• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Heurísticas Primitivas (Antivirus)

    27 de enero de 2007 Heurísticas Primitivas (Antivirus) Por Bernardo Quintero (Hispasec) La proliferación y diversificación de malware es tan brutal que los motores antivirus son cada día más agresivos a la hora de intentar ...

          
    1. #1
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Mensaje Heurísticas Primitivas (Antivirus)

      27 de enero de 2007

      Heurísticas Primitivas (Antivirus)

      Por Bernardo Quintero (Hispasec)

      La proliferación y diversificación de malware es tan brutal que los motores antivirus son cada día más agresivos a la hora de intentar identificar las nuevas variantes. La heurística es uno de los métodos que les permite detectar nuevas formas de malware sin necesidad de ser reactivos y tener que actualizar sus firmas.

      De un tiempo a esta parte vengo observando que hay un gran número de falsos positivos provocados por las heurísticas, es decir, identifican como malware archivos que en realidad no lo son. Siguiendo con mis teorías absurdas, llegué a la conclusión de que algunos motores habían optado por simplificar en extremo la heurística.

      Lo primero que se me pasó por la cabeza es que podrían estar fijándose en si el ejecutable estaba empaquetado/comprimido. La primera prueba, muy simple, consistió en utilizar unas cuantas herramientas. Algunas muy populares y con solera (UPX con licencia GNU y ASPack producto comercial/privativo), junto con alguna otra menos conocida (Yoda, otra herramienta libre más reciente).

      Para evitar que la muestra original pudiera tener algún componente adicional que hiciera saltar las heurísticas, elegí un ejecutable muy simple, muy extendido, y de una fuente confiable: el Bloc de notas de Windows, notepad.exe.


      Los resultados:

      notepad.exe comprimido con UPX



      notepad.exe comprimido con ASPack



      notepad.exe comprimido con Yoda


      Lecturas rápidas:

      Como ocurre con las firmas que varios motores te indiquen por heurística que un archivo es malware no te asegura completamente que lo sea en realidad.

      Si eres un desarrollador legítimo, no se te ocurra comprimir tus aplicaciones. Es la manera más directa de que tus desarrollos puedan ser identificados como malware por algunos motores antivirus.

      Las heurísticas primitivas pueden ser relativamente útiles en el perímetro (servidor de correo, gateway, etc), porque el efecto de los falsos positivos no tiene tanto impacto y no se percibe de igual forma por el usuario (a lo sumo, no podrás descargar alguna aplicación o no te llegará un ejecutable adjunto en el correo).

      No se pueden comparar la efectividad de soluciones orientadas al perímetro con antivirus para hosts (para instalarse en local), ya que se está premiando de forma artificial a los productos más "paranoicos" y "primitivos" con un alto porcentaje de falsos positivos y se perjudica a aquellos que realmente tienen una heurística más avanzada y de calidad. Cada uno tiene su utilidad y función (utilizar heurística primitiva puede ser deseable en determinados entornos), pero no se deben mezclar resultados si realmente se está haciendo un estudio mínimamente serio.

      Tengo pendiente escribir algo más formal/oficial sobre este último punto, porque he visto varias "comparativas" (ajenas a nosotros) utilizando VirusTotal a las que les falta una lectura en ese sentido y que pueden confundir más que dar pistas sobre la calidad de los productos. En VirusTotal hay todo tipo de motores orientados a diferentes entornos, incluso algunos fabricantes que tienen varios niveles de heurísticas y nos piden que activemos una en particular.

      _______________

      Fuente: Enciclopedia-Virus.com
      Enciclopedia Virus - Ontinet.com
      Linux User Registered #451400

    2. #2
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Heurísticas Primitivas (Antivirus)

      Hola a todos

      Bueno luego de este Testeo de Anti-Virus estaba buscando una manera para hacer que los antivirus tengan falsos positivos. Justamente estaba probando algo similar (solo que con otros archivos y compresores) y con algunas ediciones hexagecimales, pero me ganaron de mano.

      Acá se muestran pocos antivirus con falsos positivos (de verdad no me sorpenden). Como bien dice y se puede comprobar en las pruebas que yo hice, las empresas antivirus simplifican su heurística al máximo (o no son capaces de desarrollarlas más) y habla sobre ciertas comparativas en las cuales se mezclan antivirus con heurística primitiva y de calidad (espero que no halla visto la mía ) pero yo opino que eso más depende de a a quién está destinada las pruebas, si es hacia usuarios domésticos, en mo opinión lo más importante es la calidad del antivirus, en cambio si la destinamos a empresas o administradores de grandes redes locales, pues en ese caso si podemos discutirlo, según a que tipo de red está destinada.

      Sobre de que cada antivirus de VirusTotal activa determinado nivel de heurística, pues eso explica muchas cosas , ya que muchos resultados de los reportes no coincidían con lo detectaba el antivirus en verdad.

      Salu2
      Linux User Registered #451400

    3. #3
      Usuario Avatar de SpRiTeR
      Registrado
      jun 2005
      Ubicación
      Venezuela
      Mensajes
      851

      Re: Heurísticas Primitivas (Antivirus)

      Interesante, eso tambien lo habia probado con algunos 'Packers'.

      Me sorprendi con un 'Packer' cuando uni una foto con un video, al mandarlo a VirusTotal, me dieron resultados similares a esos.


      Pero es muy raro, a pesar que es una 'Heuristica primitiva', probe con un Malware (hecho por mi), en realidad el Malware no hacia nada, El malware hacia una copia en la carpeta del Sistema y lo ejecutaba, enseguida mi Antivirus (Kaspersky) salto y me lo borro.

      Probe con VirusTotal, como no esta en ejecucion, muchos no lo detectan salvo el NOD32.Luego, este 'malware' lo comprimi con el Yoda (SP para borrar algunas cabeceras para pasar por desapercibido) y lo mande a VirusTotal y lo curioso es que ningun Antivirus lo detecto.

      Esto me dejo impactado y decidi hacer nuevamente la prueba pero en ejecucion, probe con Kaspersky y no lo detecto. Luego probe con NOD32 en otra PC y tampoco lo detecto.

      Me di cuenta que no estamos totalmente protegidos, y no hay que confiarze de nuestro antivirus. Por mucho que sea, tampoco existira Antivirus con 'Presentimiento humano', asi que somos nosotros los que debemos hacer el trabajo y tener un poco mas de precaucion.

    4. #4
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Heurísticas Primitivas (Antivirus)

      Bueno yo cuando hice pruebas hexagecimales, noté que borrandole las cabeceras a ciertos virus pueden convertirse en indetectables. De igual manera, es poco probables que se usen estas técnicas contra usuarios domésticos, generalmente este tipo de técnicas son más objetivas, como hacia ciertas empresas, bancos, etc

      De igual manera, sigo pensando en que los antivirus para usuarios domésticos debería ser de mejor calidad, hablando en general.

      Salu2
      Linux User Registered #451400