Beruflich Dokumente
Kultur Dokumente
desconocido
Autores: David Harley, Security Author and Consultant
Andrew Lee, Chief Research Officer de ESET
Fecha: Martes 27 de marzo del 2007
Tabla de Contenidos:
Introduccin
Viendo a los Detectives
Virus
Gusanos
Gusan
os
Malware No Replicativo
Introduccin
El problema no es lo que no sabes, sino lo que crees que sabes y no es as
Algunos de los mitos ms persistentes en computacin se relacionan con la tecnologa de malware y
antivirus (AV). La ampliamente aceptada creencia de que el software antivirus slo puede detectar
cdigos maliciosos especficos (conocidos), ha estado circulando desde los inicios de las investigaciones
AV. No era verdad en su totalidad por aquel entonces; algunos de los primeros programas AV no estaban
intencionados a detectar malware especfico, sino ms bien para detectar o bloquear comportamientos
semejantes al de cdigos maliciosos o bien, cambios sospechosos en los archivos. Ciertamente, tampoco
es verdad en la actualidad.
Los sistemas comerciales AV complementan la exploracin por firmas con una variedad de acercamientos
ms genricos, que generalmente estn agrupados bajo el nombre de anlisis heurstico. Ms an, la
mayora de los nuevos productos AV son capaces de detectar un amplio espectro de software malicioso
(malware es una conjuncin de las palabras malicioso y software), no solamente virus. Esto puede
estar combinado con otras tecnologas de seguridad como son: la deteccin de spam y phishing.
El objetivo de este artculo es reducir las confusiones en torno al funcionamiento de la tecnologa AV y
clarificar qu es lo que realmente debe esperarse de una proteccin antivirus, particularmente aquella
que cuenta con anlisis heurstico.
Las especificidades de la exploracin heurstica son discutidas en detalle. Por el momento, simplemente
describiremos el anlisis heurstico como un mtodo para estimar la probabilidad de que un programa
an no identificado como malware sea, sin embargo, viral o malicioso.
De hecho, los antivirus comercializados detectan a una variedad ms amplia de malware que la mayora
de aquellos servicios especializados. Un programa especializado puede detectar ms amenazas dentro de
su propia especialidad, pero esto depende no solo de la capacidad del programa para detectar amenazas
especficas y tipos de amenazas, sino tambin de otros factores como pueden ser:
Las siguientes secciones consideran tres principales tipos de malware. Una completa taxonoma de todo
el malware excedera a los propsitos de este escrito.
Virus
Ciertamente, es razonable esperar que un software antivirus
pueda detectar virus, y es en parte porque los antivirus han
sido tan exitosos en esta deteccin durante aos, que su
capacidad para detectar otros tipos de malware ha sido
subestimada.
Mientras que algunos de estos tipos de virus difcilmente sean vistos en la actualidad (por ejemplo
infecciones del sector de arranque o de tabla de particin), los programas AV generalmente detectan
todos los virus conocidos para la plataforma en la que son encontrados (y a veces para otras plataformas).
Generalmente, tambin son bastante buenos en la deteccin heurstica de nuevos y desconocidos virus
reales.
Gusanos
La industria antivirus nunca ha llegado al consenso respecto de lo que son los gusanos, como aleg
Cohen, caso especial de virus [1], pero cualquiera sea el caso, los software antivirus normalmente los
detectan igualmente.
Hay al menos tantas definiciones de gusano como de virus, pero la mayora de los investigadores AV
definen un gusano como programa que se reproduce no parasitariamente, por ejemplo, sin adjuntarse a
s mismo al archivo que lo hospeda. Los mailers masivos podran ser descritos como un tipo especfico de
gusano. La mayora de las compaas AV describen este tipo de malware como gusano, pero algunos
mailers y mailers masivos tienen las caractersticas de un virus puro (Melissa, por ejemplo, de hecho fue
un virus puro, un macro virus que se esparci como gusano, mientras que el W32/Magistr fue una
infeccin de archivo).
Aqu tambin, los fabricantes tienen un buen manejo de la deteccin de nuevas variantes. Los nuevos
envos masivos, por ejemplo, generalmente son detectados por los proveedores de sistemas de seguridad
de mensajes casi inmediatamente desde su aparicin.
