SEGURIDAD | Noticias | 01 DIC 2008

Los antivirus no nos protegen de las redes robot

Tags: Seguridad
Un nuevo análisis de las botnets expone una posible razón para explicar su prodigiosa habilidad para infectar PC y es que, la mayoría de los programas antivirus son prácticamente inútiles a la hora de bloquear los códigos binarios utilizados por este tipo de redes para extender malware y spam.
Paula Bardera

Así lo afirma el máximo responsable científico de FireEye, Stuart Staniford en este estudio, en el que continúa explicando que las tasas de detección de este tipo de código son tan pobres que, de media, sólo cerca del 40 por ciento de los programas de seguridad pueden detectar estos códigos durante el período de mayor infección y peligro, esto es, durante los primeros días después de que una variante comience a ser utilizada por los creadores de estas redes.

En un blog en el que detalla todas estas afirmaciones, describe cómo él mismo cargó una muestra de 217 binarios seleccionados de appliances de FireEye entre los meses de septiembre y noviembre en la página independiente de pruebas VirusTotal. Esta página trabaja con 36 programas antivirus, lo que supone una muestra bastante representativa de los programas de seguridad que utilizan tanto particulares como empresas. Al facilitarles estas muestras, dio acceso a sus investigadores a estos datos para que mostraran estadísticas de cómo esos mismos códigos binarios de malware ya habían sido cargados en el sitio Web por otros investigadores, cuándo lo habían hecho y cuántos de ellos habían sido detectados por cada programa. redes bot, pc, mundo, conexion

Sin embargo, aproximadamente la mitad de los binarios escogidos por FireEye resultaron desconocidos por VirusTotal, lo que es un resultado indicativo del problema principal de la detección de redes bot que extienden malware. La velocidad. Y es que, debido a que el malware habitualmente utiliza programas “polimórficos”, que son constantemente cambiados muy sutilmente para evitar la detección de patrones binarios, la dificultad llega a la hora de detectar y bloquear malware rápidamente. Según Staniford, esto hace especialmente difícil que los programas de antivirus puedan descubrir malware en la primera semana de su uso.

Durante los tres primeros días después de la detección inicial de FireEye, sólo cuatro de cada 10 programas antivirus pudieron detectar el código malicioso, lo que sugiere que la mayoría de las redes bot podrían evadir los softwares de seguridad durante los ataques en PC que se desarrollen en ese periodo de tiempo.

“La conclusión es que el antivirus trabaja bien con elementos antiguos, pues cuando un código malicioso ha estado en circulación durante unos meses y se continúa utilizando, cerca del 80 por ciento de los productos lo detectan”, explica Staniford.

Por su parte, los appliances de FireEye pueden contemplarse como sistemas de “alerta temprana” por el modo en que utilizan análisis de comportamiento para detectar el malware en tiempo real, en algunos casos, incluso días o semanas antes de que un programa haya sido identificado formalmente y documentado por las compañías de seguridad. Una vez que ha sido determinado y se ha enviado una firma a las bases de datos de los antivirus, quizá ya sea demasiado tarde.

Aunque es cierto que muchos proveedores de seguridad relevantes utilizan técnicas similares para detectar el malware lo más rápido posible, es sorprendente que muchos programas antivirus fallen a la hora de descubrir los códigos binarios lanzados por FireEye. La razón podría ser simplemente que el enorme número de muestras que circulan en todo período.

Lo que nadie pone en duda es la importancia que tienen las redes bot a la hora de extender el malware y spam, tal y como ha puesto de manifiesto un reciente intervención de una compañía de hosting estadounidense, McColo, que ha sido acusada de hospedar a controladores de redes bot. De hecho, en las horas posteriores a su intervención, los niveles de spam cayeron en picado.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información