Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Debilidades en los antivirus
 
VSantivirus No. 234 - Año 5 - Martes 27 de febrero de 2001

Debilidades en los antivirus
por Ignacio M. Sbampato(*) - 25 de Febrero del 2001

Lo que sucedió recientemente con el virus VBS/SST, más conocido como AnnaKournikova, confirmó algunas cosas que los expertos en seguridad informática vienen predicando tiempo atrás:

Los usuarios todavía no hacen caso a las recomendaciones sobre no abrir archivos adjuntos no solicitados.

Cualquier persona, con conocimientos de programación o no, puede llegar a crear un virus o gusano capaz de sacudir tanto a grandes empresas como a usuarios hogareños alrededor de todo el mundo.

No todos los antivirus utilizan motores heurísticos confiables, aunque digan lo contrario, y muchos de ellos no son capaces de detectar virus fabricados con el mismo generador automático cuyas creaciones tienen, obviamente, ciertos patrones comunes.

Dado que el objeto de este artículo es denotar las debilidades en los antivirus actuales, sólo nos referiremos a este último punto. 

Quienes nos dedicamos a la investigación antivirus hemos podido comprobar que algunas herramientas fueron capaces de detectar el virus Kournikova sin necesidad de ser actualizados.

Esto se debe a que los laboratorios que desarrollan las actualizaciones para dichos antivirus ya habían agregado una firma o algoritmo capaz de descubrir este virus antes de su creación.

¿Cómo es esto posible? puede ser la pregunta que en estos momentos cruce por su mente, y cuya respuesta es uno de los puntos centrales de este artículo. 

Dado que este virus, como otros que han sido descubiertos "in-the-wild" (p.e. Worm.Lee alias Vanina, y otras variantes de éste), fueron creados por el VBS Worm Generator, una herramienta capaz de generar gusanos de VBScript siguiendo una serie de simples pasos y haciendo click unas pocas veces con el mouse, estos antivirus desarrollaron algoritmos para detectar todos (o la mayoría) de los virus que pudieran ser creados con esta herramienta. De esta manera, si un nuevo virus es fabricado con el VBSWG (las siglas de VBS Worm Generator), estos antivirus, utilizando sus motores heurísticos de detección, son capaces de detectarlo, sin necesidad de actualizar sus definiciones, dado que los mismos contienen ciertos patrones básicos, iguales en todas las creaciones de esta herramienta, que hacen que los antivirus con esta capacidad puedan descubrirlos.

Para quienes hasta el momento no entendieron lo que es un motor heurístico, podría decirse que son una serie de algoritmos o rutinas que permiten a los antivirus detectar nuevos virus basados en ciertos patrones sin la necesidad de que el virus en cuestión se encuentre registrado en su base de firmas.

Casi todas las grandes compañías dicen que sus productos poseen esta características, pero pudo comprobarse con este último incidente, que esto no es verdad.

Bernardo Quintero, parte del staff de HispaSec, una empresa de seguridad española que brinda un muy completo boletín diario de información a sus suscriptores, desarrolló un artículo tras la aparición del virus Kournikova, en el que tocaba brevemente este tema, e informaba a sus lectores de cuales eran los antivirus que podían detectar este virus sin necesidad de actualizarse y cuales no, lo cual detallamos a continuación: 

Antivirus que lo detectaron sin realizar una actualización: AVP/Kaspersky, F-Secure, McAfee, y PcCillin.

Antivirus que no detectaron el virus hasta haber sido actualizados: Norman, Norton, Panda y Sophos.

En esta lista no se encuentran todos los antivirus disponibles actualmente en el mercado, pero sí son los más conocidos. 

A los resultados expresados por Bernardo Quintero en su boletín, podemos agregar, según nuestra propia experiencia, que el antivirus NOD32 fue capaz de detectar el virus sin necesidad de actualizarlo, y lo propio hizo el F-Prot. Como el CSAV (Command Software Antivirus) se basa en éste último, podemos inferir que el mismo también es capaz de detectarlo sin necesidad de ser actualizado, pero no hemos podido comprobarlo.

Es extraño ver que el Norman Antivirus, cuyo fabricante compró hace tiempo el TBAV, uno de los antivirus más conocidos hace tiempo, y que poseía un motor heurístico imbatible, haya sido incapaz de detectar el virus. Parece ser que Norman, en lugar de agregar la mejor funcionalidad del TBAV a su producto, la ha dejado de lado.

Pero, retomando el objetivo principal de este artículo, este incidente nos demuestra que no todos los antivirus realizan las acciones que promocionan, brindando una falsa protección a sus usuarios, y que el actual método que utilizan los mismos para la detección de virus es obsoleto, y por lo tanto, débil.

Con lo rápido que actualmente se distribuyen los virus informáticos, que un antivirus no detecte los mismos hasta no recibir un ejemplo de ellos, el mismo sea analizado, y una actualización sea desarrollada, un proceso que toma varias horas, demuestra lo débil del concepto que muchos de estos productos utilizan para la detección de virus. En el transcurso entre que el virus comienza a infectar y todos los antivirus son detectados, muchos usuarios pueden haber sido infectados, y haber sufrido los efectos del virus, que en este caso en particular, el del Kournikova, son nulos, pero podrían haber sido peores, sin que el producto que utilizan para defenderse de ellos se haya dado cuenta de ello.

