Win32/Bypass: Anulando la detección antivirus de ficheros

Extraordinario trabajo el que publica FraMe en este interesante documento de investigación.

En el tema de análisis antivirus estamos ya habituados a opiniones que cometan la bondad de determinadas soluciones (yo uno de ellos), hemos leído muchas comparativas sobre si es mejor la detección por firmas o por heurística, hemos visto por activa y pasiva análisis de los distintos productos (en los que nadie se moja lo más mínimo). En resumen, el «I+D» en temas antimalware se ha basado siempre en lo oportuna o inoportuna que es una solución para un contexto determinado, explotando hasta la saciedad que la calidad de un antivirus hay que medirla por las tasas de detección y las tasas de falsos positivos.

Pero lo que nunca habíamos leído es hasta qué punto es posible engañar al producto antivirus para dificultar la detección de muestras. Me ha impactado este trabajo, no sólo por ser pionero, al menos en lengua castellana, sino por la elocuencia y calidad de su ejecución. Sencillamente, fantástico.

Después de leer cosas así, además de terminar de convencerme que las soluciones antivirus son ineficaces per se y que en muchos contextos invertir en tecnología antivirus es prácticamente equivalente dilapidar dinero, uno empieza a plantearse que la calidad de las soluciones antivirus no se puede medir únicamente por las tasas de detección. En resumen, el documento narra distintas técnicas para ejecutar código malicioso en Windows, evitando ser detectado, lo que evidencia dificultades en algunos productos de postín, como BitDefender 8/10, AVG 7.5.1, Avast! 4.7, Panda 05/07, Norton 07, Nod32 2.5, ZoneAlarm Antivirus 6.5 y Kaspersky 6. Alguna de las técnicas de prueba empleadas comprenden crear rutas de más de 255 carácteres, rutas en formato 8:3 y cambio en la asociación de las extensiones de los archivos ejecutables.

Un trabajo extraordinario que os recomiendo leáis. Me ha dejado particularmente atónito. Podéis descargar el paper en Win32/Bypass: Anulando la detección de ficheros.

Hacen falta análisis de este tipo más a menudo. Felicidades, FraMe.