Reflexiones sobre SirCam
[30-07-01]
Dos años después de que apareciera Melissa, el gusano que pilló desprevenidos a miles de usuarios, vamos para atrás, como los cangrejos. SirCam sólo representa una nueva faceta, unas más, del mismo problema. ¿Hay soluciones?
Desde la simplicidad de Melissa o ILoveYou, pasando por especímenes mucho más elaborados y complejos como Hybris o Magistr, el problema siempre es el mismo. Por un lado, los usuarios que no se resisten a la tentación de abrir el archivo adjunto que les llega a través del correo electrónico. Por el otro, los antivirus que siguen siendo incapaces de proteger contra virus nuevos. El resultado es siempre la infección de miles de sistemas, la espera mientras las casas antivirus desarrollan la vacuna y, después, las actualizaciones que deben realizar los usuarios para reconocer el nuevo virus.
En el mejor de los casos, cuando se trata de gusanos de gran propagación, la vacuna suele estar disponible entre 12 y 24 horas después de las primeras infecciones, tiempo más que suficiente para que el virus logre autoenviarse a miles de sistemas aprovechando Internet. El problema se agrava si tenemos en cuenta los desfases que ocurren entre la aparición de la vacuna y la actualización por parte de los usuarios. A continuación los resultados obtenidos en la Encuesta AntiVirus 2001 - Hispasec, llevada a cabo hace unas semanas sobre más de 2000 usuarios que participaron en el test EICAR.
Cada cuanto tiempo suele actualizar su antivirus:
Todos los días -> 23,46%
Dos o tres veces por semana -> 15,64%
Una vez a la semana -> 29,62%
Dos o tres veces al mes -> 14,10%
Una vez al mes -> 11,28%
Trimestralmente -> 2,82%
No suele actualizarlo -> 3,08%
Tuvimos ocasión de comentar este problema con Eugene Kaspersky y Mikel Urizarbarrena, presidentes de AVP y Panda Software respectivamente, con motivo de la Comparativa Antivirus 2001 de Hispasec (http://www.hispasec.com/comp_avs2001.asp?id=18). Ambos coincidieron en apuntar a la heurística como solución, si bien queda patente que sigue resultando trivial crear virus que burlen este tipo de detecciones genéricas.
Otras soluciones más genéricas pasan por el uso de la criptografía. En la misma comparativa antivirus abordamos esta posibilidad en el caso concreto de Windows XP y el uso de la firma digital a nivel de aplicaciones (http://www.hispasec.com/comp_avs2001.asp?id=28).
Visto que aún existe un gran número de usuarios que hacen oídos sordos a la regla de oro de no abrir archivos adjuntos no solicitados, que los antivirus no planean modificar su esquema actual y que tampoco esperamos que Microsoft resuelva este problema a nivel de sistema operativo, vamos a proponer una solución intermedia.
Actualizaciones Urgentes Automatizadas
Como hemos visto, el desfase de tiempo entre la aparición en escena del virus y la protección efectiva del usuario es debido en su mayor parte al proceso de actualización del antivirus. La mayoría de las soluciones dejan esta acción a discreción del usuario, que debe activarla manualmente.
Existen otras soluciones que permiten automatizar estas descargas, si bien los tiempos no suelen ser inferiores a 24 horas y aún son muchos los usuarios reticentes a que el antivirus decida cuándo descargar cientos de kilobytes sin tener en cuenta que puede consumir ancho de banda en detrimento de otros servicios que se estén utilizando en ese momento, como descarga de otros archivos, juegos en línea, vídeoconferencias, etc.
La propuesta consiste en que el antivirus pueda detectar la necesidad de una actualización urgente, cómo por ejemplo la de SirCam, y proceder a la descarga automatizada de su correspondiente vacuna. La comprobación periódica a través de Internet mientras el usuario está conectado no tiene por qué consumir más que unos pocos bytes (puede ser inferior a 1 Kb a la hora), tráfico insignificante que no supone molestia alguna para el usuario.
Ante la detección de una alerta, la casa antivirus sólo tendría que modificar el estado en su servidor y los antivirus procederían a la descarga automática de la vacuna de forma casi inmediata. El tráfico producido en el caso de alerta también sería mínimo, pues incluiría la vacuna específica para el virus en lugar de las actualizaciones diarias o periódicas que suelen incluir información sobre decenas de especímenes.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1008
Más información:
18/07/2001 - SirCam, gusano de propagación masiva
http://www.hispasec.com/unaaldia.asp?id=997
21/03/2001 - Análisis del polifacético y peligroso Magistr
http://www.hispasec.com/unaaldia.asp?id=878
13/02/2001 - AnnaKournikova: ¿fracaso de la comunidad antivirus?
http://www.hispasec.com/unaaldia.asp?id=842
29/11/00 - "Hybris", un nuevo giro en la historia de los virus
http://www.hispasec.com/unaaldia.asp?id=766
01-05-2000 - Alerta: VBS.LoveLetter infecta miles de sistemas
http://www.hispasec.com/unaaldia.asp?id=552
28-3-1999 - HispaSec analiza a Melissa
http://www.hispasec.com/unaaldia.asp?id=152
Bernardo Quintero
bernardo@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|