Y esto no es un problema inherente sólo a los antivirus que en esta ocasión no detectaron el virus, dado que en otros incidentes, ningún antivirus fue capaz de detectarlo antes de ser actualizado, como pasó con el conocido ILOVEYOU. Este método de detección, dependiente de la actualización de sus definiciones, es uno de los principales puntos débiles de las tecnologías antivirus actuales y deberían ser evaluadas otras posibilidades de protección antivirus, como programas de detección proactivos (SurfinGuard, SafeTNet), ú otras de las tantas ideas que los expertos independientes piden día a día.

Compresión de archivos

Otro de los puntos débiles de los antivirus es cuando se enfrentan a los compresores de archivos. Existen herramientas como el NeoLite, PE-Crypt, y ASPack, entre muchos otros, que permiten comprimir un archivo ejecutable (.exe, .com, etc.) para reducir su tamaño y, además, encriptar el mismo, para que su código, a simple vista, sea completamente distinto al original. Para explicar los problemas que tienen los antivirus frente a estas herramientas, vamos a comentar un caso concreto.

Desde Septiembre de 1999 hasta mediados del año pasado, el virus Worm.PrettyPark era una fija en los reportes de nuestros usuarios. El mismo se trataba de un gusano que llegaba por correo electrónico como un archivo prettypark.exe que si era ejecutado, se instalaba en el sistema y se reenviaba a toda la Libreta de Direcciones local. Como siempre, los antivirus lo agregaron a su base de firmas, y a partir de allí lo detectaron. 

Pero, a mediados de Febrero del 2000, una nueva versión de este virus comenzó a distribuirse, cuya única diferencia con la anterior, era que estaba encriptada con una de estas herramientas de compresión, lo que logró burlar a los antivirus, que detectaban el virus, pero no podían detectarlo encriptado. Los mismos tuvieron que agregar una nueva firma o algoritmo a sus bases, y recién a partir de allí comenzaron a detectarlo.

Ningún antivirus de los que probamos en ese momento fue capaz de detectar la versión encriptada del PrettyPark sin ser actualizado, lo mismo pasó con el virus W32/ExploreZip, y con otros que fueron creados y luego redistribuidos comprimidos con alguna de estas herramientas.

Para aquellos que no entendieron a que me refería con compresión de archivos, un ejemplo común de una herramienta de estas es el WinZip. 

Es claro que esto es otro importante punto débil de los antivirus porque ni siquiera es necesario cambiar una sola línea de código para burlarlos, basta con comprimir el virus con alguna otra herramienta de compresión, y el mismo pasará desapercibido hasta que los antivirus sean actualizados nuevamente.

El antivirus AVP/Kaspersky soporta ahora distintas herramientas de compresión a fin de que esto no suceda, cuya función hemos podido probar con éxito, pero no todos los antivirus han incorporado este tipo de funcionalidad, por lo que el problema sigue en pie, hasta que los desarrolladores de antivirus cambien sus productos para soportar este tipo de algoritmos de compresión de archivos.

Aunque existen otros puntos débiles en los programas antivirus, como problemas de compatibilidad con otros softwares, falsos positivos, falsos negativos, etc., estos son los que nos parecen los más importantes. A continuación, trataremos dos puntos en particular más relacionados con las debilidades en los antivirus corporativos.

Filtrado de mensajes

Existen actualmente numerosos antivirus y herramientas que permiten el filtrado de mensajes de correo electrónico, según su contenido, a nivel servidor. Si un mensaje es enviado a una cuenta alojada en un servidor que posee este tipo de programa, el mismo es analizado y, si responde a ciertas reglas, no se lo deja seguir.

Este tipo de herramientas poseen una cantidad de reglas por defecto en la mayoría de los casos, respondiendo a los más conocidos virus, y permiten a los administradores agregar nuevas reglas de filtrado, funcionalidad muy interesante y útil a nivel seguridad. El problema existe en que no siempre filtran sólo mensajes que contienen virus. 

Por ejemplo, es normal que en nuestros artículos describamos o nombremos virus tales como Hybris, ILOVEYOU, LoveLetter, y demás, que nunca llegarán a nuestros lectores, porque dichas palabras son filtradas por estos antivirus a nivel servidor. Sucede que, en lugar de utilizar reglas avanzadas, se basan en simples controles de contenido, en los que, si alguna palabra o grupo de palabras se encuentran en un mensaje que es analizado, el mismo no será reenviado al usuario jamás, aunque sea un simple mensaje en texto plano, que jamás podrá causar ningún daño.

Lo bueno sería que este tipo de herramientas controlarán los mensajes a un nivel más avanzado, chequeando que no sólo contengan un grupo de palabras para ser filtrados, sino que también contengan un archivo adjunto o vengan en formato HTML. 