Malware No Replicativo
Se deduce de las definiciones anteriores que si un programa malicioso no se replica, no puede ser ni virus
ni gusano. Pero eso no significa que el software antivirus no pueda detectarlos o que no sean dainos.
Hay que tener en cuenta que an cuando los fabricantes se quejaban frente a la deteccin de objetos no
replicativos porque no se trataba de virus, algunos de estos objetos (varios de los cuales sin ser siquiera
programas ejecutables, menos an maliciosos) fueron no obstante, detectados y sealados. [3] Por
ejemplo:
Muchos objetos no
replicativos han circulado por
aos en colecciones de virus
con poco mantenimiento.
a sus bases de datos, con la esperanza de evitar ser penalizados por no detectarlos. Desafortunadamente,
la creciente sofisticacin de exploraciones heursticas apenas ha podido seguirle el paso a la habilidad de
los examinadores AV para encontrar nuevos y no siempre apropiados modos de evaluacin. Ms adelante
en este escrito, consideraremos brevemente los mecanismos tcnicamente aceptables de examinar las
capacidades heursticas de un producto.
El ms conocido de los cdigos maliciosos no replicativos es el troyano. Un troyano es un programa que
aparenta realizar alguna funcin deseable o necesaria y de hecho puede que lo haga, pero adems realiza
alguna funcin o funciones no esperadas ni deseadas por el usuario que ejecuta el programa [5]. Esto
cubre un rango especfico de malware, incluyendo:
Droppers
Keyloggers
Troyanos destructivos
Downloaders
Spyware
Adware
Rootkits y Stealthkits
Programas joke (algunos)
Zombies (bots, troyano de acceso remoto, agentes DDoS, y ms).
El malware replicativo, tal como virus, pueden tambin ser descritos como troyanos (o troyanizados,
implicando que un programa previamente legtimo ha sido subvertido, alterado o suplantado para
hacerlos, de algn modo, daino), aunque la mayora de las personas suelen considerar este uso ms
como confuso que como una ayuda. La deteccin de todas las versiones de malware no replicativo es an
menos alcanzable que la deteccin de todas las formas de virus, dado que debe evaluarse una ms amplia
variedad de funciones que la mera habilidad de replicarse.
Mucho del debate en cuanto a lo que es y no es un troyano (o malicioso) descansa no tanto en la funcin,
sino ms bien en el intento. Por ejemplo, un keylogger no es un troyano si ha sido legtimamente o
consensuadamente instalado, an cuando la funcin resulte idntica. Esto deviene en problemas en la
deteccin, ya que las computadoras son menos capaces que los humanos en determinar intentos.
Spyware y adware tal vez debido al creciente inters de los medios de comunicacin y los productos
disponibles exclusivamente para su deteccin- han sido recientemente separados en su propia subclase
de malware. Aqu, sin embargo, la distincin es mayoritariamente innecesaria si bien podra (y con
frecuencia lo es) discutirse que el adware en particular no siempre es malware. No obstante, el mismo
argumento puede aplicarse a la mayora de los elementos de la lista, en que no es lo que el programa
realiza que lo hace malicioso; es la brecha entre las malas intenciones de los programadores y la
expectativa del usuario en cuanto al programa.
En cierto sentido, la heurstica antimalware intenta aplicar los procesos de anlisis humanos a un objeto.
De igual modo que un analista humano de malware intentara determinar el proceso de un determinado
programa y sus acciones, el anlisis heurstico realiza el mismo proceso de tomar decisiones inteligentes,
actuando efectivamente como un investigador virtual de malware. Dado que el analista humano de
malware aprende ms acerca de amenazas emergentes, el/ella puede aplicar ese conocimiento al analista
heurstico a travs de la programacin y mejorar los ndices de deteccin futuros.
Perpeta el mito de que es el nico modo de deteccin realizado por los exploradores AV. De
hecho, muchos virus no pueden ser identificados buscando solamente una cadena esttica.
