Estadísticas de diciembre e incorporación de AVG a VirusTotal

VirusTotal es un servicio gratuito de análisis de malware creado por Hispasec Sistemas, y que permite a un usuario que dude sobre la inocuidad de un determinado archivo analizarlo con una gran cantidad de productos antivirus que unen sus poderes de detección para reforzar dicha tarea.

Este servicio beneficia por una parte al usuario, ya que puede detectar posibles amenazas que su producto no haya identificado, o clarificar posibles problemas con el variopinto nombrado del malware. Por otra parte, también ayuda a las casas antivirus participantes ya que reciben muestras de malware que no detectan (lo que a su vez redunda de nuevo en beneficio de los usuarios ya que actualizan más rápido sus archivos de definiciones). Finalmente, el servicio ayuda a nuestro laboratorio, ya que nos dota de un conocimiento íntimo de las capacidades de dichos productos Antivirus que posteriormente utilizamos a la hora de realizar tareas de consultoría en ese campo.

VirusTotal ha experimentado un importante aumento de actividad desde su lanzamiento el pasado mes de junio. Si bien en julio el número de archivos analizados fue de 4.997, éste pasado mes de diciembre esa cifra ha subido a 12.556 (más de un 150 por ciento de aumento de actividad).

De dicha cantidad de archivos analizados, un 63,3 por ciento (7951) dio positivo avisando a los usuarios de que contenían algún tipo de código malicioso. El alto porcentaje de muestras que no dieron positivo muestran que el servicio está siendo utilizado por muchos usuarios para hacer comprobaciones rutinarias de los archivos que reciben, en un gesto rápido y sencillo para asegurar en lo posible su inocuidad.

Sobre el número de muestras que dieron positivo, una abrumadora mayoría del 92,2 por ciento no fue detectada por todos los motores integrados. Esto apunta tanto a un posible problema resuelto si el usuario utilizaba uno de esos productos que no lo detectó, como a una tendencia general a utilizar el servicio ante muestras menos comunes que los típicos gusanos de distribución masiva, ya que estos suelen ser detectados por todos los productos a las pocas horas de su aparición (como ejemplo, ver referencias [1] y [2]).

Lo anteriormente expuesto y la gran heterogeneidad de las muestras recibidas se refleja perfectamente en el top 10 del malware detectado: el porcentaje mayor es para una muestra detectada solamente por la heurística de un producto (probably unknown NewHeur_PE, con 215 muestras que hacen un porcentaje del 2,7 por ciento), mientras que las cuatro siguientes son detecciones genéricas de ejemplares maliciosos (Trojan Horse, W32/Backdoor con porcentajes sobre el total del 2,5 por ciento, 2,1 por ciento, 1,8 por ciento y 1,6 por ciento respectivamente). Siguiendo este top 10, nos encontramos también con Zafi.d, que tan velozmente se expandió estas pasadas navidades (un 1,5 por ciento), TrojanSpy.Win32.Banbra.q, un troyano diseñado para el robo de credenciales bancarias (1,3 por ciento), Backdoor.SDBot.Gen, orientado al control remoto de la víctima (1,1 por ciento) y a Netsky.P y Sober.I (1,2 por ciento y 1,0 por ciento), cuya persistencia aún hoy día resulta sorprendente.

Bajando más en dicha lista, comprobaremos que hay un protagonismo bastante importante de los troyanos en general, más proclives a no ser detectados por determinados productos que se centran más en las amenazas de virus y gusanos.

Los productos integrados en VirusTotal se actualizaron un total de 1763 veces, lo que hace una media de 2,36 actualizaciones por hora. Este estadístico en concreto es uno de los que mejor muestra la utilidad de este servicio, en especial a la hora de la identificación temprana de malware recién publicado.

Siguiendo la filosofía de mejorar constantemente este servicio gratuito, se ha procedido a incorporar el motor del antivirus AVG de Grisoft [3], producto gratuito muy utilizado por usuarios domésticos. Esta nueva entrada sube el número de productos integrados a 14, y el de motores a 16 (dado que Sybari incorpora dos motores más que no figuran entre los usados para analizar las muestras de los usuarios).

Por lo demás, seguimos a la espera de las centrales de McAfee y TrendMicro para poder volver a utilizar sus productos (hemos recibido muchas consultas de usuarios al respecto) y seguimos también en conversaciones con otras casas antivirus para integrar sus productos al servicio y así reforzarlo aún más.