El
24 de julio comenté como ninguno de los 30 antivirus de VirusTotal detectaban un troyano bancario dirigido a la entidad Banamex.
Transcurridos 20 días, la situación es la siguiente:
Lo detectan 13 motores del total de 32 que hay ahora mismo públicos en VirusTotal, y es de suponer que con el transcurrir de los días el porcentaje vaya en ligero aumento.
Pero no quería comentar las diferencias entre motores (no deja de ser un caso concreto), o hablar en general de lo que tardan en publicar firmas de detección pese a que las muestras son enviadas a los laboratorios. Quería hacer hincapié en que ese troyano sólo fue peligroso durante unos días (cuando no era detectado), que después dejó de serlo y que nunca volverá a ser distribuido. Y sin embargo, los motores antivirus incluirán firmas para detectarlo.
Lo de la caducidad tiene una explicación sencilla. Como recordaréis el troyano lo único que hacía era modificar el archivo hosts de Windows para redirigir los dominios de Banamex a una dirección IP del servidor web donde se hospedaba unas páginas falsas de phishing. Lo que se conoce como pharming local. Una vez que el banco logra eliminar las páginas fraudulentas del servidor, el troyano no sirve de nada, por lo que el autor no va a distribuirlo de nuevo, tendrá que crear otra versión modificando al menos la dirección IP para que apunte a un nuevo servidor de phishing.
¿Cuánto malware de los que detectan los antivirus está caduco? ¿Qué valor tiene que un antivirus detecte esas muestras después cuando el malware ya no está activo? Y sin embargo, ¿cuánto malware del que tenemos en las colecciones para hacer evaluaciones de productos o comparativas está caduco y no podemos diferenciar si fue detectado por los antivirus cuando estaba activo o después? ¿Deben los antivirus detectar todo el malware histórico, aunque ya no afecte a nadie? Al ritmo actual de distribución de variantes, ¿cómo repercute eso en el crecimiento del archivo de firmas de los antivirus y en sus requisitos/rendimiento?