Sugiere que existe una nica secuencia de bytes en cada virus que es utilizada por todos los
exploradores para identificarla. De hecho, diferentes exploradores pueden utilizar cadenas de
bsqueda muy diferentes (y algoritmos) para detectar el mismo virus.
Algunas fuentes [10] han confundido la cuestin an ms al dar la impresin de que los exploradores
buscan cadenas simples de texto ms que secuencias de bytes. Generalmente, tal mtodo no es
confiable, es totalmente inefectivo con muchos tipos de malware, y de ineficiente programacin. Adems
resulta fcilmente explotable por el escritor de virus o, de hecho, todo aquel capaz de editar un archivoy potencialmente peligroso para generar numerosos falsos positivos.
Los comodines (wildcards) y expresiones regulares de UNIX permiten mayor flexibilidad en la bsqueda
de cadenas. En vez de buscar una cadena esttica (una secuencia estructurada de bytes) el explorador
reconoce una cadena asociada a determinado virus an cuando otros bytes o secuencias de bytes (bytes
ruidosos) son interpolados entre los elementos de la cadena. Un ejemplo simple de un byte ruidoso es la
insercin de la instruccin NOP (No Operacin), que no realiza ninguna funcin, excepto consumir tiempo
de procesamiento sin realizar una operacin real.
Estas mejoras a la exploracin bsica por cadenas permite la deteccin de virus cifrados y polimrficos [8].
Sin embargo, an con este tipo de mejoras la exploracin por cadenas no es particularmente eficiente
cuando se trata de explorar en busca de mltiples virus y el advenimiento de virus polimrficos
El advenimiento de virus
polimrficos complejos en
en
verdad perjudic a algunos
exploradores que fueron
incapaces de moverse hacia
tcnicas ms avanzadas de
deteccin.
Lo opuesto a la Heurstica
El mito de que los AV comerciales slo pueden detectar instancias conocidas, variantes y subvariantes de
malware conocido est, tal vez, menos difundido de lo que sola estarlo. Sin embargo, ha sido en parte
suplantado por el mito, menos daino, de que los exploradores de virus especficos y los exploradores por
heurstica son dos tipos completamente diferentes de exploradores. De hecho, el anlisis heurstico tal
como lo conocemos ha sido utilizado durante ms de una dcada, pero las tcnicas heursticas para
optimizar el control de los virus han sido utilizadas desde mucho antes por los exploradores de virus
conocidos. Tambin han tenido un lugar en las contramedidas afines, tales como bloqueadores y
monitores de comportamiento y chequeadores de integridad.
En un sentido, lo opuesto al
anlisis heurstico en AV no
es la exploracin por firmas
sino la exploracin
algortmica, en la que la
exploracin
exp loracin por firmas es un
caso especial de la misma.
una secuencia estructurada de bytes) que es especfico de acuerdo al virus que se intenta detectar.
Ciertamente, en la vida real, el anlisis heurstico descrito anteriormente, tambin es considerado
algortmico en un sentido ms general. Sin embargo la utilizacin del trmino algortmico en el sentido
especializado, especfico del virus (y por ello, en cierto modo confuso) resulta lo suficientemente utilizado
dentro de la industria [12] como para ser ignorado. La heurstica es normalmente caracterizada como un
algoritmo especfico de acumulacin de puntaje que determina la propensin del objeto explorado a ser
malicioso, ms que por la identificacin inequvoca de un programa malicioso especifico.
Antivirus Genrico
Generalmente el anlisis heurstico es considerado como
mecanismo de deteccin genrico del antivirus, y no como
mecanismo de deteccin de un virus especfico. Lo que no
siempre se tiene en cuenta es el hecho de que la inversa de esta
idea tambin es cierta: las soluciones genricas utilizan reglas
heursticas como parte de sus procesos de diagnsticos.
Las
La s soluciones genricas
utilizan reglas heursticas
como parte de sus procesos
de diagnsticos.
Por ejemplo:
Los filtros de los gateway de email utilizan reglas para especificar qu tipos y nombres de
archivos son permitidos como adjuntos. Tales filtros resultan muy buenos para mostrar
amenazas obvias tales como archivos con extensiones del tipo .LNK, .JPG o .EXE pero pueden ser
algo inflexibles en el rechazo de la totalidad de clases de los ejecutables1. Algunos filtros utilizan
tcnicas ms avanzadas, tales como revisar que las cabeceras de los archivos explorados
coincidan con la extensin del archivo. Esto puede reducir, significativamente, el riesgo de falsos
positivos (y falsos negativos).
