Evolución en detección de una muestra de malware Zero-day

Recientemente he realizado una prueba que me gusta hacer cuando me llega una muestra de malware Zero-Day, es decir, lo que viene a ser lo mismo a decir que se tiene la suerte de ser de los primeros en encontrarse con un nuevo malware. Este malware concretamente es un ejecutable que se envía por email y cuando fui a pasarlo por VirusTotal me di cuenta de que yo fui el primero que lo envié por primera vez.

El enlace a la muestra en VirusTotal os lo pongo en este enlace. Ahí podéis acceder y realizar un reanalisis de la muestra así como poder acceder a información diversa sobre la misma. Os recomiendo que deis al enlace y le echéis un ojo ya que es muy instructivo toda la información que sale al respecto.

MÉTODO DE ENVIÓ DE LA MUESTRA

Por lo que he visto esa muestra empezó a enviarse a la mañana del día 10 y se camufla como presunta factura de alguna empresa o presunto documento con el cambio de condiciones de varios bancos. Supongo que quien este realizando los envíos de emails debe de estar haciendo una campaña bastante intensiva ya que el día 12 he seguido recibiendo variantes de esos emails. Todos ellos están relacionados con la misma estrategia, un email de Phishing, mas o menos bien hecho en el caso de los bancos, y de fichero adjunto el fichero con el cambio de condiciones de la cuenta o bien la factura si se trata de una presunta empresa.

EVOLUCIÓN DE LA MUESTRA EN VIRUSTOTAL (50)

10/07 10:27 – BKAV, Elastic, Microsoft, SecureAge.
10/07 12:56 – +Kaspersky, McAfee, McAfee-GW-Edition, Sophos, Zonealarm.
10/07 16:20 – + CrowdStrike Falcon, Cyren, Google, Ikarus, Panda, Symantec, Trendmicro, TrendMicro-HouseCall.
11/07 08:15 – +Ahnlab, Arcavit, Bitdefender, DeepInstinct, Emsisoft, eScan, ESET, GData, Ikarus, K7Antivirus, K7GW, Malwarebytes, MAX, Sangfor, Trellix (FireEye), Webroot, Yandex.
11/07 09:45 – +Cylance, Lionic.
11/07 13:52 – +Drweb.
11/07 19:55 – +Avast, AVG, Tencent, Vipre.
12/07 09:57 – +AlYac, Fortinet.
13/07 08:46 – +QuickHeal, VirIt.
14/07 10:05 – +Avira, F-Secure, Google.
15/07 08:20 – +ClamAV, Cynet, SuperAntiSpyware, ViRobot, Zillya.

ANÁLISIS SOBRE LA EVOLUCIÓN EN DETECCIÓN

Cuando subo la muestra de malware por primera vez a VirusTotal se puede observar que la detectan cuatro antivirus, concretamente los primeros en detectar la muestra han sido BKAV, Elastic, Microsoft y SecureAge. Si se le deja unas horas y se vuelve a reanalizar vemos que pasan a detectarla, de entre los antivirus típicos que usamos en España, Google, Panda, Symantec y Trendmicro.

Nos esperamos al día siguiente y a primer hora procedemos de nuevo a reanalizar la muestra, obtenemos que, otra vez siempre hablando de los antivirus mas comúnmente usados en España, pasan a detectarlo antivirus como Bitdefender, Emsisoft, ESET, G-Data, o Malwarebytes. Si nos esperamos hacía finalizada la tarde vemos como ya si que lo detectan Avast, AVG y DrWeb. Personalmente pienso que ya a estas horas estos antivirus llegan tarde a la detección. Al igual que Fortinet, usando bastante en ámbito empresarial, que a mi modo de ver llega ya muy tarde.

NO TODO SE BASA EN DETECCIÓN, CADA ANTIVIRUS TIENE OTRAS PROTECCIONES

Antes de acabar el artículo quiero matizar que no todo se basa en detección, eso debería ser la última barrera de defensa, los buenos antivirus tienen otros módulos de protección que van desde motores de análisis de comportamiento, heurística, control de aplicaciones por enormes bases de datos por lista blanca, etc etc… al final todo se resume en que un buen antivirus tiene que tener mecanismos que ofrezcan protección ante lo que desde hace años es cada día mas normal, y me refiero a que tengamos la suerte de que nos encontremos con una muestra de malware antes de que sea reportada al antivirus para su incorporación en la base de datos de detección.

Autor: Alvaro
Creador y administrador del grupo de webs de Portalvasco.com. Desde Septiembre del año 2006 escribiendo en este blog sobre aviso de radares, radares y cinemómetros, noticias sobre temas de tráfico, motor, seguridad en carretera, seguros, leyes, un poco sobre sociedad, actualidad y temas relacionados con informática, accesorios electrónicos e internet.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.