Interpretando los resultados de una deteccion de Virus en tu PC

Muchas veces a la hora de correr un análisis de virus en búsqueda de amenazas dentro de nuestra PC nos topamos desagradablemente con resultados que a veces ni los entendemos y se nos da tan solo por dar click en "Eliminar Amenazas". Sin embargo, soy de los que les gusta saber mas e investigar que es lo que este "Virus" ha estado haciendo a mi PC y también por que razón entro. En esta publicación analizaremos el primer punto. 



Analizando la estructura : 

Esta información es útil para interpretar los resultados arrojados por los diferentes Antivirus e incluyendo el de VirusTotal. Al conocer los nombres de detección se puede obtener información sobre las muestras y estimar la probabilidad de falsos positivos.




Vamos a concentrarnos en un orden, el cual es usado por la mayoría de los AV, basado en ciertos patrones repetitivos :


Plataforma, Tipo, Nombre y Variante

Voy a tomar como ejemplo el resultado arrojado por ESET NOD 32 al momento de detectar una amenaza :
Win32/Spy.Zbot.ABW
Como pueden ver aquí cada uno de los componentes esta separado por una razón y eso es justo lo que quiero explicar en este post :)


Plataforma : 

Esto puede especificar el sistema operativo y la arquitectura que el malware se ejecuta, por ejemplo, Unix , Win32 , Win64. Pero también puede especificar el lenguaje de programación en  que el archivo fue escrito. A veces se utilizan plataformas de paraguas , por ejemplo, la plataforma puede ser " genérico " (sin plataforma especificada ) Aqui les pongo algunos ejemplos :


  • PHP
  • Java
  • Powershell
  • Win64
  • Win32
  • MSIL
  • Generic
  • Script

Tipo : 

Este elemento especifica el tipo de virus al que hemos sido expuestos, es bastante comun que usen este tipo de nombres :

  • Trojan
  • Downloader
  • Dropper
  • Spy
  • Virus
  • Worm
  • Application
  • Adware
  • PUP
  • PUA
Puedo hacer un paréntesis a los últimos 4 ejemplos para indicar que a veces se presenta este tipo de de archivos indeseados que en realidad son nombres generales y que por alguna razon han parado en la lista negra de los motores de antivirus mas conocidos. 


Nombre : 

El nombre de malware suele ser el nombre de la familia a la que pertenece . Pero hay un montón de ocasiones en donde usan nombres mas genéricos los cuales son matcheados con una base de datos respectiva. 

Variante : 

El Malware a menudo evoluciona con el tiempo . Ya sea porque el autor agrega mas funcionalidades o  cuando cambia partes de su código para evadir la detección. Estas versiones modificadas se convierten en variantes del malware originales . Todas las variantes de un malware pertenecen a una familia de malware , que se indica con el nombre de malware.

Informacion Adicional : 

A veces puede traer información adicional que nos permita conocer un poco mas sobre el dichoso Malware. Por ejemplo pueden mostrar un sufijo o prefijo que denota si un archivo se detectó genérica o heurísticamente. Estos términos dicen algo acerca de cómo se hizo la decisión para detectar el archivo


Nombres genéricos : 


Los nombres por defecto son diferentes para cada proveedor y son creados por lo general para las entradas añadidas de forma automática; a veces pueden ser añadidos por los analistas de malware si no quieren pensar en un nombre propio. 

Nombres predeterminados típicos son Agent o Generic y en su mayoria son colocadas en Trojanos : 

Trojan.Generic.KD.87847
Trojan.Win32.Generic!BT
Trojan ( 00071a9a1 )
Artemis!5EAC6EABC66A
Win.Trojan.Agent-691724
Gen:Variant.Zusy.53898
UnclassifiedMalware

Detección basada en análisis genérico y en heuristica : 


Las detecciones basadas en un analisis generico por su mayoria trabajan en base a una revision superficial sobre los nomre y tipo de familias de malware encontradas en una PC, en su mayoria arroja resultados denominados falsos-positivos. 




La heuristica basa su control en relación al comportamiento malicioso de algún proceso o archivo y hace un estudio enfocado a tal problema, esto es lo que hace que un AV sea inteligente o no, tambien es importante indicar que a veces el abuso de esta clase de "inteligencia" hace que una PC pueda correr "lento" ya que para hacer seguimiento a tal fin hace falta el consumo de recursos extra. 

Aqui un ejemplo de un resultado de virus encontrado mediante Heuristica
BehavesLike.Win32.Dropper.cc
Gen:Backdoor.Heur.FU
Win32.Trojan-Ransom.CryptoWall.D@gen
Gen:Win32.Necurs
Gen:Variant.Dyzap.13 

Saludos!
Powered by Blogger.