Creando firmas y jugando con adobe_flash.exe

Ya me cansé de recibir correos de CNN y MSNBC así que ahora lo tomo como un juego y sobre todo luego de GMail los bloqueara.

Me puse a jugar con las variantes de este agente detectado por ESET NOD32 como una variante de Win32/Agent.ETH y que tiene como objetivo descargar el instalador de Antivirus XP 2008 de diferentes sitios.

En este juego lo primero que me preocupó es el porcentaje de antivirus que no detectan esta amenaza, ya que sólo del 60 al 70% (según la variante) lo hace efectivamente según VirusTotal. Esto da una idea de lo dinámico que es este código (se modifica continuamente) y de lo eficiente que debe ser la heurística que detecta cada una de estas variantes.

Para probar esto cree una “firma” para detectar estos archivos y creo haber logrado algo bastante aceptable, ya que las variantes actuales son identificadas correctamente por mi firma:

Firma Antivirus

¿Qué quiero demostrar con esto? Que cuando los creadores de este malware modifiquen nuevamente sus creaciones mi firma ya no servirá y deberé crear otra nueva, con el tiempo que esto conlleva.

Ahora supongamos que en vez de un malware yo tuviera que crear las firmas de miles… Imaginen el tiempo invertido y generalmente para que la “solución” sea temporal (quizá sólo minutos). Además también pensemos en la cantidad de falsos positivos que podrían generarse, porque no confiaría que mi firma no detecta un archivo del sistema como dañino.

En conclusión, si decidiera lanzar mi firma al mercado, ella sería un fracaso por lo inexacta y por lo temporal de mi solución (y ni siquiera consideremos la velocidad de exploración).

Lo explicado sucede en un Laboratorio de análisis de malware y por eso es necesario que las soluciones sean genéricas, proactivas e inteligentes para que el trabajo invertido sea realmente provechoso y no un juego, como en mi caso.

Cristian

Autor , ESET

Síguenos