Nueva versión del virus MyDoom deja en jaque a la mayoría de antivirus

Nueva versión del virus MyDoom deja en jaque a la mayoría de antivirus
Guillem Alsina 05/03/2005, 13:30:29
http://diariored.com/blog/001037.php

Los antivirus basados en firmas han demostrado que este es un sistema
caduco, y que deberán incluir tecnologías proactivas para ser
realmente eficaces ante los retos que se les planteará en un futuro
próximo.

Recientemente ha sido detectada una nueva variante de un gusano de
sobras conocido, MyDoom. La nueva rama de este patógeno fue dada a
conocer por McAfee a través de su centro AVERT (Anti-Virus and
Vulnerability Emergency Response Team). Bautizada como
W32/Mydoom.bb@MM, esta nueva variante está considerada como de riesgo
medio, pese a que infecta la máquina atacada con el troyano
BackDoor-CEB.f, considerado peligroso. Dicho troyano desactiva la
actualización del antivirus presente en el sistema y abre una puerta
trasera que facilita el control remoto de la máquina afectada.

Para contagiar a más máquinas se transmite a través del correo
electrónico, utilizando para ello su propio servidor SMTP y enviándose
a las direcciones que recolecta en la máquina infectada.

Pero este patógeno ha hecho algo más que provocar una epidemia, ha
dejado al descubierto lo que muchos fabricantes de antivirus temían:
que sus métodos de detección no son tan eficaces como creían.

La nueva variante de MyDoom no fue detectada por la mayoría de los
antivirus del mercado, pese a que las versiones anteriores sí eran
detectadas. ¿Como puede pasar esto? Según informa el website dedicado
a la seguridad informática Hispasec, en un artículo de Bernardo
Quintero, este patógeno es el mismo que en julio de 2004 afectó a
algunos buscadores de Internet como Google, pero comprimido con el
programa MEW, un compresor de ejecutables.

Los motores antivirus analizan las operaciones de acceso a disco, pero
los ejecutables comprimidos se descomprimen en memoria RAM, por lo que
al cargar el archivo (aún comprimido), el antivirus no es capaz de
analizarlo si está comprimido utilizando un algoritmo que el programa
desconoce. Una vez descomprimido en RAM, el patógeno tendrá las manos
libres para hacer lo que quiera.

Quintero pone a la nueva variante de MyDoom como a un claro ejemplo de
que los sistemas de detección clásicos que emplean los antivirus, a
través de las llamadas "firmas" (trozos del código de un virus que el
programa reconoce) están desfasados.

En opinión de Quintero, se hace necesario que los antivirus que
quieran ser efectivos en el futuro próximo incluyan tecnologías
proactivas (es decir, que permitan detectar el virus antes de que este
haga efectiva la infección y sus efectos perniciosos).

Los antivirus que detectaron exitosamente la nueva modificación de
MyDoom sin necesitar una actualización específica fueron BitDefender,
Kaspersky, NOD32, Norman y Panda.

Más información:

¿Por qué la mayoría de antivirus no han detectado al "nuevo" Mydoom? -
Hispasec - Una al día 17/02/2005
http://www.hispasec.com/unaaldia/2308