Recientemente he realizado una prueba que me gusta hacer cuando me llega una muestra de malware Zero-Day, es decir, lo que viene a ser lo mismo a decir que se tiene la suerte de ser de los primeros en encontrarse con un nuevo malware. Este malware concretamente es un ejecutable que se envía por email y cuando fui a pasarlo por VirusTotal me di cuenta de que yo fui el primero que lo envié por primera vez.
El enlace a la muestra en VirusTotal os lo pongo en este enlace. Ahí podéis acceder y realizar un reanalisis de la muestra así como poder acceder a información diversa sobre la misma. Os recomiendo que deis al enlace y le echéis un ojo ya que es muy instructivo toda la información que sale al respecto.
MÉTODO DE ENVIÓ DE LA MUESTRA
Por lo que he visto esa muestra empezó a enviarse a la mañana del día 10 y se camufla como presunta factura de alguna empresa o presunto documento con el cambio de condiciones de varios bancos. Supongo que quien este realizando los envíos de emails debe de estar haciendo una campaña bastante intensiva ya que el día 12 he seguido recibiendo variantes de esos emails. Todos ellos están relacionados con la misma estrategia, un email de Phishing, mas o menos bien hecho en el caso de los bancos, y de fichero adjunto el fichero con el cambio de condiciones de la cuenta o bien la factura si se trata de una presunta empresa.
EVOLUCIÓN DE LA MUESTRA EN VIRUSTOTAL (50)
10/07 10:27 – BKAV, Elastic, Microsoft, SecureAge.
10/07 12:56 – +Kaspersky, McAfee, McAfee-GW-Edition, Sophos, Zonealarm.
10/07 16:20 – + CrowdStrike Falcon, Cyren, Google, Ikarus, Panda, Symantec, Trendmicro, TrendMicro-HouseCall.
11/07 08:15 – +Ahnlab, Arcavit, Bitdefender, DeepInstinct, Emsisoft, eScan, ESET, GData, Ikarus, K7Antivirus, K7GW, Malwarebytes, MAX, Sangfor, Trellix (FireEye), Webroot, Yandex.
11/07 09:45 – +Cylance, Lionic.
11/07 13:52 – +Drweb.
11/07 19:55 – +Avast, AVG, Tencent, Vipre.
12/07 09:57 – +AlYac, Fortinet.
13/07 08:46 – +QuickHeal, VirIt.
14/07 10:05 – +Avira, F-Secure, Google.
15/07 08:20 – +ClamAV, Cynet, SuperAntiSpyware, ViRobot, Zillya.
ANÁLISIS SOBRE LA EVOLUCIÓN EN DETECCIÓN
Cuando subo la muestra de malware por primera vez a VirusTotal se puede observar que la detectan cuatro antivirus, concretamente los primeros en detectar la muestra han sido BKAV, Elastic, Microsoft y SecureAge. Si se le deja unas horas y se vuelve a reanalizar vemos que pasan a detectarla, de entre los antivirus típicos que usamos en España, Google, Panda, Symantec y Trendmicro.
Nos esperamos al día siguiente y a primer hora procedemos de nuevo a reanalizar la muestra, obtenemos que, otra vez siempre hablando de los antivirus mas comúnmente usados en España, pasan a detectarlo antivirus como Bitdefender, Emsisoft, ESET, G-Data, o Malwarebytes. Si nos esperamos hacía finalizada la tarde vemos como ya si que lo detectan Avast, AVG y DrWeb. Personalmente pienso que ya a estas horas estos antivirus llegan tarde a la detección. Al igual que Fortinet, usando bastante en ámbito empresarial, que a mi modo de ver llega ya muy tarde.
NO TODO SE BASA EN DETECCIÓN, CADA ANTIVIRUS TIENE OTRAS PROTECCIONES
Antes de acabar el artículo quiero matizar que no todo se basa en detección, eso debería ser la última barrera de defensa, los buenos antivirus tienen otros módulos de protección que van desde motores de análisis de comportamiento, heurística, control de aplicaciones por enormes bases de datos por lista blanca, etc etc… al final todo se resume en que un buen antivirus tiene que tener mecanismos que ofrezcan protección ante lo que desde hace años es cada día mas normal, y me refiero a que tengamos la suerte de que nos encontremos con una muestra de malware antes de que sea reportada al antivirus para su incorporación en la base de datos de detección.