Evolución en detección de muestras de malware zero-day

En este artículo de hoy vamos a mostrar la evolución en detección de dos muestras de malware zero-day que casualmente me han llegado por email. Las muestras son lo típico y clásico de siempre, llega un email contandote la película de turno para incitarte a descargar un fichero que llega por enlace. En este tipo de malware hay que tener cuidado por que ahora es capaz de autoresponderse otro email desde los emails guardados, es decir, que nos puede llegar por email un malware en cuyo email va una respuesta del propio malware a un email que anteriormente nosotros habiamos enviado.

INTRODUCCIÓN

Lo primero que hay que decir es que esto es una prueba de detección pura y dura, lo cual no quiere decir que un antivirus por no detectar no sea capaz de interceptar si se trata de ejecutar la muestra. Cada vez mas los antivirus vienen con varias tecnologías entre las que se incluyen los monitores de procesos o control por listas blancas que son muy extensas. El monitor de procesor sirve para detectar actividades sospechosas y los controles por listas blancas suponen una gran protección en base a que el antivirus conoce una gran cantidad de ficheros, es decir, que cuando avisa de que un fichero no conoce se puede decir que ya tiene casi todas las papeletas para ser malware.

Hay que tener claro que en esto de los antivirus la detección pura y dura cada vez es una linea de defensa mas, siendo otras lineas cada vez mas importantes para la detección del malware zero-day. Esto por otra parte tiene sus pegas, y es que un antivirus cada vez menos es algo de instalar y olvidar, si cada vez que nos avisa de algo le vamos a decir que si entonces no se está aprovechando bien el potencial que nos está ofreciendo.

También hay que tener en cuenta que hay antivirus que no necesitan de la detección en escaneo para frenar una muestra, sus motores de análisis en ejecución son capaces de interceptar el malware, asi que, se puede observar como un antivirus que en un escaneo jamás detecta una muestra luego resulta que en ejecución si la detecta perfectamente. Esto que acabo de comentar se basa en los motores de análisis en ejecución, lo cual es distinto al control por lista blanca, el control por lista blanca se limita a avisar del intento de ejecución de un fichero desconocido, es decir, al reves que la detección por firmas que se basa en lista negra.

Asi que nada mas, hasta aquí la introducción, así que veamos a ver los resultados de la evolución de la detección gentileza del motor de analisis multiple de Virustotal que nos ofrece una herramienta muy poderosa para analizar ficheros que nos llegan y poder sacar conclusiones con todos los motores de análisis que ofrece.

HISTÓRICO DE LA DETECCIÓN

Muestra 1Enlace a VirusTotal – Total de detecciones: 29

25/06 – 21:00 – DrWeb vxCube, Fortinet, Zonealarm.
26/06 – 06:35 – +Bitdefender, Emsisoft, Gdata.
26/06 – 09:00 – +AdAware, Arcabit, DrWeb, eScan, Max, ALYac, FireEye, Qihoo-360.
26/06 – 14:00 – +Comodo.
26/06 – 17:00 – +Cyren, AegisLab, Ikarus.
26/06 – 21:00 – +Lastline.
27/06 – 00:00 – +Sophos.
27/06 – 11:00 – +Vipre.
27/06 – 14:00 – +Trendmicro.
27/06 – 22:00 – +Trendmicro-HouseCall.
28/06 – 09:00 – +Kaspersky, Symantec, Tencent.
28/06 – 16:00 – +Microsoft.
29/06 – 17:00 – +Vipre.
02/07 – 10:00 – +Rising.

Muestra 2Enlace a VirusTotal – Total de detecciones: 26

25/06 – 21:00 – Arcabit, Bitdefender, Emsisoft, eScan, FireEye, GData, Max.
26/06 – 00:00 – +AegisLab.
26/06 – 09:00 – +Ikarus, Eset-Nod32, ZoneAlarm.
26/06 – 12:00 – +Fortinet, Kaspersky.
26/06 – 14:00 – +Comodo, DrWeb, Symantec.
26/06 – 21:00 – +Qihoo-360.
27/06 – 00:00 – +Cyren.
27/06 – 08:00 – +Avira, Cynet, F-Secure.
28/06 – 09:00 – +Microsoft.
28/06 – 16:00 – +Tencent.
29/06 – 08:00 – +Avast, AVG.
29/06 – 13:00 – +ALYac.

