BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Malware en circulación solo detectado por un antivirus en VirusTotal

1
PezDeRedes
2

Tras leer en Genbeta lo del timo del familiar fallecido, me he bajado en una MV de Kali el malware y lo he subido a VirusTotal. El resultado es desolador:

image

Solo ESET (que es la empresa que ha detectado la campaña) lo ha detectado. Informe completo

Y yo pregunto: ¿hay explicación o verdaderamente un PC estaría desprotegido? (No entro en el debate de que hay que ser muy poco cuidadoso para picar).

EDIT: Quizá sea tarde, pero voy a aclarar un poco el debate, porque se nos desvía por todas partes. No buscaba un "el mejor antivirus eres tú" (eso ya lo sé y yo mismo lo he dicho 300 veces en este foro). Lo único que quería saber es si en VirusTotal sólo se usan las bases de datos (en ese caso esto es normal y no necesariamente implicaría que los usuarios están desprotegidos) o se usan también las heurísticas, los análisis de comportamiento, los HIPS…

apocalypse
1

Es el antivirus que utilizo desde 2007, para mi el mejor y el que mejor ha envejecido actualizado su interfaz a los tiempos, modificando sólo su aspecto pero manteniendo su diseño.

¿Malware demasiado nuevo? SI yo ahora mismo creo mi propio spyware, o modifico uno de tal manera que quede irreconocible, ninguna base de datos sabrá de su existencia hasta que se extienda y reporten.

🗨️ 3
PezDeRedes
4

ninguna base de datos sabrá de su existencia hasta que se extienda y reporten.

Por eso las bases de datos quedaron obsoletas, porque siempre llegan tarde. De ahí salieron los HIPS, las heurísticas, la detección en la nube… pero no sé si se aplican en VirusTotal. Porque, si se aplican, esto es un desastre.

Una de las cosas que me gustaría hacer es probar a ejecutar el malware con algunos antivirus, pero eso implicaría crear un entorno aislado en máquinas virtuales y una serie de historias para las que no tengo tiempo. Me gustaría bastante probar con:

  • ESET → Fue mi primer antivirus (NOD32) y siempre le he tenido bastante respeto. Además, es muy ligero en recursos.
  • Windows Defender → Por supuesto, es el incluido en Windows.
  • Panda Free → Sus características siempre me han resultado curiosas desde que se llamaba Cloud Antivirus, porque parece que no detecta las cosas pero luego en cuanto ejecutas arrasaba con muchas. El monitor de procesos me encantaría probarlo a fondo, a ver cómo de efectivo es de verdad parando aquello que al módulo de antivirus se le pueda pasar.
  • Avast Free → El antaño "antivirus del pueblo".
🗨️ 2
EmuAGR

Y que el virus te haga un Spectre o un Meltdown y te infecte el host. Ojo con eso.

🗨️ 1
PezDeRedes

También habría que tenerlo en cuenta, el entorno tendría que ser virtualizado, con Linux como host y en un dispositivo completamente aislado de la red y sin nada de valor en él. Preparar eso, evidentemente, no sería cosa de 10 minutos.

kafeolé

A todas horas salen virus de ese tipo, que se instalan al dale clic, muy dificil detectar todas tan rápido y parchearlos. Eset dectara muchos, pero seguro que no detecta el 100x100 de todos los virus nuevos que salen.

["lhacc"]

Yo esperaba una explicación más técnica en el blog de eset, parece blogspam más que otra cosa.

Nixie

Yo no creo (mucho) en antivirus, los tengo en la misma categoría que los curanderos o adivinos. El hecho que sean los primeros y únicos en detectar algo me hace sospechar que detrás esa amenaza estan ellos mismos.

🗨️ 15
PezDeRedes

Son los primeros en detectar algo porque su trabajo consiste, precisamente, en eso, en detectar el malware lo antes posible.

fcuevas28
2

No creo que se trate de creencias en cuanto al uso de antivirus o no, te pueden gustar mas o menos, pero unos funcionan mejor que otros. Yo si soy partidario de usar un antivirus y un antiespias, amen de otras normas como SO actualizado, programas bajados desde link oficiales, etc.

🗨️ 13
Nixie

El mejor antivirus es lo segundo que indicas, tener controlado de donde viene lo que se ejecuta y hacia donde va lo que se escribe.

Tratar de frenzar las amenazas detectándolas, bueno, no es una ciencia exacta, no te da ninguna garantía. Yo usé antivirus durante muchos años y nunca me frenó nada de sorpresa, al contrario me frenaba cosas legítimas, programas de flasheo, actualizadores de dispositivos, servidores web o ftp, o me borraba algún fichero necesario dándome quebraderos de cabeza. Me quité todo antivirus cuando todos se pusieron de acuerdo en aumentar 500% los requierimientos, y pasaron de notarse poco su presencia a ralentizar el PC de mala manera. Ahora para que no digáis que soy muy radical con mis principios, dejo el Windows Defender de Windows 10 que aunque le veo consumiendo CPU frecuentemente no me parece excesivamente intrusivo.

rbetancor

El mejor antivirus, es el sentido común, pero el problema es que ese antivirus parece no ser compatible con todos los hardwares que pululan por la superficie terrestre.

🗨️ 11
PezDeRedes

Caer en este timpo, por ejemplo, es de andar con cero cuidado. Pero no siempre es así, antivirus hay que tener y, ahora que Windows incluye uno, no hay excusa.

