• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Rumorología antivirus 20-10-2009

    "A una colectividad se le engaña siempre mejor que a un hombre" "A una colectividad se le engaña siempre mejor que a un hombre". A bote pronto esta afirmación de Pío Baroja puede parecer errónea, ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.289

      Atención Rumorología antivirus 20-10-2009

      "A una colectividad se le engaña siempre mejor que a un hombre"

      "A una colectividad se le engaña siempre mejor que a un hombre". A bote pronto esta afirmación de Pío Baroja puede parecer errónea, pero enseguida cobra sentido si pensamos en el fenómeno de la rumorología, cómo una información falsa puede expandirse con gran fuerza en un colectivo, donde los individuos actúan como cadenas propagando el rumor de forma inconsciente.

      El origen de un rumor puede ser intencionado e interesado, de hecho es una de las técnicas bien conocidas para la manipulación de masas de cara a influir en el comportamiento voluntario de los individuos. "Miente, miente, que algo quedará. Una mentira repetida mil veces se convierte en una realidad", que decía Joseph Goebbels, ministro encargado de la propaganda nazi en tiempos de Hitler. En otras ocasiones el origen de un rumor no es intencionado, pero no por ello deja de ser menos efectivo.

      ¿Por qué se propaga un rumor?. Probablemente se pueda encontrar mucha literatura sobre la psicología del rumor, si bien una de las causas palpables es la falta de crítica y criterio propio de los individuos a la hora de dar por buena y propia la información que reciben. Hay que analizar y contrastar la noticia, que dirían los periodistas.

      Otro aspecto interesante del rumor es que evoluciona y se intensifica al transmitirse. Cada uno de los individuos puede añadir elementos a la información para dotarla de mayor credibilidad de cara a terceros, por lo que el bulo crece con fuerza a medida que se propaga aprovechando las relaciones de confianza entre individuos. Una misma historia puede sonar más o menos convincente dependiendo del grado de confianza que tengas en el transmisor.

      ¿Pero que tiene todo esto que ver con los antivirus? ¿Vamos a hablar de los mensajes sobre falsos virus que pueden llegar a nuestro buzón y que la gente reenvía? Pues no, vamos a ver como los propios antivirus pueden verse afectados por la rumorología, como partiendo de una información falsa no analizada y contrastada pueden propagar y aumentar un error de forma inconsciente.

      En el 2002 se llevó a cabo en España la II Campaña de Seguridad en la Red, encabezada por la Asociación de Internautas con la colaboración de diversas instituciones, desde el Ministerio de Ciencia y Tecnología hasta medios de comunicación. Entre otras actuaciones se facilitó de forma gratuita diverso software de seguridad: Antivirus de Panda, CheckDialer de Hispasec o una pequeña utilidad desarrollada por la propia Asociación de Internautas denominada "AlertVir". Es esta última la protagonista de nuestra historia.

      AlertVir es una especie de "avisador", tipo cliente RSS para Windows, que muestra información sobre malware de nueva aparición. Un programa tan pequeño como legítimo e inofensivo. Algunas heurísticas de varios motores antivirus empezaron a detectar de forma errónea esta utilidad, es lo que llamamos "falso positivo":

      CAT-QuickHeal: (Suspicious) - DNAScan
      Fortinet: PossibleThreat
      Norman: W32/Suspicious_U.gen
      Sophos: Mal/Packer
      Sunbelt: VIPRE.Suspicious

      Como puede observarse las primeras detecciones eran muy genéricas, en los nombres dados se hace mención a "sospechoso" ó "posible amenaza". La clave sin embargo la podemos encontrar en la firma de Sophos que lo identifica como "Mal/Packer", lo que nos da una pista de porque algunos motores antivirus empezaron a detectarlo. El ejecutable de AlertVir está comprimido con la utilidad "UPack" para hacerlo más pequeño. Algunos creadores de malware también utilizan este tipo de utilidades para ofuscar sus especímenes, por lo que algunos antivirus optaron por el camino más fácil: identificar directamente como sospechoso cualquier software que utilice alguno de estos packers.

      Lo que en principio fue un caso más de falso positivo y heurísticas paranoicas ha ido degenerando con el tiempo a medida de que otros antivirus detectaban la utilidad como malware, probablemente llevados a equívoco por alguna de esas primeras detecciones. El caso es que ya no se trataba de heurísticas paranoicas basadas en el packer, sino que los motores empezaron a crear una firma específica para detectar a AlertVir identificándolo como malware con nombre propio:

      AntiVir: PHISH/FraudTool.AlertVir.A
      AhnLab-V3: Win-AppCare/Alertvir.46788
      Authentium: W32/Alertvir.A
      Comodo: ApplicUnsaf.Win32.FraudTool.AlertVir
      eTrust-Vet: Win32/Tarliver.A
      F-Prot: W32/Alertvir.A
      F-Secure: FraudTool.Win32.AlertVir.a
      VBA32: FraudTool.AlertVir.a
      ViRobot: Adware.AlertVir.46788

      Por las denominaciones antivirus podemos apreciar que en estos casos se trata de una identificación unívoca (AlertVir), no por heurística, y por los prefijos la mayoría lo cataloga como herramienta para llevar a cabo algún tipo de fraude (FraudTool).