Los detectores de cambios utilizan la regla de que si las caractersticas de un objeto han
cambiado, debera ser tratado como sospechoso. Dado que existen tantos contextos en los que
un binario puede legtimamente modificar su checksum (como por ejemplo cdigos que se
modifican a s mismos, cdigo recopilado, reconfiguracin por compresin en tiempo de
ejecucin, programas emparchados o actualizados), una cruda modificacin del criterio de
deteccin (por ejemplo, si el archivo fue modificado entonces que est infectado) puede exhibir
Por qu estas amenazas son obvias? En primer lugar, porque el sufijo .LNK denota un atajo del programa que
generalmente carece de sentido como adjunto de un email porque no hay un enlace directo entre el atajo y el
programa al cual debera enlazarse; sin embargo, un archivo de enlace directo en el adjunto de un email suele ser
simplemente un archivo ejecutable de Windows, redefinido para evadir filtros de archivos ejecutables adjuntos. En
segundo lugar, la doble extensin sugiere un intento de hacer pasar un archivo ejecutable como uno no ejecutable
(grficos), un truco comn de los escritores de virus.
un alto grado de deteccin de falsos positivos. Sin embargo, la deteccin de cambios puede
trabajar bien junto con la exploracin de virus especficos.
Una tcnica bien demostrada de esto es comparar un objeto con su checksum y ejecutar una
exploracin a fondo de la misma solo si la checksum previamente calculada ha sido modificada,
reduciendo el tiempo que lleva procesar un archivo que no ha cambiado. Esta es la razn por la
que la exploracin inicial del sistema puede llevar ms tiempo que exploraciones subsecuentes
con algunos software antivirus.
Los bloqueadores y monitores de comportamientos, que evalan el modo en que se comportan
las aplicaciones, se encontraban entre las formas ms antiguas de software AV. El monitoreo de
comportamientos clsico del AV tiende a revisar en busca de dos tipos de comportamientos del
cdigo: Rplica y Dao potencial.
o Por definicin, el cdigo replicable sugiere fuertemente la presencia de un virus (o
gusano, dependiendo en el tipo de cdigo y la definicin que prefiera). Este
acercamiento tiene la ventaja de que las llamadas al sistema, que pueden ser cdigos
replicables, son comparativamente fciles de identificar en forma programtica;
especialmente donde el cdigo no est significativamente ofuscado. Sin embargo, es
ms fcil identificar un virus que se reproduce escribiendo una copia directa de s mismo
que una copia evolucionada de si (por ejemplo, virus polimrficos).
o El cdigo potencialmente daino refleja la posibilidad de un payload malicioso. Este
acercamiento es ineficiente all donde no hay payload o donde el payload no es
evidentemente daino. Algunas formas de dao, tales como eliminacin de archivos,
son ms simples de detectar programticamente que otros, tales como los indeseados y
embarazosos mensajes o imgenes ofensivos. Por otro lado, la deteccin exitosa
mediante payload tiene una ventaja cuando se trata de detectar malware no replicativo
(tales como troyanos y otros programas no virales). Sin embargo, esto requiere de cierta
precaucin. Por ejemplo, eliminar un archivo es, por s mismo, un indicador no fiable de
malicia, ya que muchos programas eliminan o sobre escriben rutinaria y legtimamente
archivos tales como configuracin obsoleta o datos de archivos.
Soy absolutamente
absolu tamente Positivo
La identificacin de virus es un balance entre dos imperativos:
evitar falsos negativos (un fallo en la deteccin de una
infeccin en donde esta existe) y falsos positivos (deteccin
de un virus donde no existe). Tal como queda demostrado por
la cantidad de falsos positivos en varios de los principales
productos antivirus en los primeros meses del 2006, los
La identificacin de virus es un
balance entre dos imperativos:
evitar falsos negativos (un fallo
en la deteccin de una infeccin
en donde esta existe) y falsos
positivos (deteccin de un virus
donde no existe).
generalmente este problema no surge a menos que el objeto malicioso (viral o troyanizado) sea
requerido en una forma no infecciosa (como, por ejemplo, cuando el objeto contiene datos).
