El malware se vale de los antivirus para proteger sus intereses


Symantec publica una curiosa entrada en su blog sobre las licencias de uso de un kit de troyano. Como industria, no debe extrañar que un kit de malware sea adquirido con su correspondiente licencia de uso, archivo de ayuda, e incluso restricciones que protejan la "propiedad intelectual" del aguerrido (grupo) creador de la pieza o sistema (se suele suministrar el malware y además el código del panel de control de la botnet). Lo curioso es que se utiliza a las casas antivirus como arma arrojadiza, como una amenaza para quien viole los términos de uso del malware.





Cualquiera que desarrolle un programa y quiera obtener un beneficio económico directo por su venta, debe lidiar con el problema que supone que el software se distribuya de forma descontrolada más allá del primer comprador. Para eso se escriben unos términos de uso que acuerdan las condiciones del 'contrato' entre el comprador y el desarrollador. En el mundo underground, donde se venden binarios a demanda para crear una botnet, confiar en que el comprador (cuyo fin de por sí es ilegal) respete los acuerdos, es poco más que una cuestión de fe.

Symantec ha curioseado en los archivos de ayuda de un 'viejo conocido', el paquete de malware Zeus. Este crea una botnet con una interfaz muy cómoda con la que manejar a los zombis. En su acuerdo de licencia, aparte de la prohibición expresa de distribución descontrolada, aplicar ingeniería inversa y demás condiciones que se aplican en las licencias 'habituales' de software, se puede leer (en ruso):

"En caso de que se detecte la violación de los acuerdos, el cliente pierde el soporte técnico. Además, el código binario de la botnet será enviado inmediatamente a las casas antivirus."

Se utiliza a las casas antivirus como el 'coco' que puede venir a aguar la potencial 'fiesta' que organice el cliente con el kit de botnet adquirido. ¿Es efectiva esta amenaza? Suponemos que si a los usuarios legítimos les cuesta, no ya respetar, sino simplemente leer los acuerdos en las licencias de software en el marco de la legalidad, si lo trasladamos a otros ambientes, quizás no tenga mucho sentido esta amenaza. La detección por parte de los motores hace las veces de 'juez'
donde acudir cuando se viola un acuerdo. Una especie de 'embargo' de la mercancía.

Por tanto, se observa una curiosa mezcla de industrias, legítima y no. La del malware se sirve de la industria antivirus para cubrir dos intereses bien distintos: por un lado, usa al 'enemigo' para asegurar sus intereses, amenazando con enviar las muestras a los laboratorios si a alguien se le ocurre romper un trato con un estafador. Ejerce de 'chivato' confiando en la eficacia de los antivirus cuando les conviene.

Por otro, huyen de las firmas de los antivirus como de la peste, y el hecho de que una muestra que se quiere vender pase 'limpia' por los distintos motores (utilizan capturas y enlaces de VirusTotal.com, por ejemplo) se utiliza como estrategia de marketing y para potenciar el producto. Alardean de su capacidad para poner a prueba la eficacia de esos mismos motores en los que también confían en cierta forma para proteger sus intereses.

Aquí cabe matizar que el test que realizan con VirusTotal.com no se ajusta del todo a la realidad. El comportamiento de un antivirus en un escritorio es muy distinto al de nuestro sistema multimotor, sobre todo porque lo que encierra VirusTotal.com son versiones de línea de comando sin muchas funciones que incluyen los sistemas de escritorio que potencian sustancialmente su eficacia.

Más información:

Copyright Violations in the Underground
http://www.symantec.com/enterprise/security_response/weblog/2008/04/copyright_violations_in_the_un.html

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Botnets latinoamericanas
Es común que se hable de las botnet y se mencione sus características para infectar y controlar usuarios, pero no es habitual encontrar centro de Comandos y Control Latinoaméricanos....
Vulnerabilidad en Windows permite ejecución de código
Microsoft Windows es afectado por una vulnerabilidad no especificada, la cuál permite la ejecución arbitraria de código de forma remota....
Toshiba lanza nuevos modelos portátiles más ligeros
El fabricante de ordenadores Toshiba presentó ayer dos nuevos equipos portátiles Portege, basados en el procesador de Intel Pentium M. El Portege más ligero, el modelo R100, se convertirá en el producto insignia de la casa, al mostrar la capacida...
Revistas (ezine) Hacker School
Esta es una Revista muy basica de hack dirigida principalmente para estudiantes de primaria y bachillerato pero nunca esta demás leer y aprender algo nuevo....
Vulnerabilidades en Winamp
Se ha anunciado la existencia de dos vulnerabilidades en el popular reproductor de música Winamp de Nullsoft....
Inyección de código en Internet Explorer vía FTP
Internet Explorer permite ejecutar scripts y comandos de forma arbitraria a través de una vulnerabilidad existente en la funcionalidad Habilitar la lista de carpetas para los sitios FTP activada por defecto. En el momento de redactar esta nota no ...
Mozilla publica 7 boletines de seguridad
La Fundación Mozilla cierra el año publicando siete boletines de seguridad (del MFSA2011-53 al MFSA2011-59) para solucionar múltiples vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). ...
Malware hacktivista para Android
blogs.eset-la.com reportam una nueva amenaza que Además de existir campañas en contra de esta aplicación, en esta oportunidad se detectó un código malicioso que inyectado en una versión anterior del video juego (Beta 0.981), presenta una secci...
Ataque multi-stage explota Internet Explorer y Mozilla Firefox
En los últimos días hemos detectado una nueva inyección de código en sitios web, que realiza un ataque multi-stage. La siguiente imagen muestra el script que es inyectado en los sitios afectados:...
Knoppix 6.0 release ya disponible
Knoppix 6.0 ha sido liberada con varias nuevas actualizaciones y funciones. La última actualización de Knoppix fue hace un año (Marzo del 2008) con la versión 5.3.1. Knoppix es una distribución GNU/Linux que es distribuida en forma de Live CD y ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • intereses
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • proteger
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vale
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra