Com és el malware actual?

Els virus encara han oblidat un punt molt curiós i simple: Si tu intentes borrar un arxiu, obviament el subsistema de notificacions de canvis (alguna espècie de inotify de Windows) farà que el virus ho vegi i torni a generar el codi. Denegues accés a l’objecte de codi maliciós, reinicies i ja no es carrega. No s’ha enterat i ja el pots borrar. No cal desintoxicar el sistema online abans, de fet es bastant complicat. Es sols un mal disseny, com l’error de l’accent-doble de la Botnet Zeus. Tant sols amb que vigilés les notificacions de seguretat que genera el NTFS, hauriem d’usar sempre altres tècniques per desinfectar. I no val un antivirus.

Tot això bé a que les tècniques dels virus han canviat amb el temps. Tècniques com el metamorfisme són habituals, i impedeixen que un antivirus sigui capaç de la seva detecció abans de la seva inclusió a l’index de signatures dels antivirus. També les intencions han canviat: Molts sysadmins de Windows (sobretot els useradmin), creuen que els virus creen inestabilitat, hardlocks i borren fitxers… no. La idea és la màquina zombie, la monitorització de dades transparentment, per obtenir benefici. Fins i tot els hackers més negres viuen de la economia capitalista. Quan un virus penja el sistema, crea problemes a l’usuari, o impossibilita el funcionament correcte del sistema es que té un error de programació. Així que quan algú diu que li va malament l’equip i no usa antivirus, o es troben virus al sistema, pensa, quants equips funcionen perfectament al món i ningú s’ha adonat que es tracta d’una màquina infectada? De fet conec un cas de primer mà, on tenien servidors zombies.

La indústria del malware mou més diners que la indústria de les armes, l’autèntica mafia està posada al dia, i la majoria dels sysadmins no, i les botnets són immenses.

Les tècniques dels sistemes Windows també han canviat i han millorat (NX, DEP, MIC, Isolation, UAC). Fins i tot es podria dir que és un kernel multi-usuari a nivell de seguretat… perdó, no exagerem! mai podrà assolir les bases d’un Unix :) Els antivirus han millorat, però no poden fer front a una onada tant gran de malware diari. És impossible que, amb la descàrrega d’un fitxer índex de signatures de virus i uns quants algoritmes puguis detectar malware que ha estat ofuscat, encriptat i fa metamórfosis.
Ara Google ha presentat CAMP, Content-Agnostic Malware Protection. Crec que es tracta d’usar bases de dades com VirusTotal per la detecció de malware. Aquí la detecció no es fa offline. Fa un hash i algunes comprovacions per saber que allò no ha estat identificat. La BBDD s’actualitza al minut, i l’accés a l’anàlisi que pot tenir Google és superior a tot el malware (espero). A més s’hi afegueix que si tu has baixat un codi que ningú més ha baixat és molt molt suspitós, és simple la idea, però eficaç, si tenim en compte que la majoria d’objectes de codi màquina és descarregable per Google, sobretot si és malware, que presisament no són descàrregues privades :)

About these ads

About this entry