Kaspersky monta revuelo en la industria del malware lanzando ficheros con cadenas que identifican como virus para engañar a la competencia
A modo introductorio y para todos los que no lo sepan, recordar que VirusTotal.com es un portal público que permite a usuarios de todo el mundo subir archivos sospechosos de virus a su página web, para que varias decenas de motores distintos y sus propias firmas compruebe si es un virus o no y muestre una tabla con los resultados según la aplicación. Bien. Virustotal adicionalmente envía estos archivos a las compañías para que analicen si realmente lo es o no y lo agreguen a sus archivos de firma. Algo que beneficia a los usuarios de estos productos y a las compañías antivirus.
Ahora es cuando Kaspersky decide jugar con el resto de la competencia. Crean veinte ficheros inocentes y añaden diez de ellos como si fueran malware en sus motores. Suben todos a VirustTotal y comprueban (evidentemente) que ellos son los únicos que detectan estos ficheros como malware..
¿Qué ocurre? Las muestras detectadas son enviadas al resto de compañías y al poco tiempo reportadas por el resto como malware, cuando realmente no lo son. Esto demuestra que no han analizado realmente el bicho, limitándose únicamente a generar una firma y añadirla a su base de datos. Es más barato.
Kaspersky contó lo sucedido en una rueda de prensa y facilito el código fuente de las pruebas al blog de PcMag que ha publicado la noticia.
Entre las compañías que más me ha sorprendido: F-Secure, McAfee, Symantec y Fortinet. Amigos. FAIL.
Tampoco hay que alarmarse, ya se sabía que las compañías se copiaban firmas sin analizar y Hispasec nos lo contó: en su boletín de uno-al-dia
Algunas compañías ya están empezando a dar explicaciones y a hacer comentarios sobre lo sucedido en sus respectivos blogs:
•ESET: total-and-unacceptable-shortcuts
•TrendMicro: http://blog.trendmicro.com/on-the-trustworthiness-of-the-av-industry-and-av-tests/
Los resultados de algunas muestras en VirusTotal:
total.com/analisis/5aee7efe6a1ad748c8f866218e42343bdbedee091a15e5931d5ccfd8b3b3b78d-1264831301
total.com/analisis/0de6dfa1cc4a89c591a7d9fcbf241e4a25aadce63b187c37a18cf047c9f89772-1264867956
total.com/analisis/b2a11a712d57bf24bc093174f04b86ca2eef6ce9c43198c5ff36a6577f028c45-1264867934
total.com/analisis/7e79b4efded4c457be503891d6240c0676cb72d7c563e93836f3d4d57862b903-1264867923
total.com/analisis/7e79b4efded4c457be503891d6240c0676cb72d7c563e93836f3d4d57862b903-1264867923
total.com/analisis/0b974b85d37882e3c4160bca0a7beb917492412d365b7c59885b38bb94921c6b-1264867640
Fuente
Comentario:
Pues ya solo falta que hagan lo contrario, que hagan virus que no controlen ni ellos ni los demás… lo cual ha sido y será la pregunta típica por la suspicacia de algunos…
saludos
ms, 3-2-2010
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.