Muestra 3Enlace a VirusTotal – Total detecciones: 25

Con estas cosas al final pasa de todo, anteriormente os he mostrado dos muestras zero-day que poco a poco han ido siendo detectadas por la mayoría de los principales antivirus que usamos en España. En cambio muchas veces también tenemos muestras que no merece la pena mostrar un histórico ya que en pocas horas ya han sido detectadas por todos los antivirus relevantes. En general hay un principio que es fundamental y son los motores de análisis para detectar muestras sospechosas que son enviadas a la nube para su revisión, los antivirus en la nube, que por ello se generalizó el uso de antivirus gratuitos, se basan en que los usuarios gratis tambien colaboran en base a servir de soporte para el envio automático de muestras sospechosas.

Es por ello por lo que actualmente es fundamental un motor de análisis potente tanto a nivel del antivirus como a nivel de sus servidores, gracias a estos dos motores se consigue que una muestra nueva pase a ser detectada para todos los usuarios, pero claro, para ello el motor de análisis del antivirus tiene que ser capaz de detectar la muestra como sospechosa y proceder a su envio. Luego en el lado de los servidores de cada antivirus, tambien es fundamental otro detalle muy importante, y es que cuanto mas capaz y eficiente sea el motor de análisis automatizado menos trabajo se dejará para los análisis manuales por personal técnico del antivirus.

CONCLUSIONES FINALES

Aunque es la primera vez que publico algo así, llevo haciendo estas pruebas desde hace bastantes años. En general podemos sacar bastantes conclusiones, la primera es la evidente, hay muchas marcas de antivirus que han aparecido en el mercado, aunque tambien hay que observar que los hay que utilizan motores con licencia de otros, a modo de ejemplo tenemos el motor de Bitdefender que es bastante usado por otras marcas. En general se puede decir que por un lado tenemos antivirus, no tan conocidos por el gran público a nivel popular, que están dando bastante buenos resultados, y por otra parte tenemos antivirus muy conocidos y muy usados, sobretodo en el pasado, que se puede observar como han tardado en detectar, comparativamente hablando, mas de lo previsible.

Los resultados de esta prueba no hay que tomarlos demasiado al pie de la letra ya que son los que han dado utilizando tres muestras, lo cual quiere decir que en otro momento utilizando otra muestra los resultados pueden ser distintos aunque si es cierto que los antivirus que quedan bien en general suelen quedar bastante bien frecuentemente.

World Community Grid Signature Ranking

Los comentarios son moderados. No se permitiran comentarios que no esten dentro de las normativa aplicada para comentarios.

Si es la primera vez que escribes te recomendamos que te leas las normativa para que tengas claro que se permite y que nó, aunque el resumen es claro, educación, respeto, buenos modos y sentido común. No es necesario que nos dejes tu nombre y apellidos, como mucho tu nombre o bien un álias. El email no se muestra publicamente, no es necesario tampoco que nos dejes un email real a no ser que esperes una respuesta por privado. Los datos que nos puedas dejar no se utilizan para nada mas que para que Wordpress muestre el comentario o bien para responder por privado si lo has solicitado.

Al comentar se instala una cookie a efectos de recordar al visitante.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ayuda

AntiRadares.Net (2006-2020), tiene el honor de estar basado en WordPress versión 5.5.1 + tema Kippis
IP: 18.232.146.112 - Otra - No detectado - 129 peticiones - 22,0 segundos
Dedicado a ACP (1937-2014), siempre te quise y nunca te olvidaré. DEP

Use AdGuard para bloquear anuncios intrusivos y seguimiento en linea.   Use Quad9 DNS para hacer su internet mas rápida, segura y eficiente.   Use Panda Dome para una mayor protección y seguridad   Actualiza a Firefox aquí, acelera la web

Protegido por: WpLoginBots

WordPress theme: Kippis 1.15