Los motores antivirus tardan demasiado en detectar el malware
Entre 4 y 80 horas es el tiempo que necesitan los motores antivirus para detectar que están recibiendo un ataque de malware; un retraso que podría señalarse como causa del incremento en el número de incidentes ocasionados por código malicioso registrado en los últimos 18 meses.
Cuestiones de actualidad como la gripe porcina o la muerte de Michael Jackson han sido aprovechadas por los spammers y distribuidores de malware para llegar a miles de víctimas. Un estudio sobre las amenazas de Internet en el segundo trimestre de 2009 -elaborado por Commtouch, especializada en seguridad web y del correo electrónico- señala que los niveles de spam alcanzaron un promedio del 80% de todo el tráfico de correo electrónico en el transcurso del trimestre, con un punto culminante del 97% en abril y tocando fondo en junio con un 64%.
El informe también pone de relieve que los ciberdelincuentes también saben sacar partido de las debilidades de los sistemas de protección para lograr el máximo efecto de sus ataques. Así, se apunta a la tardanza de los motores antivirus a la hora de detectar malware como una de las principales causas de los elevados índices de virus que circulan por el email. El estudio concluye que de media los principales antivirus tardan entre 4 y 80 horas en descubrir el código malicioso, dejando las redes desprotegidas durante varias horas.
Además, ha aparecido una variante nueva y agresiva de varios troyanos diferentes que los productos antivirus más importantes han tardado todo ese tiempo en detectar. “El objetivo de los virus, gusanos y troyanos son las deficiencias más destacadas de los antivirus tradicionales, tales como la incapacidad de producir firmas y heurísticas correctivas en el momento de los ataques de un nuevo malware”, afirma Abhilash Sonwane, vicepresidente y director de producto de Cyberoam, partner tecnológico de Commtouch que ha extraído algunas de las conclusiones del informe de éste para alertar sobre estas deficiencias.
Asimismo, en su lucha por conseguir su “maligno” objetivo, los atacantes están son cada vez más creativos. Por ejemplo, se ha percibido una nueva forma de phishing que se vale de un método único de redirección que sortea las soluciones tradicionales de filtro de URL, ocultando el código entre páginas alojadas en un sitio educativo legítimo usurpado previamente. Los servicios de salud y de correo electrónico basado en la Web encabezan la lista de sitios Web manipulados por intentos de suplantación, según destacan desde Commtouch.
También ha resurgido el spam con imágenes con nuevas tácticas precedentes a las normas del formato MIME para engañar a los motores anti-spam. Entre las tendencias de Web 2.0, el streaming media y las descargas figuran como las dos más populares dentro de la categoría de sitios con contenido generado por usuarios.
Respecto a las botnets, Commtouch detectó que cada día se activaron unos 376.000 nuevos ordenadores zombie y que Brasil sigue siendo el principal productor de equipos comprometidos, pues acapara el 17,5% de la actividad global de estos equipos infectados.
“Durante el último año y medio, los motores antivirus habían conseguido bloquear eficazmente muchas variantes de virus mediante firmas genéricas”, sentencia Amir Lev, jefe de tecnologías de Commtouch, “pero en el transcurso del segundo trimestre los difusores de código maligno han introducido una gran cantidad de variantes nuevas que son inmunes a esas firmas genéricas y, por tanto, provocan pronunciados aumentos en las muestras de malware bloqueadas por Commtouch”.
