Tarjetas virtuales y heurística

Publicado: marzo 7, 2008 en Articulos, Vulnerabilidades

Ya estamos acostumbrados a recibir postales que descargan malware y en este caso, el tema que nos ocupa es la cantidad de ellas y también la cantidad de variantes del malware al que apuntan.

Esto es importante porque los creadores de malware modifican sus creaciones continuamente (incluso de manera automática) para evitar la detección de los productos antivirus. Es decir, diariamente se propagan millones de correos electrónicos que permiten la descarga de cientos de variantes del mismo malware.

Por ejemplo, la siguiente tarjeta permite la descarga de un malware determinado:

Tarjeta de humor

Sin embargo, cada vez que se envía automáticamente desde un equipo infectado, la dirección del troyano que descarga varía, permitiendo que sus creadores lo actualicen continuamente cada vez que un antivirus lo detecta. Aquí, la detección proactiva es fundamental debido a que permitirá detectar las miles de variantes existentes.

Hagamos una prueba… Descargamos el archivo .html al cual apunta la tarjeta y vemos que en el código fuente se apunta a un archivo .scr ( protector de pantalla que es ejecutable):

Código fuente

Ahora intentamos descargar ese archivo ejecutable vía linea de comandos:

Detección por Heurstica

Como podemos ver, ESET Smart Security detecta esta amenaza por heurística. Esto sucede porque el archivo descargado es una variante modificada de un troyano determinado. Esta detección permite que el usuario esté protegido desde el mismo momento de instalar el producto, sin necesidad de actualizar el mismo.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s