🗨️ 10
["lhacc"]
🗨️ 9
["lhacc"]
🗨️ 7
["lhacc"]
🗨️ 5
["lhacc"]
🗨️ 3
["lhacc"]
🗨️ 1
pastor de becerros

Vamos a ver. Para detectar este malware no necesitas un antivirus. Es que tal como lo describen, alguien un poco precavido lo que hace es enviar el correo directamente a la papelera.

🗨️ 1
PezDeRedes

Para detectar este malware no necesitas un antivirus

Ya, ya. Lo dije en el mensaje de apertura. Pero imagina que la web de tu software de uso habitual se ve comprometida y misoftwaresetup.exe ese este malware. Sería muy peligroso.

vukits

para esos menesteres, es interesante ejecutar el malware en un entorno tipo Cuckoo Sandbox y ver qué hace

🗨️ 1
PezDeRedes

Tiempo es lo que necesitaría para eso :P

P B Fierro

Los antivirus no solo tienen una base de datos con definiciones, sino que además llevan un sistema de análisis del comportamiento…

Hace tiempo hice un pequeño programa con visual studio para entretenerme, haciendo que fuera imposible de cerrar ni siquiera matandolo con taskkill o el administrador de tareas, y que se autoiniciaba creando una clave en el registro…

A la segunda vez que lo ejecute Windows defender lo detecto como posible malware…

P B Fierro

Algo que se puede hacer es sugerir a nuestro banco que la introducción de las clave para la banca electrónica se haga mediante un teclado virtual con el fin de que no sea todo tan sencillo como detectar la pulsación de las teclas, e incluso si la posición de los caracteres varia aleatoriamente ni siquiera con la ubicación de los clicks.

banco
🗨️ 5
["lhacc"]
2

Los teclados virtuales no ofrecen ninguna seguridad, por eso la mayoría de entidades ya no los usan.

🗨️ 4
P B Fierro

Al menos les obliga a que además de capturar las teclas tengan que hacer captura de pantalla con cada click si quieren robar la clave con un troyano…

🗨️ 1
["lhacc"]

¿Y? Si pueden hacer una captura pueden hacer mil. Aparte de que pueden simplemente "engancharse" a Chrome y detectar qué botón pulsas, sin hacer captura ni nada.

Black Hole

¿Y qué usan entonces? La mía es lo que ofrece como login, aparte de aceptar el teclado real susceptible a keylogs.
No me importa demasiado porque siempre arranco un LiveCD de Linux para entrar al banco, pero ya es por curiosidad…

🗨️ 1
["lhacc"]

No usan nada, pones la clave con el teclado y punto.

Yo tampoco entro a la banca online desde el ordenador, prefiero entrar desde el móvil, me fío más.

PezDeRedes

Ya lo detecta Rising también:

image

Poco a poco. Al final, cuando todos se cosquen, ya dará igual porque el malware habrá superado su pico de infecciones.

Castillos

El mejor antivirus es uno mismo, y si te envían un archivo adjunto con extensión ".exe" el sentido común te dice que es peligroso abrirlo, sin importar quien sea su remitente.

🗨️ 3
PezDeRedes

Ya… que el debate no va de eso, ya lo dije:

(No entro en el debate de que hay que ser muy poco cuidadoso para picar)

El debate va de si alguien sabía cómo trabajan los motores en VirusTotal y si las heurísticas y similares están o solo se usan las bases de datos tradicionales. Pero, desde luego, se ha desviado.

🗨️ 2
Castillos

Es bien conocido que los Malware utilizan técnicas para evadir la detección por parte de los antivirus: ofuscación de código, criptografía, esteganografía, etc… por eso y contestando a tu pregunta, es que si, los Malware se pueden saltar las detecciones por heurística. No te puedes fiar al 100% de un archivo ".exe" por el hecho de que tu antivirus diga que esté "limpio". Parafraseando a la película Top Gun: "It's not the plane, it's the pilot", por lo que el factor humano sigue siendo el eslabón más débil de la cadena, y seguirá siendo fundamental la concienciación del usuario.

e-chus

Fuera de Fanboyerismos varios, es evidente que utilizar sistemas basados en Gnu/Linux, UNIX o BSD es relativamente más seguro debido a que el 99% de estos problemas de seguridad están dirigidos a sistemas Windows (dejo fuera sistemas de dispositivos móviles que son otro mundo)

Se que hay programas maliciosos para estos sistemas tipo Unix pero evidentemente son menos y debido a la arquitectura tienen menos impacto.

Personalmente yo no entro ni entraría jamás a webs de bancos, compras "on-line", etc… desde sistemas tipo Windows por lo que pueda pasar.

Todos sabemos que la seguridad completa no existe pero minimizar los riesgos si es posible con este tipo de sistemas.

🗨️ 1
PezDeRedes

Te doy completamente la razón.

Personalmente yo no entro ni entraría jamás a webs de bancos, compras "on-line", etc… desde sistemas tipo Windows por lo que pueda pasar.

Si tienes el sistema bien cuidado, tienes un antimalware actualizado, no andas cayendo en estos timos para críos y mantienes el SO y el software actualizado, es bastante complicado que te pase nada. Pero siendo puristas, un Tails en un USB sería lo más seguro para operaciones críticas.

1