News

Consejos básicos para describir un virus

El lunes 16 de julio fuimos unos de los primeros en anunciar la aparición de Gpcode.ai, la última variante del troyano ransomware.
Ahora la mayoría de las empresas de antivirus saben que este programa nocivo está rondando en la red y ofrecen al público gran variedad de artículos y descripciones detalladas de este troyano. Es un lindo detalle de su parte.

Sin embargo, leer la información que los distintos vendedores proveen es más divertido de lo normal. Me llamó la atención que las empresas de antivirus, al tratar de no revelar información que podría ser peligrosa, acabaron perjudicándose a ellos mismos y a los demás. La industria necesita una serie de reglas generales de publicación para unificar y definir la información que se publica.

Veamos algunos ejemplos:

La descripción de Symantec incluye información sobre el sitio que Gpcode usa para intercambiar información.

¿Por qué no muestran la URL completa? Por una buena razón: Las empresas de antivirus nunca proveen los enlaces completos a sitios que pueden contener programas maliciosos o información confidencial. Por esa razón los analistas solo proveen enlaces parciales y reemplazan la parte omitida con [REMOVED].

Ahora veamos la descripción de Trend Micro.

Los analistas de Trend decidieron no publicar la URL completa,. pero por desgracia ellos eliminaron una parte del enlace, y Symantec la otra.

Ambas empresas querían, con las mejores intenciones, resguardar la información de este sitio. Sin embargo, en conjunto, lograron publicar esta información.

Esto demuestra la necesidad de una regla general de publicación que abarque todas las empresas de antivirus.

En otros casos, se puede ver qué tipo de información es encubierta por unas compañías y revelada por otras.

Este es otro ejemplo de Trend, sacado de “read_me.txt”, un archivo que el troyano Gpcode deja en el ordenador de la víctima. En este caso, la empresa reemplazó el correo electrónico del autor y el código personal de la víctima con %s y %d.

Nosotros hicimos lo mismo cuando presentamos nuestra descripción de Gpcode.ai:

“Para comprar el programa, por favor contáctenos al correo: xxxxxxx@xxxxx.com e ingrese su código personal -xxxxxxxxx.”

En este caso está claro que Trend Micro y Kaspersky Lab pensaron lo mismo: Que no debían publicar esa información.

¿Y qué decidió hacer Panda Software?

Esta empresa no solo decidió publicar esta información, ¡también la resaltó!

A pesar de que Symantec decidió sustituir esta información por [MAIL ADDRESS] y [PERSONAL CODE], la publicó en otra parte del mismo informe y acabó proveyendo la dirección de correo de cuatro víctimas…

En otras palabras, la situación es desastrosa. El colmo fue cuando, como se muestra arriba, los analistas de Symantec decidieron que ocultar el enlace al artículo de Wikipedia sobre RSA.

Sin comentarios.

Consejos básicos para describir un virus

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada