|
VSantivirus No. 1740 Año 9, martes 12 de abril de 2005
Win32/Mytob no engaña a Virus-Radar
http://www.vsantivirus.com/12-04-05.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
La belleza de un sistema proactivo como el de Virus-Radar (www.virusradar.com), es que puede descubrir nuevos virus, desde la primera vez que ellos son vistos. Utilizando la heurística avanzada del galardonado antivirus NOD32, Virus-Radar está diseñado para "escuchar los mensajes" que nos pueden avisar cuando un nuevo virus se esparce (y por supuesto, de esa forma ayuda a prevenirlos).
La reciente y progresiva captura de la familia de gusanos Mytob, (actualmente casi 40 variantes), es un gran ejemplo de la eficacia de la heurística de NOD32.
Algunas de estas variantes, que muy pocos sistemas antivirus detectan sin ser actualizados, comenzaron a propagarse de forma muy rápida, y en el caso del Mytob.D, tuvo una significativa propagación.
Los gusanos de la familia Mytob son un típico caso de malwares creados por imitadores (los llamados "copy-cats"), en gran parte basados en el código fuente del Mydoom, un virus muy predominante durante el 2004. Apenas se les modifica algo y se les agregan pequeñas diferencias, pero su alta frecuencia de aparición, combinada con leves variaciones de su código, es suficiente para engañar a muchos detectores.
Liberando una gran cantidad de versiones en rápida sucesión, lo que sólo permite que cada una se propague por un corto espacio de tiempo, la detección basada en firmas (bases de datos), llega a ser poco efectiva. Cuando una compañía antivirus ha liberado una nueva firma, ya se está esparciendo la próxima variante. De ese modo el hecho de que ya exista una detección disponible para una variante anterior, no es importante para el autor. Esto puede parecer una estrategia extraña, pero es una tendencia creciente en la explotación criminal de software malicioso, especialmente utilizada para crear verdaderas redes de máquinas zombis que pueden ser utilizadas para el envío de spam.
Este tipo de gusano de corta vida, si tiene éxito puede comprometer a muchos sistemas de forma muy rápida, esparciéndose a muy alta velocidad. Las máquinas infectadas pueden ser utilizadas (aunque solo sea por unas pocas horas), para infames propósitos, y entonces el ciclo se repetirá con una nueva variante.
Una técnica semejante fue utilizada recientemente, cuando múltiples versiones de la familia del Bagle (que no tenía ningún código para propagarse por si mismo) fueron lanzadas como spam, en rápida sucesión. Otra vez la eficacia de las firmas de los antivirus era casi nula. Cuando los troyanos podían ser detectados, el spam se ejecutaba otra vez, y la próxima variante era liberada.
Esta tendencia sólo destaca la necesidad de tecnologías verdaderamente proactivas, tales como la Heurística Avanzada de NOD32. La ventana de tiempo para conseguir una protección es muy pequeña, y la vulnerabilidad muy alta. Y con el creciente aumento de la acción de criminales que escriben y propagan rápidamente sus malwares, esta situación cada vez se hace peor para quienes no utilizan auténticas tecnologías proactivas.
Video Soft, empresa creadora del sitio VSAntivirus, representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información:
http://www.nod32.com.uy/
Fuente:
http://www.pcmag-mideast.com
Relacionados:
Current Threats - Last 24 Hour Analysis
http://www.virusradar.com/stat_01_current/index_all_enu.html
Troyanos que ganan dinero (Por Jose Luis Lopez)
http://www.vsantivirus.com/09-04-05.htm
La familia de los Mytob sigue creciendo
http://www.vsantivirus.com/nod32-mytob.htm
Virus Bulletin: Reflexiones sobre detección heurística
http://www.vsantivirus.com/heuristica-comparativas.htm
El nuevo Bagle, detectado por la heurística de Nod32
http://www.vsantivirus.com/ev-29-10-04.htm
Entrevista a Richard Marko, de ESET
http://www.vsantivirus.com/ev-entr-marko.htm
NOD32: Primero en detectar última versión del Netsky
http://www.vsantivirus.com/nod32-161004.htm
El gusano Sober ataca de nuevo
http://www.vsantivirus.com/08-03-05a.htm
Los Detectives Digitales (Por Andrew J. Lee)
http://www.vsantivirus.com/ajl-detectives.htm
Revisión del Año 2005 (Por Andrew J. Lee)
http://www.vsantivirus.com/ev-jlee-revision.htm
Advertencia del CERT sobre virus y antivirus
http://www.vsantivirus.com/cert-in-2003-01.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|