SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

3 feb 2007

Segu-Info » , » Heurísticas primitivas (antivirus)

Heurísticas primitivas (antivirus)

3 feb 2007, 6:50:00 p.m.   Comenta primero!
  ,  
La proliferación y diversificación de malware es tan brutal que los motores antivirus son cada día más agresivos a la hora de intentar identificar las nuevas variantes. La heurística es uno de los métodos que les permite detectar nuevas formas de malware sin necesidad de ser reactivos y tener que actualizar sus firmas.

De un tiempo a esta parte vengo observando que hay un gran número de falsos positivos provocados por las heurísticas, es decir, identifican como malware archivos que en realidad no lo son. Siguiendo con mis teorías absurdas, llegué a la conclusión de que algunos motores habían optado por simplificar en extremo la heurística.

Lo primero que se me pasó por la cabeza es que podrían estar fijándose en si el ejecutable estaba empaquetado/comprimido. La primera prueba, muy simple, consistió en utilizar unas cuantas herramientas. Algunas muy populares y con solera (UPX con licencia GNU y ASPack producto comercial/privativo), junto con alguna otra menos conocida (Yoda, otra herramienta libre más reciente).

Para evitar que la muestra original pudiera tener algún componente adicional que hiciera saltar las heurísticas, elegí un ejecutable muy simple, muy extendido, y de una fuente confiable: el Bloc de notas de Windows, notepad.exe.

Los resultados:

notepad.exe comprimido con UPX


notepad.exe comprimido con ASPack


notepad.exe comprimido con Yoda


Lecturas rápidas:

  • Como ocurre con las firmas, que varios motores te indiquen por heurística que un archivo es malware no te asegura completamente que lo sea en realidad.

  • Si eres un desarrollador legítimo, no se te ocurra comprimir tus aplicaciones. Es la manera más directa de que tus desarrollos puedan ser identificados como malware por algunos motores antivirus.

  • Las heurísticas primitivas pueden ser relativamente útiles en el perímetro (servidor de correo, gateway, etc), porque el efecto de los falsos positivos no tiene tanto impacto y no se percibe de igual forma por el usuario (a lo sumo, no podrás descargar alguna aplicación o no te llegará un ejecutable adjunto en el correo).

  • No se pueden comparar la efectividad de soluciones orientadas al perímetro con antivirus para hosts (para instalarse en local), ya que se está premiando de forma artificial a los productos más "paranoicos" y "primitivos" con un alto porcentaje de falsos positivos y se perjudica a aquellos que realmente tienen una heurística más avanzada y de calidad. Cada uno tiene su utilidad y función (utilizar heurística primitiva puede ser deseable en determinados entornos), pero no se deben mezclar resultados si realmente se está haciendo un estudio mínimamente serio.

    Tengo pendiente escribir algo más formal/oficial sobre este último punto, porque he visto varias "comparativas" (ajenas a nosotros) utilizando VirusTotal a las que les falta una lectura en ese sentido y que pueden confundir más que dar pistas sobre la calidad de los productos. En VirusTotal hay todo tipo de motores orientados a diferentes entornos, incluso algunos fabricantes que tienen varios niveles de heurísticas y nos piden que activemos una en particular.

    • Fuente: http://blog.hispasec.com/laboratorio/189



    Suscríbete a nuestro Boletín

    0 Comments:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info.

    Gracias por comentar!