Archivo para la Categoria 'Heurística'
Propagación de malware a través de importantes foros
Marzo 14, 2008 1:40 pmTiempo atrás informamos sobre una gran cantidad de sitios que habían sido modificados por para incluir scripts dañinos.
Hoy, nuevamente hemos llegado a sitios similares en donde los atacantes utilizan una metodología similar, pero en esta oportunidad, los sitios atacados corresponden a sitios educativos y foros entre los que se encuentran algunos muy importantes como el de Unicef, quien ya ha sido informado sobre este tema.
La metodología utilizada en este caso corresponde a agregar comentarios en cualquier tipo de foros o en cuadros de búsqueda de sitios, que principalmente corresponden a universidades con dominios .edu.
Los comentarios insertados corresponden a scripts dañinos que apuntan a URLs que alojan sitios pornográficos, venta de productos farmacéuticos, como viagra y cialis, y malware con diferentes objetivos.
A continuación se hace el seguimiento de un par de casos encontrados. En el primero de ellos se accede a un foro y se puede ver un mensaje del siguiente tipo:
Este script podría ejecutarse automáticamente al cargar la página, pero si no fuera así, el usuario aún puede realizar clic en cualquiera de lo enlaces visualizados ingresado a unos de los sitios mencionados.
En el caso de sitios de publicidad de productos farmacéuticos, el usuario verá algo como lo siguiente:
Al cargar algunas de estas página se puede descargar un troyano alojados en distintos sitios webs. En este caso el mismo es detectado por la Heurística Avanzada de ESET NOD32.
En este momento se pueden encontrar en Google alrededor de 60.000 sitios conteniendo los scripts mencionados. En una segunda entrega, veremos como esta metodología es utilizada en otros foros y en las páginas de descarga de distintas universidades.
Cristian
Tarjetas virtuales y heurística
Marzo 6, 2008 10:22 amYa estamos acostumbrados a recibir postales que descargan malware y en este caso, el tema que nos ocupa es la cantidad de ellas y también la cantidad de variantes del malware al que apuntan.
Esto es importante porque los creadores de malware modifican sus creaciones continuamente (incluso de manera automática) para evitar la detección de los productos antivirus. Es decir, diariamente se propagan millones de correos electrónicos que permiten la descarga de cientos de variantes del mismo malware.
Por ejemplo, la siguiente tarjeta permite la descarga de un malware determinado:
Sin embargo, cada vez que se envía automáticamente desde un equipo infectado, la dirección del troyano que descarga varía, permitiendo que sus creadores lo actualicen continuamente cada vez que un antivirus lo detecta. Aquí, la detección proactiva es fundamental debido a que permitirá detectar las miles de variantes existentes.
Hagamos una prueba… Descargamos el archivo .html al cual apunta la tarjeta y vemos que en el código fuente se apunta a un archivo .scr ( protector de pantalla que es ejecutable):
Ahora intentamos descargar ese archivo ejecutable vía linea de comandos:
Como podemos ver, ESET Smart Security detecta esta amenaza por heurística. Esto sucede porque el archivo descargado es una variante modificada de un troyano determinado. Esta detección permite que el usuario esté protegido desde el mismo momento de instalar el producto, sin necesidad de actualizar el mismo.
Cristian
Viendo la Heurística
Octubre 12, 2007 2:55 pmMuchas veces nos suelen consultar si lo que contamos sobre la heurística puede “verse” en forma práctica. Debo reconocer que el concepto es bastante abstracto por lo es necesario recurrir a un par de capturas para demostrar que “esto” es real.
En esta primera captura se aprecia como un archivo dañino es detectado por heurística:
Y en esta otra, como no se necesito actualizar la base de firmas, evitando tener que darle un nombre al malware.
Como puede verse ESET NOD32 detecta la amenaza como “Probablemente desconocida”. Esto se traduce en que:
- no se necesita conectar con un servidor de la empresa para descargar actualizaciones innecesarias
- son utilizados menos recursos porque la bases de firmas es menor
- menos consumo de ancho de banda
- el laboratorio no tienen necesidad de analizar el malware específicamente, sin la consecuente pérdida de tiempo que esto puede acarrear
- lo más importante: no se necesitó una firma del malware para que el mismo fuera detectado, por lo que el usuario estuvo siempre protegido desde antes que apareciera la amenaza.
