blog

Como actuar con un Zero-day virus o Zero-day attack

Escrito por maximo.dominguez | Apr 28, 2015 11:42:00 PM

 

 

Existen infinidad de amenazas informáticas que podemos encontrar hoy día, pero las más peligrosas son las Zero-day Virus o Zero-day Attack, conocidas como vulnerabilidades de Día Cero, un tipo de ataque que se caracteriza por infectar equipos informáticos aprovechando la ventana de vulnerabilidad que ofrece el hecho de no tener un patrón de detección existente.

 

Este tipo de amenazas son las más peligrosas puesto que no hay ningún parche, actualización o solución en el momento que ocurren, o no en todas las plataformas o antivirus al mismo tiempo.

Es aquí donde DOS FACTORES JUEGAN UN PAPEL INDISPENSABLE:


          1. La capacidad HEURISTICA del motor antivirus, que sin tener definición exacta de la amenaza en el motor, el antivirus puede en base a complejos algoritmos matematicos, llegar a detectar la misma.

          2. La velocidad de los responsables en actualizar la base de datos y definiciones del antivirus, que instantes despues de ser publicadas se actualizarán en todos los clientes del planeta según sus criterios de actualización.

 

 

Con esta perspectiva, solo queda entender que NADA ES INFALIBLE y que lo que es más importante, desde finales de los años 80 (con su virus de la pelotita) siempre hemos estado expuestos a esta ventana ZERO-DAY de infección...

Pero también es cierto que hoy día las infecciones más grandes no se producen con VIRUS sino con PROGRAMAS EJECUTABLES (troyanos), donde realmente no existe "viralidad" , por ello es importante antes revisar los conceptos:

 

Virus informático es un programa o software que se autoejecuta y se propaga insertando copias de sí mismo en otro programa o documento. Un virus informático se adjunta a un programa o archivo de forma que pueda propagarse, infectando los ordenadores a medida que viaja de un ordenador a otro.

 

Un troyano informático es un programa "aparentemente útil", pero en realidad hará daño una vez instalado o ejecutado en tu ordenador. Los que reciben un troyano normalmente son engañados a abrirlos porque creen que han recibido un programa legítimo o archivos de procedencia segura, utilizando todo tipo de "inteligencias sociales" como campañas de renta, comunicados de correos o bancarios etc... etc...

 

 

Teniendo más claras estas diferencias, en los últimos meses hemos tenido attaques masivos de mails con comunicados o webs, que nos llevan a páginas web de "aparente seriedad" con el único objetivo descargar un archivo, que suele ser un ZIP (comprimido) aumentando en muchos casos las capacidades de exito de pasar los filtros de inspección de los sistemas activos en firewalls, para finalmente esperar que la víctima, acabe ejecutando el archivo que llevan dentro en local. Estos últimos ataques estan basados en el famoso CryptoLocker pero esto se tocara en más detalle en nuestro proximo POST.

 

 

La pregunta que nos toca hacer ahora... ¿QUE PODEMOS HACER EN ESTOS CASOS?

 

 

Pues desde aquí, os vamos a dar unos sencillos consejos:

 

 

1. Cualquier archivo que seais "invitados a descargar"  y tengais dudas de su reputación u origen, EVITAR DESCOMPRIMIRLO y sobretodo NO LO EJECUTEIS.

 

2. Informaros de las últimas tendencias (en apenas 2 minutos) sobre amenazas online, en algun portal reconocido, nosotros os recomendamos  http://www.satinfo.es/noticies/ o su BLOG http://www.satinfo.es/blog/

Debemos que considerar, que desde la web de SATINFO podemos en su apartado de herramientas, y con el alta de clientes, descargar herramientas como la última versión de EliStarA.exe etc...

http://satinfo.es/web-wp/index.php/descargas/utilidades-de-satinfo/utilidades_de_descarga_mas_frecuente/

http://www.zonavirus.com/descargas/elistara.asp

 

3. Si aun así queremos saber mas sobre esa potencial amenaza que hemos recibido podemos CONSULTAR ONLINE tanto el ARCHIVO como la PAGINA WEB mediante el portal VIRUSTOTAL

 

En el ejemplo inferior vemos el resultado de consultar la web de CORREOS famosa en los últimos ataques, y vemos que este DOMINIO (pensar que son cambiantes y muy dinámicos) en el momento del test solo la detectan tres motores de análisis de los 63 del mercado. OBVIAMENTE CON EL PASO DE LAS HORAS EL NIVEL DE DETECCIÓN AUMENTA.

 

 

Para el análisi del ARCHIVO, del mismo caso de TROYANO camuflado en mail de correos

 

 

 

 

Obtenemos que UNICAMENTE 4 MOTORES DE ANALISIS LO DETECTAN EN ESTOS MOMENTOS... Y 2 POR HEURISTICA (no por firmas de la base de datos)

 

 

Existen dos opciones alternativas a la WEB, para realizar estos PRE-ANALISIS que sin duda nos pueden ayudar a VERIFICAR CON 56 MOTORES si hay amenaza o no...

 

A. Mediante PLUG-IN de Firefox, que siempre lo tendremos a mano para verificar la supuesta web o archivo...

 

 

B. Mediante un aplicativo local, que nos permitiría subir el ARCHIVO SOSPECHOSO o algo también útil en caso de "estar contaminados" que nos permitiría analizar el SERVICIO EN CURSO para poder ver si es o no MALICIOSO.

 

 

Con este post no hemos solucionado el problema, pero podremos GUIAR A NUESTROS CLIENTES en unas "BEST PRACTICE", que no se centra simplemente en  EVITAR ABRIR ARCHIVO  o EVITAR CLICKAR WEB, sinó que nos permitirá evaluar de forma rapida, si lo que tenemos entre manos es una amenaza NUEVA pero conocida por algún motor del mercado...

Por último y no menos importante...Si queremos contribuir a la causa, siempre podremos enviar el "archivo sospechoso" en un ZIP, de forma comoda y rapida, a los fabricantes de ANTIVIRUS mediante el portal:

http://www.zonavirus.com/enviar-muestras-de-virus.asp

 

Hasta la proxima!!! Y no bajeis la guardia!!!!