La deteccin genrica es un trmino aplicado cuando el
La deteccin genrica es
explorador busca una cantidad de variantes conocidas
un trmino aplicado cuando
utilizando una cadena de bsqueda capaz detectar todas las
el explorador busca una
variantes. Si bien puede detectar una variante actualmente
cantidad de variantes
desconocida en la que aparece la misma cadena de bsqueda,
conocidas utilizando una
slo es una deteccin heurstica si implica la utilizacin de un
cadena de bsqueda
bs queda capaz
mecanismo por puntaje. De otro modo, es realmente un caso
detectar todas las variantes.
especial de deteccin de virus especfico. Algunos sistemas
utilizan un acercamiento hbrido, donde un sistema de puntaje es agregado a las capacidades de la
deteccin genrica para dar una probabilidad de la variedad o parentesco familiar con diferentes grados
de certeza. Por ejemplo, si la similitud es lo suficientemente cercana, el explorador puede reportar
variante de X, o si est menos seguro puede reportar probablemente una variante de X.
Uno de los modos de observar cmo la tecnologa del explorador mapea el rango mencionado puede
verse en las siguientes lneas:
Mximo
Normal
Modo Heurstica
Mnimo
Ni todos los exploradores cuentan con estos niveles de sensibilidad, ni todos permiten la configuracin o
reconfiguracin manual de los umbrales; y aquellos que soportan niveles de sensibilidad pueden no
documentarlos. Adems, debera enfatizarse que algunas formas de emulacin podran utilizarse en
cualquiera de los niveles descriptos.
Los fabricantes que deshabilitan su heurstica avanzada por
defecto, pueden no solo estar intentando reducir el riesgo de
falsos positivos sino que en realidad podran estar intentando
mejorar la velocidad percibida del producto. Todos los niveles
de anlisis heurstico repercuten en el procesamiento y el
tiempo de anlisis y para algunos productos un desempeo
muy bajo puede resultar demasiado obvio.
La sensibilidad heurstica no es solamente una cuestin tcnica vinculada a la precisin para diagnosticar
la presencia de cdigos maliciosos previamente desconocidos. Adems, es una cuestin psicosocial;
cmo sealarle un malware al usuario final y qu aviso se le debera dar?
El modo en que un posible malware es advertido dice mucho al cliente acerca de la casa antivirus.
Algunos productos son cautos utilizando mensajes que dicen, efectivamente, que podra ser una variante
del malware X, pero sin estar completamente seguros. Esto elimina el riesgo del fabricante de generar
falsos positivos, dejando el diagnstico final y eleccin al cliente.
En la realidad, la mayora de los clientes preferira que el diagnstico fuese realizado por el explorador.
Los usuarios podran sentirse incmodos con la posibilidad de que el software se est equivocando, lo
que podra sugerir que la tecnologa es menos confiable de lo que resulta ser.
Otras casas antivirus ofrecen un mensaje ms detallado que dice algo as como malware XXX detectado y
bloqueado o W32/troyano-peligroso-de-puerta-trasera detectado y eliminado. Eso suena muy bien y el
cliente puede encontrarse agradecido que el malware ha sido identificado y neutralizado, pero
inicialmente muchos pueden no saber que estos nombres son simples nombres genricos que indican la
deteccin heurstica de un posible malware y no el indicativo de un malware especfico.
Desafortunadamente, no existen estadsticas confiables que indiquen cuntos programas legtimos,
emails y dems han sido considerados maliciosos a causa de un explorador demasiado confiado en s
mismo.
Algunos fabricantes advierten que la heurstica avanzada slo debera ser habilitada en contextos en los
que se sospecha la presencia de un nuevo cdigo malicioso o con mayor propensin a ser encontrado,
(en exploradores de gateways de correo por ejemplo). Esto reduce la confusin causada por el riesgo de
falsos positivos en el escritorio, pero incrementa el riesgo de falsos negativos donde falla el permetro de
exploracin.
