de mensajes definidos fijos, que no modificaba, parece que hubiera sido trivial meter una firma en el antivirus para detectar y eliminar esos mensajes. Analizamos un mensaje de spam emitido por Sober.q con 20 motores antivirus, y en esta ocasión sólo uno de ellos lo detecta: McAfee :: W32/Sober.q!spam Véase que la firma a partir del pasado 23 no tiene mucha razón de ser, ya que Sober.q estaba programado para dejar de enviar spam desde ese día, e intentar descargar e instalar otro ejecutable, probablemente Sober.r (a día de hoy no ha aparecido aun). Pero dejando a un lado la temporalidad de la utilidad de la firma, no deja de ser un ejemplo más de otro uso de las firmas antivirus que a buen seguro algún usuario agradeció. Y llegados a este punto muchos se preguntarán hasta donde debe llegar un antivirus. Viendo la nueva corriente de suites de seguridad "anti-todo" parece complicado contestar algo concreto, pero desde el punto de vista de la tecnología antivirus tradicional parece que en muchas ocasiones se podría exprimir aun más sus posibilidades sin que ello requiera incorporar nuevos módulos al antivirus ni repercuta negativamente en la carga del sistema.  |
|
(h5)(6)wanm(a)(h5)
| |
|  |
|
20 may 2006, 19:07
| #2 (permalink) |
| Nuevo miembro  Registrado: abril 2006 Mensajes: 9 | Re: Firmas antivirus más allá del malware tradicional em....gracias por los datos. creo q tienes razon,,,muchs multinacionales de la computación pasan por alto malwares como los rootkits, q en si no son peligrosos, pero dejan puertos abiertos para que cualqr inescrupuloso hacker o espia ingrese a tu pc..... me gusto tu foro, es muy adecuado a la avalancha de basura que se crea cada dia en internet.....  otra cosa:  uno de los "anti-todo" mas conocido es el Bit defender 9 Professional, que creo inadecuado para realizar todo lo que dice porque el consumo de recursos es enorme y en vez de facilitarte la navegacion ralentiza tu pc... q opinas de estas suite multiuso,,,,, me recomendarias otras realemnte efectivas (capacidad/consumo de recursos) Grax chao |
|
| |
| Herramientas | |
| Estilo | |
Modo lineal
