07
septiembre
2006

Más datos sobre el troyano que captura vídeo

a vueltas con el troyano
[Malware] 
En respuesta a los comentarios del blog, y a los muchos mensajes recibidos por la noticia en una-al-dia, a continuación los resultados de detección del troyano en cuestión según los diferentes motores:



Cómo se puede observar el ratio de detección es bastante irregular. No se debe personalizar mucho respecto a que motor lo detecta y cuál no, no sería justo ni práctico emitir juicios de valor por la detección de una simple muestra.


Por ejemplo, a continuación los resultados de otra variante del troyano que captura también vídeo, en esta ocasión está más optimizado y afecta a más entidades.



Más que utilizar estos datos a modo de comparativa (aunque tampoco vamos a reprimir la alegría que les cause a los antivirus que han logrado pleno y conseguido detectar los dos), creo que la lectura que deberíamos hacer es que hay tal diversidad y proliferación de troyanos bancarios que resulta muy complicado mantener unos ratios de acierto elevados. Todos los motores tienen sus lagunas.


¿Podrían mejorar los ratios de detección respecto a los troyanos bancarios?, probablemente sí. Los consumidores de productos antivirus deberían demandar una mayor protección contra el malware que considere les puede causar más daño. Las entidades financieras probablemente también estarían interesadas a favor de esta demanda, podría mitigar algo sus problemas además de desviar un poco la responsabilidad.


Claro está que para ejercer esa "presión", en el buen sentido, debería existir un ente independiente que ofreciera datos al respecto o algún tipo de certificación que garantizara una especial atención ante este tipo de malware. De lo contrario todo quedaría en agua de borrajas y a merced del marketing.


Más preguntas... respecto a que familia pertenece, como podéis ver en los resultados la mayoría de antivirus ha optado por meterla dentro del gran cajón genérico de los "banker". Es otro de los problemas de la gran cantidad de troyanos bancarios que se producen actualmente, para los laboratorios antivirus es prácticamente imposible hacer un análisis en profundidad de cada muestra y una clasificación más detallada y descriptiva.


En cuanto a su proliferación, no tenemos datos que sugieran que hay una plaga de este tipo de troyano con captura de vídeo, pero si estimamos que seguirá evolucionando a corto plazo. Tampoco se trata del método óptimo para capturar los datos de los teclados virtuales, así que probablemente otras técnicas se extiendan más y terminarán por imponerse a la del vídeo.


¿Método utilizado para el contagio?. La muestra nos llega a través de VirusTotal, así que no tenemos datos concretos de como se está distribuyendo. Lo normal en el caso de los troyanos bancarios brasileños es que se utilice el e-mail o la web para su distribución. Algunas excusas para engañar a los usuarios y hacerles abrir el troyano son desde tarjetas postales virtuales hasta otras más picantes.

Enviado por bquintero a las 23:37 | Enlace permanente | Comentarios (2) | Trackbacks (0)
Comentarios
Re: Más datos sobre el troyano que captura vídeo

Queda claro, Bernardo, que es mucho mas fácil quedar infectado por un troyano bancario (y eso que ni siquiera se esfuerzan en programarlos bien, este copiar-y-pegar dll´s), que ganar en la bono loto, que al menos nos permitiría retirarnos por un tiempo, a meditar, sobre la recurrencia software-->peligro-->software antipeligro-->más software--peligro-->.................................................

Pues ya lo dijo Hamlet: "¿¿¿Qué es mejor???, ¿luchar contra los embates troyánicos, o doblegarse ante ellos, dejando que nos birlen los pocos cuartos que tenemos?...

Como muy bien dijo un escribidor, en el bloque anterior: ¿Pero como es posible que las entidades bancarias tengan sus terminales infectadas?...

Repito: las entidades bancarias deben absolutamente responsabilizarse de este problema.
Mi propuesta sigue en pie: Un escaneo, debiera ser efectuado por estas entidades bancarias, que debieran RESPONSABILIZARSE de la seguridad de la transacción.

Otherwise, las entidades bancaria$ no ofrecen ningún tipo de seguridad, y son esponsables de esta falta de seguridad.

Posted by: sopadeajo at septiembre 08,2006 01:43
Re: Más datos sobre el troyano que captura vídeo

Las entidades financieras deberían desarrollar junto a alguna empresa una especiae de 'consola' de acceso a sus páginas, de forma que sólo accederían a páginas reales (fuera phising) y que durante su ejecución 'durmiera' a todos los procesos que no fueran estrictamente necesarios y así se evitarían keyloggers, capturas de pantallas y video.
A corto plazo debería extenderse el uso de claves de un solo uso, certificados y otras ayudas que ya existen.

Posted by: Paranoico at septiembre 12,2006 19:26
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/154/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario