Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

La historia tiene miga. Kaspersky ha demostrado que sus competidores no analizan los malwares, tan sólo se limitan a generar una firma y añadirla a sus bases de datos de archivos perjudiciales.

Para ello, han utilizado el servicio VirusTotal, una web de Hispasec que permite analizar archivos sospechosos, utilizando los motores de varios antivirus. Para ello, han enviado 20 archivos falsos, no infectados, a VirusTotal… y han configurado su motor para que en diez de ellos, Kaspersky dé positivo.

De esa forma, en los resultados de VirusTotal, Kaspersky era el único que detectaba el (falso) virus. Y aquí viene la jugada maestra: como VirusTotal envía estos archivos sospechosos a los motores que no los han detectado, para que tengan constancia de nuevas amenazas, varios de los competidores de Kaspersky han empezado a dar positivos con esos falsos virus. Es decir, no se han molestado en analizar la amenaza: si Kaspersky afirma que es un virus, pues ellos también.

Algunos antivirus empezaron a dar (falsos) positivos en menos de diez días. Lo peor: que entre las que han picado hay empresas tan importantes como McAfee, Symantec, AVG, F-Secure o Fortinet, junto con otras menos populares como A-Squared, AntiVir, Antiy-AVL, Comodo, Ikarus, TheHacker, Sunbelt o VBA32.

Esto no es nada nuevo, era un secreto a voces. La jugada de Kaspersky me parece algo sucia, pero la entiendo perfectamente. Si uno dedica muchos esfuerzos a analizar cada amenaza, mientras la competencia se limita a realizar análisis someros o a copiar sus firmas, exponer las tretas de otros puede estar justificado. El problema es cuando implicas al servicio de un tercero en la maniobra, en este caso VirusTotal.

Afortunadamente, creo que al menos la imagen de VirusTotal no se ha resentido en todo esto. Ha quedado claro que ha cumplido bien su labor, la de transmitir al resto de compañías unos posibles archivos sospechosos, puesto que no son ellos los que realizan el análisis. Pero si yo estuviera al cargo de VirusTotal, al menos tendría unas palabritas con Kaspersky.

En ESET, una de las compañías que no han caído en la trampa, hacen un análisis interesante. Teniendo en cuenta cómo han generado los falsos virus, es posible que los (falsos) positivos de otros se hayan debido al uso de técnicas heurísticas, y que la detección se deba al compilador usado y no a una mera copia de las firmas. Y afirma que alguna empresas sólo dan como “sospechoso” y en sus versiones online. Esto, aunque exculpa en parte a las afectadas, expone un problema diferente: las técnicas utilizadas deben ser revisadas.

El objetivo de Kaspersky, dicen desde ESET, es el de probar que el problema es el análisis estático de los archivos infectados. Pero en ESET opinan, acertadamente, que el problema es de la no validación. Un análisis dinámico puede que sea más eficaz, pero si no se comprueba que la amenaza es real, seguirán produciéndose los falsos positivos. Pero claro, cualquiera analiza los millares de archivos sospechosos que aparecen cada día…

Fuente : Genbeta



Un juego de trampas en la industria antivirus

En los últimos días la industria antivirus se ha visto en un debate respecto al proceso de creación de firmas.

Antes de contar el incidente me parece oportuno repasar con los lectores qué es Virus Total: se trata de un servicio web que ofrece a los usuarios la posibilidad de subir un archivo y verificar si el mismo es detectado por una serie de programas antivirus (a la fecha, 39). Hasta aquí el uso para el usuario. Además, lo que muchos lectores desconocerán, es que Virus Total colabora con las empresas antivirus enviando los archivos nuevos recibidos a los laboratorios, para así brindar mayor seguridad a los usuarios.

Explicado el funcionamiento de Virus Total, paso a contarles el incidente ocurrido en la semana. Como indica el portal pcmag.com, una reconocida empresa antivirus (no fuimos nosotros) decidió probar a la industria, creando 20 archivos inofensivos y creando firmas para 10 de ellos. Luego, subieron todos los archivos a Virus Total.

A pesar de que los archivos eran inofensivos, diez días más tarde 14 empresas antivirus detectaban como malicioso alguno de los archivos benignos (aquí tampoco fuimos nosotros, ya que ESET no detectó ninguno de estos archivos).

