Firmas antivirus más allá del malware tradicional

Ya son pocos los antivirus que además de lo que podría considerarse el malware tradicional (virus, troyanos y gusanos), no incluyen en sus firmas la detección de spyware o adware, entre otras formas de código malicioso. Sin embargo la detección basada en firmas tiene muchas otras posibilidades que hasta la fecha no están siendo aprovechadas por todos los productos antivirus.

Respecto al spyware hoy día parece que no hay duda. Aunque se ha intentado disfrazar como una nueva categoría no tiene ningún sentido situarla fuera del ámbito de actuación de los antivirus, es una división artificial. De hecho, el que surgieran productos específicos para el spyware y similares puede considerarse un error histórico por parte de las casas antivirus al no centrar su atención en ese tipo de malware, dando la oportunidad a que surgieran pequeñas empresas con productos especializados.

Sin embargo a diario surgen nuevas amenazas que fácilmente podrían ser prevenidas por las firmas de un antivirus y, generalmente, no son tenidas en cuenta por este tipo de soluciones.

Un ejemplo podría ser la explotación de determinadas vulnerabilidades, caso por ejemplo del histórico falseamiento de URL en Internet Explorer, parcheado en su día, que se utilizó en ataques reales de phishing (en el Banco Popular lo recordarán). La detección basada en firma era trivial, bastaba en comprobar si la URL contenía determinados caracteres, como ” %00″.

Si pasamos un HTML con un phishing basado en esta vulnerabilidad por 20 motores antivirus comprobamos que sólo detectan la URL maliciosa 4 de ellos:

ClamAV :: Trojan.URLspoof.gen.2

McAfee :: Exploit-URLSpoof.gen

Panda :: Exploit/URLSpoof

Sybari :: Exploit-URLSpoof.gen

Otro ejemplo. Hace unos días Sober.q originó una avalancha de spam, de la que nos hicimos eco en una-al-día. Muchos usuarios consultaron a Hispasec como podrían librarse de ese “virus” que les llegaba en forma de correo electrónico en alemán. Evidentemente no se trataba de un virus propiamente dicho, los mensajes sólo contenían texto y enlaces, pero no dejaba de ser un incordio debido al gran número de correos electrónicos que llegaban a recibir.

Soluciones para evitar ese spam había varias, desde meter algunas reglas en el servidor de correo pasando por cualquier tipo de solución antispam, que para eso están. Eso pensarían las casas antivirus, más si cabe en aquellos casos donde, además, venden soluciones específicas o incorporan el antispam en sus suites de seguridad.

Pero es un hecho de que muchos usuarios que contaban con solución antivirus en su PC, incluso muchos otros también en el servidor de correo, sufrieron la avalancha de spam emitida por Sober.q por no tener ese tipo de soluciones antispam. Teniendo en cuenta que Sober.q tenía una serie de mensajes definidos fijos, que no modificaba, parece que hubiera sido trivial meter una firma en el antivirus para detectar y eliminar esos mensajes.

Analizamos un mensaje de spam emitido por Sober.q con 20 motores antivirus, y en esta ocasión sólo uno de ellos lo detecta:

McAfee :: W32/Sober.q!spam

Véase que la firma a partir del pasado 23 no tiene mucha razón de ser, ya que Sober.q estaba programado para dejar de enviar spam desde ese día, e intentar descargar e instalar otro ejecutable, probablemente Sober.r (a día de hoy no ha aparecido aun). Pero dejando a un lado la temporalidad de la utilidad de la firma, no deja de ser un ejemplo más de otro uso de las firmas antivirus que a buen seguro algún usuario agradeció.

Y llegados a este punto muchos se preguntarán hasta donde debe llegar un antivirus. Viendo la nueva corriente de suites de seguridad “anti-todo” parece complicado contestar algo concreto, pero desde el punto de vista de la tecnología antivirus tradicional parece que en muchas ocasiones se podría exprimir aun más sus posibilidades sin que ello requiera incorporar nuevos módulos al antivirus ni repercuta negativamente en la carga del sistema.