      ¿Cómo es posible que distintos análisis llevados a cabo por laboratorios antivirus independientes lleguen a una misma conclusión errónea?. La respuesta es simple, porque no se han llevado a cabo esos análisis independientes, sino que se han dejado arrastrar e influenciar unos por otros (eufemismos aparte, porque se copian entre ellos).

      Con el transcurso del tiempo la bola de nieve ha ido creciendo cual rumor, ya que cada uno de esos motores que identificaron erróneamente a la aplicación hacían más creíble que se trataba de un malware, y el resultado a día de hoy es que, nada más y nada menos, 31 motores antivirus identifican a AlertVir:

      a-squared: Win32.SuspectCrc!IK
      AntiVir: PHISH/FraudTool.AlertVir.A
      Antiy-AVL: FraudTool/Win32.AlertVir.gen
      Authentium: W32/Alertvir.A
      Avast: Win32:Trojan-gen
      AVG: Suspicion: unknown virus
      BitDefender: Trojan.Small.AVB
      CAT-QuickHeal: FraudTool.AlertVir.a (Not a Virus)
      Comodo: Heur.Packed.Unknown
      DrWeb: Trojan.Fakealert.380
      eSafe: Win32.Trojan
      eTrust-Vet: Win32/Tarliver.A
      F-Prot: W32/Alertvir.A
      F-Secure: Trojan.Small.AVB
      Fortinet: PossibleThreat
      GData: Trojan.Small.AVB
      Ikarus: Win32.SuspectCrc
      Jiangmin: TrojanDropper.Agent.aehe
      K7AntiVirus: not-a-virus:FraudTool.Win32.AlertVir
      Kaspersky: not-a-virus:FraudTool.Win32.AlertVir.a
      McAfee-GW-Edition: Phish.FraudTool.AlertVir.A
      nProtect: Trojan/W32.Small.46788
      PCTools: FraudTool.AlertVir!sd5
      Sophos: Sus/ComPack-C
      Sunbelt: Trojan.Win32.Packer.Upack0.3.9 (v)
      Symantec: Trojan Horse
      TheHacker: Aplicacion/AlertVir.a
      TrendMicro: TROJ_SMALL.FCY
      VBA32: FraudTool.AlertVir.a
      ViRobot: Adware.AlertVir.46788
      VirusBuster: Packed/Upack

      ¿Es lícito que los antivirus se copien? Desde mi punto de vista, dado el aluvión de malware que sufrimos hoy día, es necesaria la colaboración entre antivirus. Es materialmente imposible que un solo laboratorio tenga capacidad suficiente para analizar al detalle todos los especímenes que surgen a diario. El caso "AlertVir" es un efecto colateral no deseado, pero en general la colaboración es beneficiosa para todos los antivirus y por ende para la seguridad global.

      Para minimizar situaciones similares sí sería deseable establecer mejores controles antes de dar como buena la detección de otro motor, por muy reputado que nos parezca, y siempre evitando la copia de firmas indiscriminadas sin algún tipo de análisis independiente adicional (evitar el plagio sin más). Como con los rumores en el boca a boca, es necesario cierto sentido crítico antes de dar por buena la información que recibimos y hacernos eco de ella.

      Otra área de oportunidad interesante es la colaboración de la industria para la gestión de los falsos positivos. Los errores son inevitables en cualquier actividad, y el determinar si un software es malintencionado o legítimo es una tarea más complicada cada día, no existe un algoritmo perfecto. Si a eso le sumamos que, dada la cantidad de malware, la industria se ha visto obligada de pasar de los analistas humanos a la automatización a la hora de discernir el goodware del malware, el ratio de errores se ha incrementado considerablemente.

      Hasta la fecha los errores por falsos positivos se suelen gestionar de forma individual. En el propio caso "AlertVir" hubo al menos dos casas antivirus que rectificaron y eliminaron sus firmas de detección, si bien ese conocimiento no se propagó al resto de laboratorios. En la actualidad existen canales de colaboración para el intercambio de muestras de malware y amenazas en general, sería beneficioso que se establecieran mecanismos similares para corregir errores por ese "exceso de celo". La industria del desarrollo de software, cada vez más golpeada por los falsos positivos, lo agradecerá.

      Fuente: Enciclopedia Virus - Ontinet.com
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de Padawanjorge
      Registrado
      mar 2009
      Ubicación
      Lima, Peru
      Mensajes
      903

      Re: Rumorología antivirus 20-10-2009

      1º Creo q fui el 1º en leerlo completo y leerlo bien en parte.
      2º Esta noticia esta claro q va al hecho de como afecta la mentalidad de las personas en todo, claro hasta en lo q es software.
      Yo tengo la idea de q "Piensa mal y acertaras" lo uso en casos de noticias q involucran masas junto a temas de mi interes, como por ahora la noticia de licencias gratis para el lanzamiento de win7 por parte del Karspersky y Panda, todo parece ser una noticia buena y espectacular, pero siendo como pienso.... Realmente como será todo? por aca un licencia de panda minimo me cuesta 15$ y a eso sumandole el hecho de q si fuera ilimitado, panda estaria realmente regalando dinero al q se cruce con la noticia.
      Bueno...hay la gente q lo escucho y solo espera el dia de la descarga y, habrán otros q buscaran la verdad detras de esto?.
      Supongo q todo se vera al momento y hora q se deba.