Siguiendo con las evaluaciones antivirus (
I y
II), uno de los enfoques que nos plantean algunas casas AV en VirusTotal es hacer una combinación de métodos de análisis para dar una respuesta lo más real posible, que incluya las teóricas ventajas que tiene el producto final instalado.
Respecto a ese tema en VirusTotal hay que abordar, entre otros, dos problemas de escalado: a) el volumen (nos estamos acercando a los 100.000 ficheros analizados/dia) y b) la velocidad de respuesta (a cualquiera le gusta tener el resultado en el menor tiempo posible, ahora debemos andar por debajo del minuto con 40 motores AV, dependiendo de la naturaleza de las muestras y la carga puntual del servicio). Esos dos requisitos chocan con cualquier acercamiento de probar los vectores de infeccion, ejecución y monitorización de la infección en entornos reales que debiera contemplar una buena evaluación.
Una opción que nos planteamos (hay ya alguna casa AV, de las gordas, que coincide y ha iniciando el trabajo con nosotros) es hacer una criba con los ficheros. Básicamente, en la primera fase se pasan por los commandline actuales de VT, y los ficheros no detectados pasarían a una segunda fase donde se enfrentaría con el AV en otras circunstancias (en entornos reales/completos). La idea a priori parece buena, está claro que si el commandline detecta un bicho tambien lo hará la versión final del AV instalada en el PC del usuario y por tanto podemos dar por analizado muchos ficheros en la primera fase, y serían ¿los menos? los que habría que analizar en la segunda fase que es la que escala peor.
¿Está tan claro que si un AV commandline en VT detecta un malware también lo hará la versión completa que se instala el usuario? La teoría nos dice que sí, en la práctica te puedes encontrar de todo...
Mensaje que pasó hace un par de días por el sistema de evaluación:
El enlace apuntaba a una página donde redirigía a otra que llamaba a un malware (un downloader). En el
resultado de VT se puede ver que McAfee, Kaspersky, Panda y Symantec lo detectan. Así que en un entorno real la teoría nos dice que esos 4 antivirus harán lo propio.
Por ejemplo, Panda haciendo lo que se supone que debía hacer (al igual que Kaspersky y Symantec):
Y McAfee llevando la contraria a la teoría, permite la descarga y ejecución del malware:
Incluyendo la acción de descarga del otro componente al que apuntaba el downloader e infección completa del sistema:
Uno puede pensar en un desfase en la actualización de firmas. Pero VT utiliza las firmas oficiales de McAfee (no betas ni ninguna edición especial), el producto completo fuerza la autoactualización antes de la evaluación, y el resultado se repitió pasadas dos horas desde la detección en VT.
Que sea en esta ocasión McAfee es circunstancial, se pueden sacar ejemplos de otros antivirus, el problema es que ésto mete el dedo en la llaga (otro más) en cualquier sistema de evaluación que no contemple un entorno real tanto para el producto antivirus como para las condiciones de propagación/infección del malware. De paso, también fastidia nuestra idea de cribar en diferentes fases de análisis (al menos con el enfoque de evaluación AV con grandes volúmenes de malware).
