22
octubre
2009

Rumore, rumore...

http://www.youtube.com/watch?v=61zXKspRqDI
[Malware] 
Estoy teniendo mucho feedback sobre Rumorología Antivirus, con reacciones de todo tipo. La mayoría de la gente se centra en el hecho de la copia, aunque desde mi punto de vista lo más preocupante es la reproducción de errores y como impacta en los falsos positivos. Como al final un software legítimo puede convertirse en un malware a ojos de terceros al reproducirse el error, aquello de "una mentira repetida mil veces se convierte en una realidad".


Casualidades de la vida, ayer sufrimos en carnes propias un caso de falso positivo con nuestro VirusTotal Uploader, que fue detectado por Symantec. El falso positivo ha sido corregido en cuestión de horas, es lo bueno que tiene tener contactos en todos los laboratorios AV, pero lo curioso de nuevo es ver el historial de detecciones y como "concuerdan" algunas nomenclaturas de diferentes motores.


En el año 2007 VBA32 tuvo un falso positivo detectándolo como "AdWare.Win32.BetterInternet.amw" que corregiría más tarde, es la primera referencia que tenemos de que fuera detectado con una firma específica como "Adware BetterInternet".


Este año fue detectado por dos motores más, pero por heurísticas, así que en principio no parece guardar relación alguna con aquella detección del 2007. Primero fue Webwasher-Gateway detectándolo como "BlockReason.0" el 2009/01/14, y más tarde Panda durante algo más de un mes, del 2009/09/04 hasta 2009/10/15 como "Suspicios file".


En 2009/10/17 TheHacker lo detecta como "Adware/BetterInternet.aoh", el 2009/10/21 Symantec como "Adware.BetterInternet".


El caso de Symantec, al ser un antivirus más extendido, si nos ha impactado más, en el sentido de que hemos recibido comentarios de usuarios avisando del tema (afortunadamente los usuarios de VirusTotal Uploader saben diferenciar un falso positivo, así que nadie nos ha acusado de haberles instalado un adware). Tras avisar a técnicos de TheHacker y Symantec ha sido cuestión de horas, a la siguiente actualización estaba corregido. Gracias Melissa y Mike.


Aunque el falso positivo de TheHacker no nos impactaba especialmente he preferido que se corrigieran ambos, por si en algo tiene que ver el efecto "rumorología". Así que mi consejo a los desarrolladores de software es que avisen de cualquier falso positivo, aunque sea en un motor antivirus menos popular, para prevenir males mayores.


Pregunta al aire, por curiosidad, ¿alguien conoce algún caso de desarrollador de software que haya denunciado a un antivirus por el impacto en el negocio o imagen que le ha provocado un falso positivo? ¿hay posibilidad o legalmente tienen las espaldas cubiertas los antivirus?. A nosotros de vez en cuando nos llega alguna que otra amenaza del departamento legal de turno, y mira que sólo visualizamos los resultados :)

Enviado por bquintero a las 23:18 | Enlace permanente | Comentarios (1) | Trackbacks (0)
Comentarios
Re: Rumore, rumore...

Hablais muchas veces de los falsos positivos y muy pocas de los falsos negativos, mucho peores que los primeros. De echo si en los últimos años ni me planteaba utilizar antivirus por su escasa eficacia, estas últimas semanas me he encontrado con espécimens que egercían claramente una actividad no deseada por los usuarios. El funcionamiento vuelve a lo clásico, proceso ejecutable que arranca en el inicio, nada que ver con sercivios ocultos, procesos ocultos o extrañas y complejas formas de ejecutarse.
En virustotal la detección casi nula, y cuando lo hacen suele ser a través de las heurísticas. Eso si, el antivirus local no detecta nada.

No suelo probar con software legítimo, el 90% de las muestras que mando a virustotal suelen ser malware de algún tipo (o al menos de acciones no deseadas voluntariamente por lo usuarios)

Pero sobre todo sobre todo, me llama la atención de los que venden que sus soluciones no van a ser detectadas por los antivirus, y te lo garantizan.... Supongo que es por eso que se ha vuelto a las formás clásicas y rudimentarias, ya que, incluso con las soluciones "garantizadas" gratuitas se dan ciertas garantias de invisibilidad.

Hace más de 10 años que decidí que un antivirus instalado no cumplia mis espectativas, y por eso no lo utilizo. Por lo general, casi todos los días me encuentro con algún tipo de virus, en el 80% de los casos tienen antivirus y veo enormes fallos. Hace 2-3 años encontraba con especímenes muy interesantes y muy pedagogicos, pero eso ha cambiado y volvemos hacia atrás (será la recesión) veo infecciones más simples y no detectadas. En fin, de que sirve pagar lo que valen si al final no hacen lo que deben, ni siquiera veo grandes cantidades de intentos en los respectivos logs (que daría mucha culpa a los usuarios)

En fin, a ver si os veo algún día hablando de los falsos negativos ;)

Posted by: khepper at noviembre 15,2009 16:17
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/358/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario