Según informa el equipo de E-Eye a través de sus alertas por correo, se ha detectado una importante actividad por parte de una pieza de malware, cuyo objetivo principal sería atacar algunos productos Symantec.
Los productos afectados son:
Symantec AntiVirus 10.0.x para Windows
Symantec AntiVirus 10.1.x para Windows
Symantec Client Security 3.0.x para Windows
Symantec Client Security 3.1.x para Windows
No deja de ser curioso que el equipo de E-Eye descubriera esta vulnerabilidad remota en mayo, y que fuera corregida por el fabricante apenas un mes después. Aún así, E-Eye considera que el parque de usuarios potencialmente vulnerable puede ser elevado, y recomiendan tomar medidas al respecto.
Si usas alguno de los dos productos afectados, puedes cortar el tráfico vía puerto tcp/2967 como medida preventiva, ya que es en ese puerto donde se localiza habitualmente el interfaz de gestión de los productos citados, a la vez que te aseguras disponer de las últimas versiones de Client Security y el Antivirus de Symantec.
ssc-agent 2967/tcp SSC-AGENT
ssc-agent 2967/udp SSC-AGENT
El problema de seguridad que explota este gusano podría provocar la ejecución remota de código arbitrario con privilegios SYSTEM en los sistemas afectados, con lo que podría clasificarse de muy grave.
Si tienes curiosidad en ver cómo se porta Symantec como producto antivirus, puedes ojear esta comparativa. Estos estudios los realiza AV-Comparatives.org, y con las debidas limitaciones que toda comparativa tiene, puede servirnos de referencia. También hay abuntantes estudios en AV-Test.org, y en un sinfín de publicaciones online.
Todos estos estudios deben tenerse en cuenta de una manera muy cautelosa, ya que las comparaciones rara vez son fieles a la realidad. Otra manera más eficiente de evaluar un producto es la que podemos hacer nosotros mismos. Si localizáis y/o sois invitados a algún grupo o foro de investigación, y lográis haceros algún contacto generoso que os pase una batería de muestras de vez en cuando (el malware es como los cromos, muchos investigadors independientes agradecerán que les envíes muestras que no ellos no posean), podréis someter las muestras al producto que tengáis instalado. Tampoco es mala opción recolectar uno mismo esas muestras, empleando un honeypot casero, navegando por sitios Web proclives a la presencia de malware o exponiendo una cuenta de correo lo máximo posible, con el propósito de recibir mensajes que nos inviten a realizar descargas, que habitualmente conducirán a muestras. Otra fuente jugosa de muestras no muy machacadas son las redes P2P, donde habitualmente vienen en forma de cracks, generadores de números de serie, métodos mágicos para robar contraseñas de Hotmail o presuntas imágenes de famosas desnudas, por poner algunos ejemplos.
A poco que os hagáis con una batería de muestras no muy trilladas, podréis evaluar vosotros mismos si vuestro producto antivirus responde bien o no a las amenazas. Nunca será un análisis exacto y exhaustivo, pero desde luego, es perfectamente válido y aclarador para hacerse una idea de la parte que no suele aparecer en las comparativas, y esa no es otra que cómo responden los productos frente a las amenazas que puedes recibir y para las cuales, habida cuenta de su novedad o su especialización, no existe una firma de detección disponible en tu antivirus.
Un saludo ;)