Para compensar un poco la entrada que publiqué sobre
heurísticas antivirus primitivas, aprovecho el mensaje que me acaba de enviar una persona para comentar un ejemplo concreto de la utilidad de las heurísticas.
Esta persona me reenvía un mensaje que le parece sospechoso, ya que un supuesto enlace a un formulario en realidad apunta a un ejecutable. En concreto el mensaje dice así:
Subject: Usted acaba de ganar un regalo de ripley.cl
Usted acaba de ganar un regalo de ripley.cl
Su email fue sorteado y usted gano esta linda cámara digital
para confirmar el premio baje el formulario clickeando en el link abajo,
e vea donde recibir su premio
Download Formulario
El mensaje continúa describiendo las características de la cámara digital (una Sony de 6 Megapixels) que supuestamente nos ha tocado.
Tal y como era de esperar, al pinchar el enlace del formulario lo que en realidad se descarga es un ejecutable con "bicho". Al pasar la muestra por VirusTotal podemos comprobar que es un malware relativamente nuevo y poco conocido, ya que apenas cinco motores lo detectan por heurística.
En esta ocasión las heurísticas de esos cinco motores (BitDefender, DrWeb, eSafe, NOD32 y Panda) pueden prevenir la infección de un malware nuevo. Es un caso aislado, perfectamente se dan otras casuísticas donde los motores que detectan la muestra son otros. Por supuesto, también se dan casos donde ninguna heurística es capaz de detectarlo.
Siguiendo con el ejemplo concreto, a nivel de nomenclatura podemos fijarnos que al menos un par de motores intentan hilar más fino con sus heurísticas, y se atreven a decir de que tipo de malware se puede tratar.
Por el nombre que le da BitDefender, "BehavesLike:Win32.SMTP-Mailer", podría tratarse de un gusano que se propaga por correo electrónico, o al menos algo envía por e-mail. NOD32 afina un poco más con el nombre de "probably a variant of Win32/Spy.Banker.ANV", que nos indicaría que se trata de una variante de un troyano bancario.
Le he echado un ojo rápido a la muestra y ambos tienen parte de razón, aunque NOD32 ha dado en el clavo. Se trata de un troyano bancario que captura el usuario y contraseña cuando se accede a determinadas entidades financieras de Chile. El troyano envía los datos capturados por correo a una cuenta de Gmail a través de un SMTP de Google, lo que podría explicar la nomenclatura dada por BitDefender.