Cuestiones de la Evaluacin
Examinar los exploradores del malware por su
desempeo en la deteccin siempre ha sido una
cuestin polmica [14] y slo unos pocos evaluadores y
grupos de evaluacin son reconocidos como
competentes en esta rea por otros miembros de la
comunidad de investigadores AV.
AV Comparatives (http://www.av-comparatives.org/)
AV-Test.org (http://www.av-test.org/)
ICSA Labs (http://www.icsalabs.com/)
SC Magazine/West Coast Labs (http://www.westcoastlabs.org/)
Virus Bulletin (http://www.virusbtn.com/)
Virus Research Unit, University of Tampere (http://www.uta.fi/laitokset/virus)
Virus Test Center, University of Hamburg (http://agn-www.informatik.unihamburg.de/vtc/naveng.htm.)
No puede asumirse la competencia del evaluador y, por tanto, tampoco se puede asegurar:
o que la metodologa evaluativa sea la apropiada
o la adhesin a una prctica segura, tica y con los estndares de la industria
En un ejemplo reciente [16], se sugiri que el grupo comisionado para realizar la evaluacin utiliz
generadores de malware. Inmediatamente, esto caus que los investigadores AV dudasen de la
competencia del evaluador, debido a que los equipos de generadores de malware resultan notoriamente
desconfiables cuando se trata de producir cdigos maliciosos viables. Puesto que no describieron su
metodologa de evaluacin detalladamente, no se dio a conocer cmo o si es que verificaron las muestras
seleccionadas para la evaluacin.
La posibilidad de que algunas o todas las muestras no fueran maliciosas, invalidan los exmenes de los
exploradores antivirus si se asume que las muestras contenan cdigos maliciosos. Si este es el caso, el
ndice ms elevado de deteccin no necesariamente implica el mejor desempeo, debido a que puede
incluir una amplia cantidad de falsos positivos [15], an suponiendo que todos los exploradores
examinados fueron consistentemente configurados.
La industria AV es reacia a consentir la creacin de nuevos malware o cdigos de virus, an si es slo para
evaluaciones. Existen muchas razones para esta instancia: la adhesin de la mayora de los investigadores
a un cdigo de tica restrictivo, preocupacin acerca de cuestiones de seguridad cuando nuevos cdigos
maliciosos son manejados por evaluadores inexpertos, dificultades de validacin y ms. Dicho esto, no
resulta necesario que se creen nuevos cdigos maliciosos para evaluar la tecnologa heurstica.
Una Evaluacin Retrospectiva implica la evaluacin de
un explorador que no ha sido actualizado por un perodo
de tiempo determinado (tres meses es un perodo
comnmente elegido), con malware validado que ha
aparecido desde la ltima actualizacin aplicada al
explorador. Esto provee una certeza razonable de que la
capacidad heurstica est siendo evaluada, no la
deteccin de malware conocido mediante algoritmos de
cdigos maliciosos especficos. De ningn modo, tal
evaluacin disminuye la necesidad de una evaluacin
competente pero evita las dificultades ticas y prcticas asociadas con la creacin de nuevos cdigos
maliciosos para propsitos evaluativos. Sin embargo, no elimina la necesidad de validar las muestras o de
construir cuidadosamente evaluaciones significativas.
Una Evaluacin Retrospectiva
implica la evaluacin de un explorador
que no ha sido actualizado por un
perodo de tiempo determinado (tres
meses es un perodo comnmente
elegido), con malware validado que ha
aparecido
apare cido desde la ltima
actualizacin aplicada al explorador.
Casi todos los principales fabricantes proveen actualizaciones de deteccin diarias (o frecuentes), de
modo que evaluar un explorador cuando se encuentra tres meses desactualizado no dice mucho acerca
de sus capacidades de deteccin corrientes. Un acercamiento ms vlido podra ser el de evaluar las
capacidades en diferentes puntos o evaluar con un cdigo malicioso especfico para determinar el primer
punto en que ocurre la deteccin. Claramente, vale la pena notificar si un explorador fue capaz de
detectar cdigos maliciosos antes de que se supiese de su existencia.
email que contiene un troyano, e incluso podra contener informacin til como puede ser la contrasea
para un archivo cifrado.
