Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Opinión: AnnaKournikova: ¿fracaso de la comunidad antivirus?
 
VSantivirus No. 222 - Año 5 - Jueves 15 de febrero de 2001

AnnaKournikova: ¿fracaso de la comunidad antivirus?
(*) Por Bernardo Quintero (bernardo@hispasec.com)

Publicado en el boletín "Una-al-dia" 13/feb/01, de Hispasec.com (www.hispasec.com) (http://www.hispasec.com/unaaldia.asp?id=842) y reproducido con la autorización de su autor.

El último virus de gran propagación, alias "AnnaKournikova", pone en entredicho la utilidad de muchas de las soluciones antivirus existentes en el mercado. El virus es el resultado de usar un kit de creación automática, que permite diseñar gusanos sin necesidad de saber programar y que se conoce desde agosto de 2000. Para colmo se ha contado con la "colaboración ciudadana", ya que son muchos los usuarios que se han dejado engañar por prácticamente un "remake" del archiconocido "ILOVEYOU". 

A bote pronto se pueden sacar algunas conclusiones de este último brote vírico de escala mundial: 

* La tan anunciada detección heurística en las soluciones antivirus parece que queda en la mayoría de los casos en simple publicidad, a juzgar por la propagación que ha conseguido alcanzar este gusano. 

"AnnaKournikova" está creado con "Vbs Worms Generator", un kit de creación automática desarrollado por un argentino apodado [K]Alamar, que permite diseñar gusanos a golpe de ratón con tan sólo seleccionar ciertas características en un menú de configuración. 

Según las últimas noticias, fue un joven holandés quién generó el "AnnaKournikova" aprovechando esta utilidad. El autor es lo de menos, lo peor es que provocar un caos mundial está al alcance de cualquiera que sepa manejar Windows. En estos momentos tenemos que "agradecer" que el joven no pulsara en la opción de payload (efecto) dañino, ya que a juzgar por la propagación alcanzada hubiera causado perdidas multimillonarias entre empresas y usuarios. 

Esta utilidad está disponible en Internet desde agosto del año pasado y, como es normal, todos los gusanos generados tienen mucho código en común, lo que hace trivial que se pueda detectar cualquier versión que produzca. En el caso concreto de "AnnaKournikova", el algoritmo de descifrado que puede verse a simple vista es exactamente el mismo, línea por línea, que el de gusanos reconocidos hace meses, con la única diferencia en el nombre de las variables. No se entiende pues que este gusano haya podido infectar sistemas que contaran con un antivirus, a no ser que la más simple de las heurísticas brille por su ausencia en dichas soluciones. 

A continuación, se presentan los resultados de un test llevado a cabo por Hispasec en relación a la eficacia de los motores antivirus en el caso del gusano "AnnaKournikova", según poder de detección/heurística antes de que éste saliera a la luz. En el grupo de los aprobados se encuentran los antivirus que detectaron el virus desde el primer momento sin necesidad de una actualización adicional. 

Aprobados: AVP/Kaspersky, F-Secure, McAfee, TrendMicro 

Suspensos: Norman, Norton, Panda, Sophos


* La ingeniería social sigue siendo la mejor arma de los virus contra los usuarios. 

No ha hecho falta crear ninguna nueva técnica de infección, aprovechar agujeros de seguridad, ni desarrollar complicadas rutinas. Si con "ILOVEYOU" no se pudo resistir la tentación de leer una declaración de amor, en esta ocasión ha bastado con el simple reclamo de ver una foto de la joven tenista Kournikova. Los encantos de Anna hicieron olvidar a miles de usuarios la regla básica: no abrir archivos adjuntos no solicitados.


* El actual esquema de detección de virus que implementan la inmensa mayoría de las soluciones antivirus no es efectivo ante virus nuevos que aprovechan Internet como canal de propagación. 

Primero es necesario que el virus nuevo infecte a algunos usuarios, que éstos se percaten y envíen una muestra al laboratorio antivirus. Allí analizan el espécimen y desarrollan una vacuna que ponen a disposición del resto de sus usuarios registrados a través del proceso de actualización. 

Siempre existen unos usuarios perjudicados que reciben el primer azote del virus (tengan sus antivirus actualizados o no), y el resto de la comunidad se encuentra indefensa mientras que se desarrolla la vacuna específica y, posteriormente, actualizan su antivirus. 

Este esquema podía ser válido hace años, cuando los virus se propagaban con el intercambio de disquetes. Hoy día, en cuestión de horas (las que se tardan en el mejor de los casos en analizar y proporcionar una vacuna específica), un gusano puede haber causado cientos de miles de infecciones aprovechando la infraestructura de Internet. La Red ha facilitado las actualizaciones de los productos, pero aun se muestra más efectiva como canal de distribución de una nueva generación de virus. Es la pescadilla que se muerde la cola. 

Sin duda es un esquema productivo para las casas antivirus, que se aseguran el mantenimiento de por vida gracias a la necesidad de actualizaciones continuas, y útil para el usuario si no tiene la desgracia de sufrir la infección en los primeros momentos. En cualquier caso, no es una solución óptima y ya hay movimientos en pro de esquemas que ataquen el problema del código malicioso de raíz, de una forma más global y genérica. 

(*) Bernardo Quintero, bernardo@hispasec.com
Copyright © 1998-2000 Hispasec (www.hispasec.com)
http://www.hispasec.com/unaaldiacom.asp?id=842


Más información: 

En Video Soft:
13/feb/01 - VBS/SST-A. Se propaga una nueva versión del LoveLetter 

En Hispasec:

Un nuevo virus se camufla como una foto de Anna Kournikova

En Virus Attack!:
VBS/SST, el virus de Anna Kournikova, se reproduce rápidamente por internet
 

Copyright 1996-2001 Video Soft BBS