Cómo evaden los autores de malware la detección antivirus

Con el objetivo de asegurarse que su código malicioso no termine en manos de vendedores e investigadores, los cibercriminales están experimentando activamente con diferentes procesos de control de calidad, cuyo objetivo es aumentar la probabilidad de éxito de sus campañas de propagación sin ser detectados.

Algunas de estas técnicas incluyen múltiples interfaces de escaneo antivirus fuera de linea ofreciéndole al ciberdelincuente una garantía de que su programa malicioso pasará sin ser detectado, antes de lanzar su campaña maliciosa.

Disponible desde el año 2006, el Escáner Antivirus Múltiple de Kim sigue siendo utilizado activamente entre los cibercriminales que quieren asegurarse que su software malicioso sea pre-escaneado por las técnicas basadas en firmas que ofrecen muchos fabricantes de antivirus.

Repasemos el escáner antivirus múltiple de Kim, y discutamos cuando se trata de una herramienta importante en el arsenal de los delincuentes cibernéticos maliciosos que propagan malware con fines de lucro.

Aquí varias capturas de la interfaz del escáner antivirus múltiple de Kim Antivirus :

Actualmente soporta los motores de AV siguientes:

• Asquared
• Avast
• AVG
• Avira
• BitDefender
• ClamWin
• Dr. Web
• eTrust
• FProt
• Ikarus
• KAV
• McAfee
• NOD32
• Normando
• Norton
• Panda
• TrendMicro
• Quick Heal
• Solo
• Sophos
• VBA32
• VirusBuster

Webroot SecureAnywhere no es incluido en el paquete. Afortunadamente, el uso de herramientas como el escáner de múltiples Antivirus de Kim no tiene en cuenta las estrategias de protección de varias capas que presentan aplicaciones tan populares como, por ejemplo, Webroot SecureAnywhere, denominadas técnicas de bloque basadas en comportamiento que son independientes de las firmas. .

Lo que vale la pena señalar que es cómo los ciberdelincuentes han logrado crear esta aplicación en torno de versiones piratas de los escáneres antivirus incluidos. El escáner de múltiples Antivirus de Kim  puede cambiar fácilmente la sensibilidad de los motores heurísticos incorporados dentro del programa, mientras que el principal objetivo es pre-escanear el binario malicioso utilizando la base de datos más actualizada de todos los proveedores, con el fin de asegurar que eludirá el escaneo basado en firmas.

Por otro lado la piratería juega un papel crucial en la difusión de malware. Varios informes confirman que a pesar de los esfuerzos de Microsoft para reducir al mínimo el incremento de la tasa de de infecciones por el AutRun mediante la publicación de un parche especial con ese fin, millones usuarios finales y corporativos siguen navegando por la Web, usando versiones piratas de Windows, impidiendo la instalación de actualizaciones críticas gracias al a la pared que significa el Windows Geniuine Advantage .

Traducción: Raúl Batista - Segu-Info
Autor: Dancho Danchev
Fuente: Webroot Threat Blog