Si bien algunos exploradores tienen esta capacidad, podra ser demasiado optimista esperar que un
explorador heurstico automticamente examine en busca de una frase de acceso secreta (passphrase),
especialmente en un mensaje con un alto porcentaje de contenido grfico. Las chances de detectar dicho
passphrase pueden ser ms altas en un mensaje que se asemeja a otros mensajes maliciosos. Los
mensajes que contienen programas maliciosos o URLs tambin pueden asemejarse a otros tipos del
trfico de mensajes maliciosos tales como phishing y spam los autores de malware y spammers han ido
tomando prestadas tcnicas los unos de los otros por muchos aos; las evidencias muestran una
creciente confluencia de inters entre estos grupos antes dispares. A veces, se espera que los
exploradores de email detecten estas y otras formas de abuso va correo electrnico as como tambin
malware puro. El anlisis de trfico puede mostrar patrones asociados con actividad maliciosa, tal como
mailers masivos, spam y scam (engao) generados por una botnet y ms. Por estas razones, la exploracin
de los gateway para spam (heursticas y otros) puede sumar un aporte considerable a la efectividad de la
deteccin de malware.
Sin embargo, de ningn modo es cierto que se vern los mismos porcentajes altos de detecciones
proactivas en un futuro cercano que los que se vieron en los primeros tiempos de la exploracin
heurstica, por muy bienvenido que esto sea para los usuarios y las casas AV.
Los autores de malware tienen diferentes prioridades. Ms que un enfoque expansivo (mximo
esparcimiento de una variante singular), ahora su foco est puesto en frecuentes rfagas cortas en
trminos de una instancia dada del malware, que puede estar dirigida a individuos o grupos especficos.
An con cambios simples tales como cambios generados por empaquetadores para modificar las huellas
(footprint) del programa pueden reducir la deteccin (heurstica o no) y limitar los recursos an en los
ms grandes laboratorios antimalware. Las formas de malware que suelen hacer uso frecuente de la
tecnologa botnet para actualizarse y modificarse a s mismo una vez instalado en una mquina
comprometida puede ser muy difcil de detectar.
No obstante, no hay por qu entrar en pnico, hemos vivido con estos problemas por varios aos. La
higiene en sentido comn de la computadora, buenas prcticas de uso de los parches y actualizaciones
frecuentes del antivirus continan aportando una muy buena proteccin. No slo eso; una virtualizacin
crecientemente sofisticada y tcnicas de emulacin, junto con anlisis heurstico se mantienen como
componentes fuertes y en continuo perfeccionamiento de la industria de seguridad. Sin embargo, ni los
fabricantes antivirus ni los partidarios de las tecnologas alternativas sabor del mes pueden asegurar en
realidad, que son capaces de detectar todas las amenazas futuras proactivamente.
El truco est en mantener las expectativas en un nivel realista.
Andrew Lee
Andrew Lee, CISSP, es Chief Research Officer en ESET LCC. Fue miembro fundador de la Antivirus
Information Exchange Network, AVIEN, (Red de trabajo de Intercambio de Informacin Antivirus) y
tambin reportero para la Organizacin Internacional de la WildList, un grupo que mantiene un listado de
los cdigos maliciosos para computadores que an se encuentran activos In- the-Wild. Antes de
incorporarse a ESET, dedic su tiempo al manejo de defensas contra malware como administrador Senior
en seguridad para una importante organizacin gubernamental del Reino Unido.
Andrew es el autor de numerosos artculos acerca de cuestiones referidas al malware y es un orador
asiduo en conferencias y eventos incluyendo AVAR, EICAR y Virus Bulletin.
ESET, LLC
610 West Ash Street, Suite 1900, San Diego, California 92101, U.S.A.
Telfono: +1.619.876.5400
Fax: +1.619.876.5845
http://www.eset.com
Referencias
[1] A Short Course on Computer Viruses 2nd Edition, pp 2, 49 (Dr Frederick B Cohen): Wiley, 1994.