Independientemente de las dudas o cuestionamientos a la empresa que realizó el experimento (o trampa, según cómo prefieran llamarlo), la realidad es que este incidente pone en duda cuáles son los métodos que están utilizando las empresas antivirus para identificar amenazas. Claramente el hecho de que un archivo “sea detectado por la empresa X” no debería ser motivo suficiente para detectar el mismo. De hecho, si así fuera un falso positivo podría propagarse rápidamente por todas las compañías antivirus.

Vale destacar que todas las compañías antivirus necesitan de procesos de detección de malware automatizados. La cantidad de muestras que se reciben en el laboratorio diariamente es imposible de ser analizada manualmente, para dar respuestas en tiempos efectivos para los usuarios. Ante un proceso automatizado, la probabilidad de errores siempre estará presente. Aunque eso no exime de culpa por los errores a estas 14 empresas que se vieron afectadas, este tipo de incidente ocurre con mayor frecuencia que la que aparece en los medios, incluso cuando no hay una empresa creando una trampa de por medio.

Como bien indica el equipo de investigación de ESET en el blog en inglés, “lo triste es que problemas genuinos pasen a segundo plano para dar lugar a la historia de ‘quién se copió de quién’“. Aunque la información original está simplificada, con la idea de mostrar “quién se equivoca”, la realidad es que hay otros factores a considerar. Ninguna empresa ha dejado de sufrir un falso positivo, y este tipo de noticia suelen desviar la atención de los problemas que realmente la industria debe enfrentar, como la estandarización de metodologías de evaluación dinámicas, que se está trabajando desde AMTSO.

En resumen, la estandarización y concientización respecto a las metodologías dinámicas de evaluación de antivirus debe ser un problema a resolver por la comunidad antivirus; y pruebas de este tipo, aunque en el corto plazo revelan errores en algunos fabricantes, no colaboran en soluciones a largo plazo que beneficien a los usuarios.

Fuente: ESET LatinoAmerica Laboratorio

No se por qué será, pero cada vez que mando algun archivo sospechoso a Virus Total el Karpesky nunca detecta nada

Me parecio muy interesante el tema , se podria decir que fue "juego sucio" pero yo lo llamaría estrategia, además de que es cierto que no se vale que los expertos de Kapersky trabajen noche y dia para que los demás se repartan el credito y esten en los mejores lugares en el uso de sus antivirus.

Salu2

ese no es el tema.ya que ellos lo enviaron a virus total y hay se envian todos los archivos sospechoso a las empresas que no lo detectaron como virus..en otras palabras kasperky..tambein recibe muestras con este sistema--

el punto es que no verificaron la supuesta amenaza....y eso poroca perjuicio ya que virus total tiene antivirus conocido como maquina de falsos positivos y podra pasar que uno de estos antivirus lo obtenga el mismo falso positivo...

pero que otras empresas analizaron o no colocaron el supsuesto virus..???
.....esto de este archivo puedo sosportarlo en los antivirus de menor calidad ya que dicen kasperky tiene mas capacidades que nosotros..

pero sitemac..mcafre...asesuare y mas???..los grandes como pudieron..avast tambien estaba en esta lista??

Ok, gracias por la informacion, aqui se vera que no todos los antivirus son por sus propias firmas sin buscar informacion.

Saludos.

Muy buena información.

Gracias como siemrpe compañero

Saludos.

en mi opinion personal e caido en la conclucion de que las unicas empresas antimalware las cuales sii dedican el tiempo y el trabajo nesesario para analizar nuevas muestras son solo 3 , Kaspersky, avira y malwarebytes, todos los otros son pecimos en este aspecto, lo digo y lo repito Son Pezimos

Esto a mi solo me demuestra y me deja muy clara una cosa: Yo, no soy nada partidario de los programas piratas y lo que esto me evidencia claramente, es que los que si lo son, sin duda alguna son más listos que yo. Si Kaspersky ha jugado sucio o limpio, sinceramente me importa un pimiento, lo que no me importa un pimiento es que a los fabricantes de antivirus no se les caiga la cara de la vergüenza. Feliz día para todos

Qué interesante... Kaspersky ha tendido una trampa y ha atrapado a los farsantes

jaja, qué buena info!!.

Creo que sacaron la idea luego de ver el papelón de Iobit y Malwarebytes.