1 ene 2010

Detectores de Virus para Autores de Virus

A menudo he recomendado servicios de escaneo de archivos como VirusTotal y Jotti, que permiten que los visitantes carguen un archivo sospechoso y lo exploren contra docenas de herramientas de antivirus comerciales. Si una exploración genera alarma de virus o banderas rojas, el informe producido por la exploración es compartido con todos los fabricantes de antivirus participantes de modo que aquellos vendedores puedan incorporar la detección del malware recién descubierto en sus productos.

Esa suma de inteligencia sobre nuevas amenazas también sirve para hacer los servicios de exploración gratuitos menos atractivos a los autores de virus, que casi seguramente nada les guste más que probar gratuita y simultáneamente la invisibilidad de sus nuevas creaciones a lo largo de un amplio rango de programas de seguridad. De todos modos, no hay nada que impida a un hacker emprendedor de comprar una licencia para cada uno de las herramientas antivirus del mercado y vender el acceso a un servicio de exploración separado que atraiga a la comunidad de autores de virus.

Entre en servicios de exploración de archivos tales como av-check.com y virtest.com, cuentan con la garantía que ellos no compartirán sus resultados con la comunidad de antivirus.

Por 1 dólar por archivo explorado (o una membresía mensual de 40 dólares) av-check.com verá si su archivo es descubierto por cualquiera de los 22 productos de antivirus, incluso AVAST, AVG, Avira, BitDefender, NOD32, F-Secure, Kaspersky, McAfee, Panda, Sophos, Symantec, y Trend Micro. “Cada uno de ellos es configurado [sic] en el máximo nivel de control heurístico,” promete av-check. “Garantizamos que no guardamos sus archivos subidos y que son suprimidos inmediatamente después del control. Tampoco re-enviamos sus archivos a terceros. Los archivos son comprobados sólo localmente (sin  comprobación/utilización en otros servidores.” En otras palabras: no hay ningún peligro que los resultados de estas exploraciones se filtrarán de alguna manera a los vendedores de antivirus.

El servicio afirma que pronto ampliarán el servicio con características avanzadas, tales como pruebas de malware contra anti-spyware y programas de cortafuego, así como una prueba para ver si el malware funciona en una máquina virtual, como VMWare o VirtualBox. Por el bien de la seguridad y la eficacia, los investigadores de seguridad a menudo comprueban nuevas muestras de malware en un ambiente virtual. Como resultado muchas nuevas familias de malware son diseñadas para cerrarse o destruirse si descubren que están siendo ejecutados dentro de una máquina virtual.

Virtest comprueba malware archivos sospechosos contra un conjunto similar aunque ligeramente diferente de programas de antivirus, también prometiendo no permitir que los archivos enviados vayan a los vendedores de antivirus: “su programa nunca es enviado a ninguna parte y los archivos comprobados nunca aparecerán en las nuevas bases de firmas AV después de la exploración,” promete el sitio. “A propósito en todos los productos AV son desactivados todos los métodos posibles e iniciativas de intercambio de información de los archivos con las divisiones AV”

Los propietarios de estos servicios no tratan siquiera de esconder el hecho que ellos los han construido para escritores malware. Entre los rasgos de distintivos principales de virtest.com está la capacidad para autores malware de comprobar "paquetes de explotación," conjuntos pre-empaquetados que — cuando están adheridos en un Sitio Web malicioso o de un atacante — sirven al navegador del visitante con un depósito lleno del código diseñado para instalar el software por medio de alguno de los varios agujeros de seguridad conocidos. Muchos programas de antivirus ahora también exploran las páginas Web en busca de contenido malicioso, y este  servicio de "control de paquete de explotación" le dirá a los autores malware si sus sitios de explotación disparan alarmas de virus a lo largo de una variedad de software antivirus usado extensamente.

Pero no cuente con pagar estos servicios con American Express: Ambos sitios sólo aceptan el pago con monedas virtuales como Webmoney y Fethard, servicios que parecen ser populares en la economía negra online.

Traducción: Raúl Batista - Segu-info
Autor: Brian Krebs
Fuente: Krebs on Security

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!