jueves, octubre 09, 2008

Medidas de protección contra troyanos bancarios (III de VI)

***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************
Antivirus

Vivir peligrosamente porque se tiene un antivirus es igual suicida que vivir sin antivirus por el mero hecho de que los antivirus no puedan detectar todo. Esto es algo que las compañías de antivirus saben. No se puede detectar todo el malware ya que en todo caso se podría detectar el 100 % del malware conocido y esto siempre va a ser mucho menor que el malware existente. Hay que tener en cuenta que, aunque se utilicen “honey pots” [1] para intentar recoger la máxima cantidad de malware, hoy en día es tanta la cantidad que se hace difícil poder analizarlo todo, y aun así no hay garantía de que se haya obtenido el 100 ¨% del malware existente.

Es fácil coger cualquier malware y subirlo a Virus Total y hacer algunas pruebas que demuestren esta afirmación. Virus Total es un servicio gratuito de análisis de malware que fue pionero en el mundo. Fue creado por Hispasec Sistemas, una empresa con base en Málaga y en Virus Total, el objetivo es poder ofrecer un informe de análisis de malware formado en la actualidad por los resultados de más de 30 motores de antivirus. Es fácil subir distintos troyanos bancarios y ver como ningún motor es capaz de detectar todos.

Imagen: Troyano Bancario sólo reconocido por 9 motores cuando llevaba un tiempo funcionando

Imagen: Troyano Bancario casi un año después es detectado por 26 de 32 motores

Esta información no debe asustarnos, sino simplemente tener en cuenta que el uso de antivirus no es una garantía de seguridad total y que la ausencia de él es un riesgo aún mayor para la seguridad del equipo.

Además de tener antivirus, este debe estar funcionando en tiempo real, es decir, que escanee todos los archivos antes de que puedan ser ejecutados. Un antivirus parado que va a ser utilizado sólo para escaneos periódicos pierde gran parte de su efectividad.

Mutaciones

Uno de los principales problemas a la hora de detectar los troyanos bancarios es la enorme cantidad de mutaciones a las que son sometidos para evitar ser detectados. Así, un mismo troyano bancario, con el único objetivo de robar a un determinado conjunto de bancos, es reescrito n veces cambiando los códigos, las estructuras, las compilaciones, las compresiones utilizadas en los archivos ejecutables, etc… con el fin de que la firma generada por la compañía de antivirus no lo detecte. De hecho, se venden por internet troyanos 100 % indetectables a la carta.

Imagen: Mismo troyano con ligera mutación (cambio de algunas cadenas ASCII de mayúsculas a minúsculas). Pasa a ser detectado por 21 de 31 motores.

Si vas a ejecutar un archivo en tu ordenador que procede de “algún sitio no confesable”, quiero decir, que te ha sido descargado de alguna web, o de alguna red P2P o que viene junto con alguna otra cosa, es una de las fuentes más peligrosas para coger una infección. Una buena idea puede ser enviar a analizar el archivo a Virus Total y que te de la opinión de los 30 motores de antivirus antes de “jugártela”. Para eso puedes usar el Virus Total Uploader. Esta sencilla utilidad pone en el botón derecho del menú contextual del archivo una opción con la que con un simple clic se envía el archivo a Virus Total.


Imagen: Enviar a Virus Total con VTuploader


Imagen: Archivo siendo enviado a Virus Total

Antivirus estratégicos

No solo el antivirus de la máquina debe existir si estamos trabajando en una red corporativa. Una estrategia multinivel de antivirus ayudará a mitigar el impacto de los troyanos bancarios. Para ello hay que poner antivirus en el servidor de correo para evitar los troyanos que se difunden mediante cadenas de “cosas divertidas” o los que los usuarios se descargan “inocentemente” buscando “otras cosas” de servidores FTP o redes P2P por lo que también necesitaríamos configurar un Antivirus a nivel de red integrado en el firewall y que escanee todos los ficheros transmitidos por diversos protocolos. Una de las recomendaciones para subir el ratio de detección es utilizar diferentes motores de antivirus para subir el ratio de detección. Esta es una de las principales características por las que muchas empresas confían como antivirus de correo en Microsoft Forefront Security Server que integra hasta 9 motores de antivirus distintos para escanear el correo en los servidores.
***************************************************************************************
Artículo publicado en PCWorld Profesional Septiembre 2008
Medidas de protección contra troyanos bancarios (I de VI)
Medidas de protección contra troyanos bancarios (II de VI)
Medidas de protección contra troyanos bancarios (III de VI)
Medidas de protección contra troyanos bancarios (IV de VI)
Medidas de protección contra troyanos bancarios (V de VI)
Medidas de protección contra troyanos bancarios (VI de VI)
***************************************************************************************

2 comentarios:

  1. Muy bueno chema,

    me esta gustando esto de los troyanos ;)( la defensa claro)

    sigue así ;)

    salu2

    ResponderEliminar
  2. Como saber si el vtsetup.exe no es en si un troyano ?

    ResponderEliminar