Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 25 de julio de 2007

CONSEJOS BASICOS PARA DESCRIBIR UN VIRUS

El lunes 16 de julio fuimos unos de los primeros en anunciar la aparición de Gpcode.ai, la última variante del troyano ransomware.
Ahora la mayoría de las empresas de antivirus saben que este programa nocivo está rondando en la red y ofrecen al público gran variedad de artículos y descripciones detalladas de este troyano. Es un lindo detalle de su parte.

Sin embargo, leer la información que los distintos vendedores proveen es más divertido de lo normal. Me llamó la atención que las empresas de antivirus, al tratar de no revelar información que podría ser peligrosa, acabaron perjudicándose a ellos mismos y a los demás. La industria necesita una serie de reglas generales de publicación para unificar y definir la información que se publica.

Veamos algunos ejemplos:

La descripción de Symantec incluye información sobre el sitio que Gpcode usa para intercambiar información.

¿Por qué no muestran la URL completa? Por una buena razón: Las empresas de antivirus nunca proveen los enlaces completos a sitios que pueden contener programas maliciosos o información confidencial. Por esa razón los analistas solo proveen enlaces parciales y reemplazan la parte omitida con [REMOVED].

Ahora veamos la descripción de Trend Micro.

Los analistas de Trend decidieron no publicar la URL completa,. pero por desgracia ellos eliminaron una parte del enlace, y Symantec la otra.

Ambas empresas querían, con las mejores intenciones, resguardar la información de este sitio. Sin embargo, en conjunto, lograron publicar esta información.

Esto demuestra la necesidad de una regla general de publicación que abarque todas las empresas de antivirus.

En otros casos, se puede ver qué tipo de información es encubierta por unas compañías y revelada por otras.

Este es otro ejemplo de Trend, sacado de “read_me.txt”, un archivo que el troyano Gpcode deja en el ordenador de la víctima. En este caso, la empresa reemplazó el correo electrónico del autor y el código personal de la víctima con %s y %d.

Nosotros hicimos lo mismo cuando presentamos nuestra descripción de Gpcode.ai:

“Para comprar el programa, por favor contáctenos al correo: xxxxxxx@xxxxx.com e ingrese su código personal -xxxxxxxxx.”

En este caso está claro que Trend Micro y Kaspersky Lab pensaron lo mismo: Que no debían publicar esa información.

¿Y qué decidió hacer Panda Software?

Esta empresa no solo decidió publicar esta información, ¡también la resaltó!

A pesar de que Symantec decidió sustituir esta información por [MAIL ADDRESS] y [PERSONAL CODE], la publicó en otra parte del mismo informe y acabó proveyendo la dirección de correo de cuatro víctimas…

En otras palabras, la situación es desastrosa. El colmo fue cuando, como se muestra arriba, los analistas de Symantec decidieron que ocultar el enlace al artículo de Wikipedia sobre RSA.

Sin comentarios.

Fuente: http://www.viruslist.com

Publicado por Jorge Mieres

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)