Recientemente, Bruce Schneier, editor del boletín Crypto-Gram, escribió un pequeño artículo "E-mail Filter Idiocy" en el que comentaba un problema que había tenido con ciertos servidores al enviar una entrega de su boletín que contenía la palabra ILOVEYOU. El boletín de Schneier se envia en texto plano por lo que jamás podrá contener un virus, dado que ni siquiera se envian archivos adjuntos con este boletín [Nota de Video Soft: lo mismo ocurre con nuestro boletín VSAntivirus]

Lo mismo nos viene sucediendo desde que trabajamos en la sección Mundo Virus del boletín español Kriptopolis, dado que fueron filtrados ediciones de éste en el que se hacia referencia a los virus ILOVEYOU o Hybris. 

Este es otro claro punto débil en la protección antivirus, incluyendo que, si el usuario está suscripto a un boletín de seguridad o si un conocido desea enviarle un alerta sobre un virus que éste circulando, los cuales contengan SOLO texto que sea filtrado por las reglas de su servidor, nunca lo recibirá, siendo éste además de un problema para los antivirus, un problema para el usuario que confía en recibir información actualizada sobre temas de éste tipo. 

Y algunas reflexiones al respecto: 

Los servidores que filtran los mensajes por la palabra Hybris, nunca lograrán detener este virus de esta forma. ¿Por qué? Porque la palabra Hybris sólo se encuentra dentro del código del programa en el que viaja el virus, y ni el asunto del mensaje, ni el contenido del mensaje, ni el nombre del archivo la contienen, y estas herramientas sólo pueden filtrar por texto en dichos componentes del mensaje. Una defensa contra nada y sin sentido, ¿no?

Si el virus cambia el nombre del archivo en el que se envía, o cambia su asunto o contenido, estas protecciones son, si me permiten decirlo, completamente inútiles.

Muchos se preocupan de aplicar estos filtros, muchas veces sin sentido como en el caso antes mencionado, pero aún no eliminan a nivel servidor los mensajes que reciben con archivos de doble extensión, del tipo .JPG.VBS, .GIF.VBS, MP3.VBS, o similar, que son virus en el 99.9999999999999% de los casos. Esto es una clara falta de este tipo de herramientas y sus administradores.

Por último nos referiremos a los antivirus corporativos de administración centralizada, los cuales tienen más de un punto débil.

Antivirus de Administración Centralizada

Existen muchas soluciones antivirus que trabajan de modo centralizado. Poseen un componente servidor, que se instala en un servidor de la red interna, y componentes clientes en cada una de las estaciones de trabajo, que son administrados, y actualizados, por el componente servidor en forma automática.

Este tipo de herramientas se actualizan en forma centralizada a través del servidor, el cual luego actualiza las estaciones de trabajo a través de la red, abriendo algún puerto TCP/IP. Se han descubierto gran cantidad de agujeros de seguridad en esta operación, dado que estos antivirus no están desarrollados correctamente para realizar este proceso, debido a que tienen buffers no chequeados, y pocas medidas de seguridad, cuestiones que los hacen vulnerables.

Además de este notorio punto débil, se han descubierto otros problemas en estos antivirus. Tal es el caso del OfficeScan de Trend Micro Inc., el cual, según se ha reportado recientemente, en algunos casos, no detecta un virus hasta que el mismo terminó su ejecución y desinfectó el sistema. Este problema se encuentra en el cliente del OfficeScan, el cual no es el PcCillin (aplicación que funciona perfectamente) y, aunque ya se anunció que el problema será arreglado a la brevedad, es otro de los puntos débiles que estas aplicaciones tienen.

Conclusión

Este artículo no busca desprestigiar a los antivirus, ni decir que los mismos son completamente inútiles. Tan sólo intenta demostrar que los antivirus como los conocemos actualmente tienen varios puntos débiles que deben mejorar a fin de brindar realmente esa protección imbatible contra los virus que tanto promocionan pero que no siempre cumplen. 

Pese a esto, son la defensa recomendada por nosotros a la hora de protegerse contra los virus, pero no se debe creer que para estar libre de infecciones basta con sólo un antivirus. Es necesario que los usuarios entiendan que, además de mantener actualizados los antivirus y de poseer uno, deben utilizar de forma segura su ordenador, no abriendo archivos no solicitados, como una de las primeras defensas contra los virus, además de los antivirus, además de todos los consejos que normalmente damos.

(*) Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de LasNoticias.Org

Virus Attack! © 1999-2000. Ignacio M. Sbampato. Todos los derechos reservados. http://www.virusattack.com.ar

[Publicado en VSAntivirus con permiso de su autor]


Ver también:
13/feb/01 - VBS/SST-A (Anna Kournikova). Nueva versión del LoveLetter
15/feb/01 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
18/feb/01 - Vbswg.gen. Generador de gusanos de Visual Basic Scripts
18/feb/01 - VBS.Vbswg.K. Variante del "Anna Kournikova"
 

Copyright 1996-2001 Video Soft BBS