La heurística siempre ha estado presente en ESET NOD32, sólo hacía falta verla. Espero haber ayudado.
Cristian
Heurística en productos antivirus
Septiembre 15, 2007 12:10 pmSin duda, una de las cuestiones más consultadas a ESET es aquella acerca de sus capacidades proactivas y específicamente sobre heurística.
Para aclarar el tema David Harley, Security Author and Consultant y Andrew Lee, Chief Research Officer de ESET, han escrito este Análisis Heurístico: detectando malware desconocido en donde se explica el funcionamiento de la tecnología Antivirus, haciendo especial énfasis en el análisis heurístico para la detección proactiva de códigos maliciosos desconocidos.
Que lo disfruten.
Cristian
Alguem Te Mandou Um cartão Virtual
Julio 28, 2007 10:06 amBajo esta frase se nos presenta una simpática tarjeta virtual que, a través de un SPAM (correo electrónico no solicitado), intenta descargar un archivo llamado “amor.scr” que pretende simular ser un screensaver (protector de pantalla).
En el post “La curiosidad mató al gato… y el Nuwar infectó tu PC” describí qué sucede cuando la curiosidad anula nuestra capacidad de discernir entre lo peligroso y lo benigno.
En este caso, por más que no conozcamos el idioma portugués, es fácil deducir que el título dice algo como “Alguien te mandó una tarjeta virtual”.
Supongamos que, aún sabiendo que por las características que presenta el mensaje, tenemos un alto grado de desconfianza y sabemos que somos potenciales víctimas de una infección, igualmente hacemos clic sobre el divertido y amoroso gif animado.
Al intentar descargar el ejecutable, nuestra herramienta de protección nos alerta advirtiéndonos que si ejecutamos este archivo, puede provocar cambios dañinos en el sistema.
Al ser una amenaza desconocida, ESET NOD32 advierte sobre un “Probablemente desconocido NewHeur_PE(Virus)” para dar cuenta de la posible amenaza.
En este punto, cabe destacar la importancia de tener instalado en nuestra computadora un buen producto anti-malware con capacidades proactivas que permita prevenir la propagación de todo tipo de malware a través de su heurística. Esta metodología de detección a través de técnicas inteligentes (heurística avanzada) nos permite prevenir que nuestra máquina sea comprometida por algún código malicioso desconocido.
Si bien ya casi nadie se sorprende del spam, hay que tener presente que el correo electrónico es, en la actualidad, el medio más utilizado por los spammer (personas que envían spam) y otros delincuentes informáticos para diseminar códigos maliciosos.
La mayoría del malware requiere de nuestra intervención para lograr su objetivo. Por ello hay que tratar de ser precavido a la hora de abrir nuestros correos y/o navegar por Internet.
Más sobre las capacidades de detección heurística de fín de semana
Jorge
Sitios confiables… mmm… piénsalo dos veces
Julio 23, 2007 6:30 pmCuando se trata de visitar páginas webs las personas que trabajamos en seguridad solemos recomendar “sólo visitar sitios confiables”, y solemos darle las algunas de las siguiente connotaciones a esa palabrita “confiable”:
- Sitio muy visitado y por ende bastante conocido por el público
- Empresas u organizaciones de seguridad
- Sitios respetados en el ambiente de TI
- Medios de comunicación masivos
- Webs 2.0 con contenido actualizado permanentemente
- Sitios de comunidades virtuales
- Webmails
- Entidades financieras
- Sitios de descarga de software gratuito/shareware
Obviamente cuando ingresamos a estos sitios raramente nos detenemos a pensar que el mismo puede ser dañino y de hecho es probable que ninguno de ellos jamás intente instalarnos programas dañinos porque basan su reputación en ello.