[2] VIRUS-L/comp.viru Frequently Asked Questions (FAQ) v2.00 (N. FitzGerald et al., 1995):
http://www.faqs.org/faqs/computer-virus/faq/ (Date of access 12th January 2007)
[3] Analysis and Maintenance of a Clean Virus Library (Dr. V. Bontchev): http://www.people.frisksoftware.com/~bontchev/papers/virlib.html (Date of access 12th January 2007)
[4] The Anti-Virus or Anti-Malware Test File: http://www.eicar.org/anti_virus_test_file.htm
[5] Trojans (Harley), in Maximum Security 4th Edition (ed. Anonymous): SAMS, 2003
[6] Oxford Compact English Dictionary, Oxford University Press: http://www.askoxford.com/ (Date of
access 12th January 2007)
[7] Merriam-Webster Online: http://www.m-w.com/ (Date of access 12th January 2007)
[8] Viruses Revealed (Harley, Slade, Gattiker) pp158-159: Osborne 2001
[9] Evolution Discussion Group Fall 1996 Phylogenies and Evolution, Useful Terms - University of British
Columbia Zoology Department: www.bcu.ubc.ca/~otto/EvolDisc/Glossary.html (Date of access 12th
January 2007)
[10] Virus Proof (P. Schmauder), page 187: Prima Tech (2000)
[11] Dr. Solomons Virus Encyclopaedia (Solomon, Gryaznov), pp30-31: S&S International (1995).
[12] The Art of Computer Virus Research and Defense (Szor), page 441, pp451-466: Addison-Wesley
(2005).
[13] Heuristic Programming: http://www.webopedia.com/TERM/h/heuristic_programming.html (Date of
access 12th January 2007)
[14] Anti-virus programs: testing and evaluation (Lee): in The AVIEN Guide to Malware Defense in the
Enterprise (Ed. Harley): Syngress (2007, in preparation).
[15] AV Testing SANS Virus Creation (Harley): Virus Bulletin pp6-7, October 2006
[16] Consumer Reports Creating Viruses? (Sullivan):
http://redtape.msnbc.com/2006/08/consumer_report.html (Date of access 12th January 2006).
[17] Email Threats and Vulnerabilities (Harley). In The Handbook of Computer Networks (Ed. Bidgoli):
Wiley (2007 in press).
Glosario
Adware
Programa que realiza alguna accin (tal como mostrar una pantalla pop-up o enviar un
navegador a algn sitio web) en la que llama la atencin del usuario con alguna
publicidad o producto.
Archivo Basura
Archivo de
evaluacin
EICAR
AutoAuto - ejecutables
Trmino utilizado para describir software malicioso que no requiere de ninguna accin
por parte de la vctima para esparcirse, dispararse, o ambos.
Cadena de
exploracin/de
bsqueda
Caracter
comodn
(Wildcard)
Caracter que puede ser utilizado para representar otro caracter o secuencia de bytes o
que indica el uso de una forma especializada de expresin regular.
Checksum
Corrupcin
DDoS
Deteccin de
virus especfico
Deteccin/explo
Deteccin/ explo
racin Heurstica
Dropper
Dropper
Programa (generalmente no viral) que instala otros programas maliciosos como virus o
gusanos.
Evaluacin
Retrospectiva
Exploracin de
virus
conocidos/de
virus especficos
Falso Negativo
Falso Positivo
Firma
Frase de acceso
secreta
(Passphrase)
Genrico
Heurstica
Positiva
Regla o criterio que incrementa la posibilidad de que el objeto analizado sea viral o
malicioso.
Identificacin
casi exacta
Identificacin
Exacta
Intendeds
Virus (o, en menor frecuencia, otros programas maliciosos) que no trabajan por alguna
razn u otra, generalmente debido a testeos insuficientes por parte del autor.
Keylogger
Programa
generador de
virus
Programas Joke
Programa que realiza alguna accin inesperada que puede resultar molesta pero que
no es destructiva. El lmite entre un joke y un troyano puede ser muy tenue.
Rootkit
Spyware
Troyano
Troyano
destructivo
Troyano que causa (en general, deliberadamente) dao directo, en oposicin a algo
menos daino, como puede ser el robo de contraseas u otros datos.
Zombie