Tu antivirus puede enfrentarse a Malware Zero-Day

Publicado el 04 octubre 2013 por Scsintl


Testear productos antivirus mediante análisis de firmas es rápido. Se consiguen cientos de miles de muestras de malware conocido, se realiza un escaneo y se toma nota de cuantas muestras son interceptadas. Sin embargo, para un virus o amenaza zero-day -recién aparecida- puede no haber firmas disponibles. Testear un antivirus frente a este tipo de ataques es complicado, pero los laboratorios Av-Comparatives han desarrollado una técnica satisfactoria. Debemos decir, por otro lado, que ciertas firmas de antivirus han decidido abstenerse de participar en dicha prueba, por no estar de acuerdo en las condiciones en que se realiza.


Por definición, no es posible ejecutar un test empleando las muestras zero-day actuales. Esto es así porque en el momento en el que los investigadores capturan y validan la muestra, es posible que algunos laboratorios antivirus ya estén en camino de incorporar dicha muestra a sus firmas de virus. Av-Comparatives simula un ataque zero-day "congelando" la actualización de firmas de virus del programa, empleando así únicamente firmas anteriores que no puedan interceptar la amenaza y viendo que reacciones se producen.


Algunos productos detectarán nuevo malware empleando técnicas de heurística, identificando la amenaza por su similitud con otro malware conocido o por otras características. Los investigadores ejecutaron cada muestra "no detectada" por heurística, tomando nota de la reacción posterior: si la detección en función de estado u otro tipo de protección en tiempo real intercepta la amenaza o por el contrario esta se instala en el sistema.


Los antivirus que bloquearon el malware por sí mismos obtuvieron la máxima puntuación, mientras los que solicitaron intervención del usuario obtuvieron la mitad.


Muy buena detección


Basándonos únicamente en índices de detección, 11 de los 16 productos testeados obtuvieron la puntuación ADVANCED+, que es la máxima puntuación. Bitdefender encabezó este grupo, con un 97% de detección. Kaspersky o Emsisoft alcanzaron el 94%. Panda y Avast! bajan un escalón hasta ADVANCED, siendo una buena puntuación a pesar de no ser la más alta. Microsoft, de forma soprendente, consigue alcanzar también esta categoría, pero los laboratorios lo usan solo como puntuación base. Al final de la tabla nos encontramos con AhnLab y Vipre, que consiguen el aprobado STANDARD.



Molestos falsos positivos


Los análisis heurísticos y basados en situación deben ser debidamente configurados para no interferir en el correcto funcionamiento de programas sanos -esto es lo que se conoce como falso positivo-. Algunos de los antivirus analizados perdieron puntos por sufrir demasiados falsos positivos. Ya que los análisis han tenido lugar empleando las muestras de virus "congeladas" de Febrero. los investigadores han podido reutilizar los test de falsos postivos realizados en Marzo y así conbinarlo todo.


Seis de los productos perdieron 1 nivel de calificación debido a los falsos positivos. Para Emsisoft, eScan y G Data, esto supuso caer de la categoría ADVANCED+  a ADVANCED, mientras Panda cayó desde ADVANCED hasta STANDARD. En cuanto a AhnLab y Vipre, debido a que su puntuación base era STANDARD, finalmente se conformaron un mero TESTED, que significa que ha sido evaluado pero no ha superado las pruebas, por lo que no es recomendado.


Controversia respecto a Cloud


Las firmas que remiten sus productos para el testeo realizado, deben declararse conforme con los tests "requeridos" por Av-Comparatives. El test basado en firmas de virus es un set requerido. Symantec, sin embargo, no aprobó la metodología, motivo por el que no aparece en el artículo.


El test "proactivo", por otro lado, es opcional. De acuerdo al informe: "AVG, McAfee, Qihoo, Sophos y Trend Micro decidieron no tomar parte, ya que sus antivirus descansan firmemente "en la nube". Ya que el test "zero-day" ejecutado requiere desactivar esta funcionalidad, el problema está servido, pues estas marcas consideran que sus productos saldrán perjudicados sin una conexión a internet durante las pruebas.


Aunque AV-Comparatives ha permitido a estas marcas "escabullirse" de esta prueba, el informe arremete en cierto sentido contra ellas (no sin falta de razón desde nuestra perspectiva) y afirma lo siguiente: "Incluso semanas después, varias muestras de malware empleadas en los test aún no eran detectadas por los antivirus dependientes de Cloud, incluso teniendo sus características cloud habilitadas". Por otro lado considera "una excusa de marketing criticar los test retrospectivos por no permitir el uso de la tecnología cloud en los mismos". El informe concluye que "si un archivo es completamente nuevo/desconocido, la nube normalmente nos será capaz de determinar si es malicioso/inofensivo".


Si vuestro antivirus ha conseguido mantenerse firme en estas pruebas, quiere decir que estaréis mejor protegidos frente a amenazas "zero-day" o de nuevo cuño, que son las más preocupantes hoy en día. Pero también conviene decir que se trata de un test "orientativo" y no prueban que un antivirus con menor puntuación no pueda hacer el trabajo, ya que las muestras que se han empleado no son literalmente "nunca vistas" en la vida real.

Fuente: .mejor-antivirus.es