Hace unos días aclaraba junto a ustedes algunas dudas comunes respecto a las firmas y la heurística, los dos métodos de detección con los que cuenta un software antivirus como ESET NOD32. Allí les comentaba, además de la posibilidad de leer nuestro artículo Heurística Antivirus: detección proactiva de malware para más información, un hecho particular respecto a estos métodos:

Una detección por firmas puede derivar a un algoritmo de heurística, o viceversa. Es decir, [...] también es posible que determinadas amenazas detectadas por heurística luego sean identificadas a través de firmas para poder crear acciones particulares en cuanto a los datos sobre esa amenaza.

Sobre esta aclaración hemos contado con un caso particular esta última semana, específicamente la amenaza identificada como Win32/Visal que ha tenido repercusiones en la prensa internacional. Se trata de un gusano que retoma viejas épocas de la historia del malware, ya que se propaga por correo electrónico enviado a todos los contactos de la libreta de direcciones con el asunto "Here you have" ("aquí tienes" en español). Los que sigan las últimas tendencias en malware sabrán que se trata de un método un tanto olvidado, aunque algunos recordarán las amenazas de famosos correos electrónicos como "Anna Kournikova" o "I Love You".

Lo interesante de las diversas muestras de esta amenaza es que muchos lectores podrán observar, a través de Virus Total, como algunas de las variante son detectadas por ESET NOD32 Antivirus justamente como Win32/Visal.A, es decir, una firma, según nuestra base 5440 (clic en la imagen para ver reporte de Virus Total):

Win32/Visal

Sin embargo, si los usuarios observan otra muestra de la misma familia (identificada por base de firmas en otras soluciones), puede observarse que por la heurística de ESET la misma ya era detectada en la base de firmas 5438:

Win32/Visal

En resumen, nos encontramos con un caso como el que les mencionaba hace unos días: una muestra donde los usuarios ya estaban protegidos por las capacidades proactivas del antivirus, que luego obtuvo una firma en la base de datos para brindar una detección más específica de la amenaza. Más allá de la importancia de las firmas, este tipo de casos refuerzan el valor de la heurística para brindar protección a los usuarios contra amenazas nuevas o desconocidas.

Sebastián Bortnik
Coordinador de Awareness & Research