Mario Chilo IT Security Professional

Profesional en Ingeniería de Sistemas. Especialista en Tecnologías de la Información, Seguridad Informática y Data Recovery. Analista de virus informáticos y código malicioso. Experto en Tecnicas de Detección y Eliminación de Software Malicioso.

Esta semana una pagina web local fue infectada por un troyano, la cual potencialmente podria haber infectado a las PCs. Cabe señalar que este malware fue desarrollado aqui en Perú. El hecho fue reportado por varios usuarios el lunes por la mañana, se desconoce desde cuando estuvo infectada la pagina Web. Pero según el portal de http://www.virustotal.com/ la primera muestra de este Malware que recibieron ellos fue el 12/12/2009(Desde el Sabado). El lunes pasado al iniciar los reportes, se analizo la muestra y solo 4 antivirus lo detectaban, y lo mas resaltante de este hecho fue que los antivirus que usualmente son utilizados aqui en Peru no lo detectaban. Asi mismo los 3 antivirus que se encuentran en el Cuadrante de Gartner(TrendMicro, McAfee, Symantec) que son utilizados por la mayoria de empresas corporativas aqui en Perú y en el Mundo, recien detectaron a este Malware luego de 5 o 6 dias. Es realmente aterrador, pensar que empresas antivirus teniendo la muestra en sus laboratorios se demoren tanto en sacar la vacuna(varios dias). Esta Web que hago referencia es visitada por miles de personas en el todo el Perú y no dudo que haya infectado a algunos de ellos. Y me pregunto realmente estamos protegidos?. Que podemos hacer para que esto no vuelva a suceder.

En primer lugar tenemos la prevencion, y es muy importante prevenir que una amenaza de malware afecte a la organizacion. Por una parte sabemos que los malwares de hoy en dia no destruyen informacion vital de las computadoras, pero lo que hacen es robar informacion, y eso podria ser aun peor que borrarla.

Seguimos en el historial de esa variante del troyano Cosmu, El Lunes por la tarde solo 10 antivirus detectaban esta muestra. Y solo 5 de ellos lo detectaban en forma correcta, los otros 5 con su heuristica. Porque enfatizo esto, porque detectar en forma heuristica depende mucho de como esta configurado el antivirus, en algunos casos, esta opción no esta por defecto para no generar falsos positivos. Al ser detectado en forma heuristica, por lo general se le pregunta al usuario que accion tomar, otros antivirus simplemente mandan la muestra a cuarentena. Ya que se trataba de un malware peruano, ese misma noche me contacte con Jose Martinez(Creador del Antivirus The Hacker) para indicarle lo sucedido y puedan capturar una muestra de este troyano. En forma efectiva en cuestion de minutos sacaron una actualizacion que detectaba y elimina al troyano en mencion. La muestra tambien fue enviada a otras empresas antivirus.

El Martes por la tarde el troyano fue eliminado de la pagina web, de esta manera impidiendo que otros usuarios queden infectados. El miercoles 15 empresas antivirus ya detectaban al troyano en mencion. Y por fin el Viernes ultimo 21 antivirus ya detectaban a este troyano, entre los que recien detectaron al bicho estaba McAfee, TrendMicro y Symantec. Como dije anteriormente casi 6 dias en detectar y eliminar al bicho.

Y me pregunto, las empresas se encuentran protegidas realmente?. Yo creo que al aumentar en forma exponencial las muestras de malwares que aparecen diariamente estamos en un constante peligro. Y no podemos confiar que un antivirus pueda solucionar nuestros problemas. Es aqui que tenemos que crear politicas de seguridad en nuestras empesas para minizar el riesgo de infección. Y adicionalmente instalar otros softwares que nos permitiran en conjunto con los antivirus prevenir esta clase de amenazas. En estos momentos estoy evaluando varios softwares que supuestamente ayudarian a los antivirus con estos problemas. Esto me tomara algunas semanas, poder realizar una evalucion correcta y objetiva. En un proximo post estare presentando estas evaluaciones.

Recuerden que la manera mas rapida de poder eliminar esta clase de amenazas es en forma manual. Y para esto se necesita tener conocimientos de los procesos en memoria y los registros de Windows, y bastante experiencia con Malwares. Ya que los antivirus no detectan miles de malwares, debemos nosotros tener los conocimientos necesarios para realizar este proceso. Y es por eso que estoy dictando seminarios, talleres en referencia a esto. Ya que muchas personas desconocen que es factible poder luchar contra los malwares sin necesidad de utilizar un antivirus. Espero que las empresas tengan esto en consideracion, y abran los ojos a esta nueva alternativa; y que el area de TI o Soporte Tecnico o Seguridad Informatica de estas empresas sepan que existe una forma que puede determinar si una maquina esta infectada o no, con una mayor exactitud que un Antivirus.

0 comentarios:

Publicar un comentario