Ahora, ¿qué sucede si uno de esos sitios es vulnerado y en el código HTML del mismo se inserta código dañino? El usuario es dañado por el código y automáticamente el sitio puede perder su reputación e imagen.
Este es el caso que nos ocupa: un conocido sitio de noticias ha sido vulnerado (su servidor) y se ha modificado todas las páginas del sitio web insertando la llamada al código dañino (un iframe):
Como puede verse, al intentar ingresar al sitio ESET NOD32 advierte de la amenaza del exploit. Si lograra descargarse, este script intentaría explotar un viejo fallo del navegador Internet Explorer para descargar un archivo ejecutable dañino.
Dado el supuesto caso, este archivo sería detectado por nuestro producto mediante su heurística.
Más alla de eso, esto pone en evidencia que un sitio confiable puede dejar de serlo tán rapido como le cuesta a un delincuente ingresar al servidor y modificar el sitio web.
Una vez más queda en evidencia que la seguridad debe pensarse desde:
- el servidor: los administradores deben actualizar y controlar las aplicaciones que brindan al público
- desde el cliente: los usuarios también deben actualizar sus aplicaciones y protegerse mediante productos con capacidades proactivas que puedan detectar las amenazas nuevas que aparecen a cada instante.
De otro modo seguiremos siendo carne de cañon de los delincuentes actuales.
Cristian
De comparativas, proactividad y falsos positivos
Junio 20, 2007 2:08 pmDesde el sitio de AV-Comparatives se puede descargar la comparativa Retrospectiva/Proactiva de antivirus de mayo de 2007.
AV-Comparatives realiza esta comparativa retrospectiva para determinar la eficiencia de la heurística de los productos antivirus, tomando como base que los productos se dejan de actualizar y luego son expuestos a distintas amenazas para que las mismas sean detectadas proactivamente y sin que las amenazas figuren en la base de firmas del producto.
En esta oportunidad ESET NOD32 tuvo el orgullo de ser el único producto distinguido con la Certificación Advanced+, la más alta entregada por este prestigioso laboratorio independiente.
En la comparativa pueden apreciarse dos puntos importantes:
- el nivel de proactividad alcanzada por los 3 primeros productos (en los que se incluye ESET NOD32)
- el nivel de Falso Positivos (FP) alcanzado por los mismos 3 productos. Recordemos que un FP ocurre cuando un producto detecta un archivo no dañino como tal.
Analicemos estos dos puntos con imagenes.
Aquí puede apreciarse el porcentaje de detecciones alcanzado por heurística (ESET NOD32 68%):
Y aquí la cantidad de falsos positivos alcanzados por los mismos productos (sólo 2 para ESET NOD32)
En estos dos gráficos se destaca que una heurística demasiado paranoica o deficiente puede llevar a mayor cantidad de detecciones pero con una alta tasa de FP lo que lleva al usuario a inducir una falsa sensación de seguridad y de confianza en el producto.
Entonces, una heurística eficiente sólo lo es cuando la misma va acompañada de un índice bajo de FP. De otra manera ¿para qué sirve que cada archivo abierto sea indicado como posible amenaza?
Por esta razón ESET NOD32 fue el único en alcanzar la distinción mencionada.
Cristian
Heurística de fin de semana
Junio 1, 2007 10:11 amSupongamos por un momento que el laboratorio de su antivirus favorito es afectado por una catástrofe natural y a los profesionales que trabajan allí se les hace imposible asisitir a sus puestos de trabajo.
¿Qué sucedería? Sencillo, al no poderse realizar investigación del nuevo malware recibido, las firmas de su antivirus no se actualizarían y Ud. estaría desprotegido a menos que… su antivirus utilice heurística avanzada.
Si fuera así, su antivirus lo seguiría protegiendo aún cuando las firmas no se actualizacen. Sin considerar la parte indeseable de la catástrofe natural, esto es lo que ha sucedido este fin de semana: Eset NOD32 no necesitó actualizarse para detectar nuevos malware, gracias a su heurística avanzada.
Como puede apreciarse en el siguiente gráfico, un alto porcentaje de malware fue detectado de esta forma:
Cristian
