Nueva versión del virus MyDoom deja en jaque a la mayoría de antivirus

05/03/2005 - 22:00 por anonymuss | Informe spam
Nueva versión del virus MyDoom deja en jaque a la mayoría de antivirus
Guillem Alsina 05/03/2005, 13:30:29
http://diariored.com/blog/001037.php

Los antivirus basados en firmas han demostrado que este es un sistema
caduco, y que deberán incluir tecnologías proactivas para ser
realmente eficaces ante los retos que se les planteará en un futuro
próximo.

Recientemente ha sido detectada una nueva variante de un gusano de
sobras conocido, MyDoom. La nueva rama de este patógeno fue dada a
conocer por McAfee a través de su centro AVERT (Anti-Virus and
Vulnerability Emergency Response Team). Bautizada como
W32/Mydoom.bb@MM, esta nueva variante está considerada como de riesgo
medio, pese a que infecta la máquina atacada con el troyano
BackDoor-CEB.f, considerado peligroso. Dicho troyano desactiva la
actualización del antivirus presente en el sistema y abre una puerta
trasera que facilita el control remoto de la máquina afectada.

Para contagiar a más máquinas se transmite a través del correo
electrónico, utilizando para ello su propio servidor SMTP y enviándose
a las direcciones que recolecta en la máquina infectada.

Pero este patógeno ha hecho algo más que provocar una epidemia, ha
dejado al descubierto lo que muchos fabricantes de antivirus temían:
que sus métodos de detección no son tan eficaces como creían.

La nueva variante de MyDoom no fue detectada por la mayoría de los
antivirus del mercado, pese a que las versiones anteriores sí eran
detectadas. ¿Como puede pasar esto? Según informa el website dedicado
a la seguridad informática Hispasec, en un artículo de Bernardo
Quintero, este patógeno es el mismo que en julio de 2004 afectó a
algunos buscadores de Internet como Google, pero comprimido con el
programa MEW, un compresor de ejecutables.

Los motores antivirus analizan las operaciones de acceso a disco, pero
los ejecutables comprimidos se descomprimen en memoria RAM, por lo que
al cargar el archivo (aún comprimido), el antivirus no es capaz de
analizarlo si está comprimido utilizando un algoritmo que el programa
desconoce. Una vez descomprimido en RAM, el patógeno tendrá las manos
libres para hacer lo que quiera.

Quintero pone a la nueva variante de MyDoom como a un claro ejemplo de
que los sistemas de detección clásicos que emplean los antivirus, a
través de las llamadas "firmas" (trozos del código de un virus que el
programa reconoce) están desfasados.

En opinión de Quintero, se hace necesario que los antivirus que
quieran ser efectivos en el futuro próximo incluyan tecnologías
proactivas (es decir, que permitan detectar el virus antes de que este
haga efectiva la infección y sus efectos perniciosos).

Los antivirus que detectaron exitosamente la nueva modificación de
MyDoom sin necesitar una actualización específica fueron BitDefender,
Kaspersky, NOD32, Norman y Panda.

Más información:

¿Por qué la mayoría de antivirus no han detectado al "nuevo" Mydoom? -
Hispasec - Una al día 17/02/2005
http://www.hispasec.com/unaaldia/2308

Preguntas similare

Leer las respuestas

#1 Diego Calleja
05/03/2005 - 22:21 | Informe spam
El Sat, 5 Mar 2005 22:00:57 +0100,
anonymuss escribió:

Pero este patógeno ha hecho algo más que provocar una epidemia, ha
dejado al descubierto lo que muchos fabricantes de antivirus temían:
que sus métodos de detección no son tan eficaces como creían.





Lo que siempre se ha dicho en estos foros: Es NECESARIO tener un minimo de sentido
común, si te fias 100% de los antivirus...
Respuesta Responder a este mensaje
#2 Diego Calleja
05/03/2005 - 22:21 | Informe spam
El Sat, 5 Mar 2005 22:00:57 +0100,
anonymuss escribió:

Pero este patógeno ha hecho algo más que provocar una epidemia, ha
dejado al descubierto lo que muchos fabricantes de antivirus temían:
que sus métodos de detección no son tan eficaces como creían.





