Blog Laboratorio Hispasec

Sobre el Suspicious.Insight de Symantec

Hace unos d�as incluimos una nueva versi�n del motor de Symantec en VirusTotal. Esta nueva versi�n utiliza una tecnolog�a de la compa��a que usa un sistema de reputaci�n para judgar previamente los archivos. Dado que hemos recibido bastantes emails preguntando por el asunto, hemos pensado que estar�a bien clarificarlo, y la gente de Symantec tambi�n ha publicado un post bastante clarificador en uno de sus blogs (traduciendo del ingl�s): "�Que es exactamente una detecci�n con Suspicious.Insight?. Estas detecciones se derivan de la nueva tecnolog�a de Symantec basada en reputaci�n. Marca archivos que no han creado a�n una reputaci�n clara (ya sea buena o mala) entre la comunidad de usuarios de Symantec". Si quer�is leer m�s acerca del asunto, pod�is hacerlo en el propio blog de Symantec, o en la referencia t�cnica sobre la detecci�n.

Sospechoso, hasta que no se demuestre lo contrario

Esta ma�ana hemos vuelto a activar en VirusTotal el �ltimo motor de Symantec que nos enviaron, incluye consultas a la nube y valoraciones basadas en reputaci�n. Digo que hemos vuelto a activarlo porque lo desactivamos pensando que ten�a un bug, dado el n�mero de falsos positivos que arrojaba.

Tras comunicarles nuestras dudas al respecto, desde la central de Symantec han insistido en que desean que esa versi�n sea la que permanezca en VirusTotal. As� que aviso a navegantes respecto a las detecciones que aparezcan marcadas �nicamente como "Suspicious.Insight" por parte de este motor. Puede dar esa detecci�n incluso con binarios leg�timos firmados con VeriSign Class 3 Code Signing.

Nuestro compa�ero Ero Carrera en los talleres RootedLabs

Dentro del contexto del Congreso de Seguridad Inform�tica Rooted CON, que tendr� lugar en Madrid del 18 al 20 de marzo 2010, nuestro compa�ero Ero Carrera impartir� un taller muy especial sobre el malware.

Est� orientado a aquellos profesionales que quieran conocer las �ltimas t�cnicas utilizadas por los creadores de malware y c�mo poder analizar malware. Para ello, durante este curso se realizar�n, durante todo el d�a, pr�cticas con malware real que est� siendo explotado hoy en d�a en Internet. Se ver�n casos de virus, de gusanos y de troyanos bancarios dirigidos al robo de credenciales.

Ero Carrera es actualmente "Chief Research Officer of Collaborative Security" en VirusTotal. Al margen de este t�tulo que apenas cabe en su tarjeta de visita, es un excelente comunicador con grandes conocimientos sobre el malware con el que siempre resulta agradable compartir informaci�n.

Toda la informaci�n sobre la conferencia est� disponible en: http://www.rootedcon.es/

Para apuntarse a este taller (que ser� el 16 de marzo) u otros, es posible hacerlo desde https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers

Rumore, rumore...

Estoy teniendo mucho feedback sobre Rumorolog�a Antivirus, con reacciones de todo tipo. La mayor�a de la gente se centra en el hecho de la copia, aunque desde mi punto de vista lo m�s preocupante es la reproducci�n de errores y como impacta en los falsos positivos. Como al final un software leg�timo puede convertirse en un malware a ojos de terceros al reproducirse el error, aquello de "una mentira repetida mil veces se convierte en una realidad".

Casualidades de la vida, ayer sufrimos en carnes propias un caso de falso positivo con nuestro VirusTotal Uploader, que fue detectado por Symantec. El falso positivo ha sido corregido en cuesti�n de horas, es lo bueno que tiene tener contactos en todos los laboratorios AV, pero lo curioso de nuevo es ver el historial de detecciones y como "concuerdan" algunas nomenclaturas de diferentes motores.

En el a�o 2007 VBA32 tuvo un falso positivo detect�ndolo como "AdWare.Win32.BetterInternet.amw" que corregir�a m�s tarde, es la primera referencia que tenemos de que fuera detectado con una firma espec�fica como "Adware BetterInternet".

Este a�o fue detectado por dos motores m�s, pero por heur�sticas, as� que en principio no parece guardar relaci�n alguna con aquella detecci�n del 2007. Primero fue Webwasher-Gateway detect�ndolo como "BlockReason.0" el 2009/01/14, y m�s tarde Panda durante algo m�s de un mes, del 2009/09/04 hasta 2009/10/15 como "Suspicios file".

En 2009/10/17 TheHacker lo detecta como "Adware/BetterInternet.aoh", el 2009/10/21 Symantec como "Adware.BetterInternet".

El caso de Symantec, al ser un antivirus m�s extendido, si nos ha impactado m�s, en el sentido de que hemos recibido comentarios de usuarios avisando del tema (afortunadamente los usuarios de VirusTotal Uploader saben diferenciar un falso positivo, as� que nadie nos ha acusado de haberles instalado un adware). Tras avisar a t�cnicos de TheHacker y Symantec ha sido cuesti�n de horas, a la siguiente actualizaci�n estaba corregido. Gracias Melissa y Mike.

Aunque el falso positivo de TheHacker no nos impactaba especialmente he preferido que se corrigieran ambos, por si en algo tiene que ver el efecto "rumorolog�a". As� que mi consejo a los desarrolladores de software es que avisen de cualquier falso positivo, aunque sea en un motor antivirus menos popular, para prevenir males mayores.

Pregunta al aire, por curiosidad, �alguien conoce alg�n caso de desarrollador de software que haya denunciado a un antivirus por el impacto en el negocio o imagen que le ha provocado un falso positivo? �hay posibilidad o legalmente tienen las espaldas cubiertas los antivirus?. A nosotros de vez en cuando nos llega alguna que otra amenaza del departamento legal de turno, y mira que s�lo visualizamos los resultados :)

State Of malware: Explosion of the axis of Evil

Presentaci�n en la pasada SOURCE Barcelona 2009 donde se cruza la visi�n del malware que tienen en Mandiant de la mano de Peter Silberman, con lo que vemos en VirusTotal representados por Ero Carrera.

Mientras que en VirusTotal recibimos cantidades industriales de malware de todo tipo y tenemos una imagen global de lo que se cuece, Mandiant tiene una visi�n m�s cerrada y especializada en el malware dirigido a las principales empresas del Fortune 500 y grandes corporaciones, de forma que ha sido un ejercicio interesante cruzar datos.

PDF (15,7MB)

Nuevo dato en VT: sigcheck

Acabamos de incluir los resultados del Sigcheck de Microsoft a los informes generados en VirusTotal. Es una herramienta muy interesante que muestra informaci�n variada sobre archivos (versiones, etc.) pero especialmente por la informaci�n que muestra sobre el certificado digital que pueda tener. Queremos agradecer a la gente de Microsoft (especialmente a Mark Russinovich) el permiso que nos han dado para utilizarla en VT.