Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

jueves, 26 de noviembre de 2009

Servicio ruso en línea para comprobar la detección de malware

Una de las cosas que preocupan a los creadores/distribuidores de malware es saber si los antivirus son capaces de detectar sus binarios y por tanto arruinar sus planes económicos.

Una posible forma de comprobar la capacidad de detección de dichos antivirus es subir el binario a sitios como VirusTotal, que a fecha de hoy, utiliza 41 motores antivirus diferentes. El gran problema es que estos sitios suelen trabajar en colaboración con las compañías antivirus, retroalimentándolas con las muestras. Por eso, aunque en el momento del análisis es posible que sólo unos pocos de los antivirus (o ninguno en el peor de los casos) sean capaces de identificar las cualidades malignas del binario en cuestión, muy probablemente el ratio de detección subirá a toda velocidad en un breve espacio de tiempo.

Esto ha abierto un nicho de negocio, y en mayo de este año aparecieron posts en diversos foros en los que se anunciaba un nuevo servicio (en aquel momento gratuito) para analizar el grado de detección sin alertar a las casas antivirus. Nacía VirTest.



Actualmente esta página, de origen ruso (aunque posee su versión en inglés) ofrece 26 motores antivirus diferentes, con posibilidad de elegir cuáles quieres que sean utilizados para chequear la muestra. A continuación se puede ver un listado de los motores antivirus y sus respectivas versiones. En la página web especifican con detalle cada cuánto es actualizado cada uno de los antivirus, dependiendo de la política que siga cada compañía para publicar nuevas firmas.

El análisis del binario mostrará una tabla en la que se ve qué antivirus reconoce el código malicioso y cual no. Pulsando el enlace con el nombre del fichero se abrirá un recuadro en el que podemos ver información sobre el tipo de fichero y su tamaño, los distintos hashes del mismo, información sobre su estructura (si es un exe), entre otros.

Si además se pulsa sobre el enlace "See file", se mostrará un fragmento del propio fichero de 1000 bytes de tamaño.

Sin embargo, una característica añadida a este servicio que marca un diferenciador con respecto a servicios similares, es la posibilidad de analizar un crimeware del tipo Exploit Pack, dando la url en la que se encuentra alojado.
Según reza la FAQ del servicio, realmente no se chequea el script, sino el código resultante que será recibido por los distintos tipos de navegadores. Las pruebas se realizan con Firefox, IE6, IE7, IE8, Opera y Chrome.

Haciendo clic sobre alguno de los enlaces podremos ver el recuadro de antes ampliando la información sobre el análisis.

Para poder realizar uno de estos análisis es necesario crear una cuenta y disponer de efectivo en la misma, ya que se ha convertido en un servicio de pago con los siguientes precios:

El pago de las cuotas se realiza exclusivamente a través de WebMoney. Existe al menos otro servicio similar que actualmente es gratuito y se encuentra en fase Beta. Suponemos que en breve pasará a ser de pago también.

Resumiendo, una prueba más de que no sólo la explotación del malware genera beneficios, sino que también se mueve dinero en servicios paralelos a esta industria. Y en algunos casos, como el que nos ocupa, habría que ver si se puede considerar este servicio como un acto delictivo o no.

Información relacionada
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy
Panorama actual del negocio originado por crimewar...
Los precios del crimeware ruso. Parte 2

Ernesto Martín
Malware Research
Pistus Malware Intelligence

0 comentarios:

Publicar un comentario en la entrada