Lo que siempre se ha dicho en estos foros: Es NECESARIO tener un minimo de sentido
común, si te fias 100% de los antivirus...
Respuesta Responder a este mensaje
#3 Diego Calleja
05/03/2005 - 22:21 | Informe spam
El Sat, 5 Mar 2005 22:00:57 +0100,
anonymuss escribió:

Pero este patógeno ha hecho algo más que provocar una epidemia, ha
dejado al descubierto lo que muchos fabricantes de antivirus temían:
que sus métodos de detección no son tan eficaces como creían.





Lo que siempre se ha dicho en estos foros: Es NECESARIO tener un minimo de sentido
común, si te fias 100% de los antivirus...
Respuesta Responder a este mensaje
#4 sergio
05/03/2005 - 22:35 | Informe spam
siempre le habrás oído a JM Tella, que lo único válido es
el SENTIDO COMUN.


Nueva versión del virus MyDoom deja en jaque a la


mayoría de antivirus
Guillem Alsina 05/03/2005, 13:30:29
http://diariored.com/blog/001037.php

Los antivirus basados en firmas han demostrado que este


es un sistema
caduco, y que deberán incluir tecnologías proactivas


para ser
realmente eficaces ante los retos que se les planteará


en un futuro
próximo.

Recientemente ha sido detectada una nueva variante de un


gusano de
sobras conocido, MyDoom. La nueva rama de este patógeno


fue dada a
conocer por McAfee a través de su centro AVERT (Anti-


Virus and
Vulnerability Emergency Response Team). Bautizada como
W32/, esta nueva variante está considerada


como de riesgo
medio, pese a que infecta la máquina atacada con el


troyano
BackDoor-CEB.f, considerado peligroso. Dicho troyano


desactiva la
actualización del antivirus presente en el sistema y


abre una puerta
trasera que facilita el control remoto de la máquina


afectada.

Para contagiar a más máquinas se transmite a través del


correo
electrónico, utilizando para ello su propio servidor


SMTP y enviándose
a las direcciones que recolecta en la máquina infectada.

Pero este patógeno ha hecho algo más que provocar una


epidemia, ha
dejado al descubierto lo que muchos fabricantes de


antivirus temían:
que sus métodos de detección no son tan eficaces como


creían.

La nueva variante de MyDoom no fue detectada por la


mayoría de los
antivirus del mercado, pese a que las versiones


anteriores sí eran
detectadas. ¿Como puede pasar esto? Según informa el


website dedicado
a la seguridad informática Hispasec, en un artículo de


Bernardo
Quintero, este patógeno es el mismo que en julio de 2004


afectó a
algunos buscadores de Internet como Google, pero


comprimido con el
programa MEW, un compresor de ejecutables.

Los motores antivirus analizan las operaciones de acceso


a disco, pero
los ejecutables comprimidos se descomprimen en memoria


RAM, por lo que
al cargar el archivo (aún comprimido), el antivirus no


es capaz de
analizarlo si está comprimido utilizando un algoritmo


que el programa
desconoce. Una vez descomprimido en RAM, el patógeno


tendrá las manos
libres para hacer lo que quiera.

Quintero pone a la nueva variante de MyDoom como a un


claro ejemplo de
que los sistemas de detección clásicos que emplean los


antivirus, a
través de las llamadas "firmas" (trozos del código de un


virus que el
programa reconoce) están desfasados.

En opinión de Quintero, se hace necesario que los


antivirus que
quieran ser efectivos en el futuro próximo incluyan


tecnologías
proactivas (es decir, que permitan detectar el virus


antes de que este
haga efectiva la infección y sus efectos perniciosos).

Los antivirus que detectaron exitosamente la nueva


modificación de
MyDoom sin necesitar una actualización específica fueron


BitDefender,
Kaspersky, NOD32, Norman y Panda.

Más información:

¿Por qué la mayoría de antivirus no han detectado


al "nuevo" Mydoom? -
Hispasec - Una al día 17/02/2005
http://www.hispasec.com/unaaldia/2308
.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida