03 febrero 2010

Kaspersky monta revuelo en la industria del malware

Esta historia se la estaba contando a un conocido cuando he caido en la cuenta de que seguramente sea interesante para muchos de nuestros lectores.

A modo introductorio y para todos los que no lo sepan, recordar que VirusTotal.com es un portal público que permite a usuarios de todo el mundo subir archivos sospechosos de virus a su página web, para que varias decenas de motores distintos y sus propias firmas compruebe si es un virus o no y muestre una tabla con los resultados según la aplicación. Bien. Virustotal adicionalmente envía estos archivos a las compañías para que analicen si realmente lo es o no y lo agreguen a sus archivos de firma. Algo que beneficia a los usuarios de estos productos y a las compañías antivirus. 

Ahora es cuando Kaspersky decide jugar con el resto la competencia Crean veinte ficheros inocentes y añaden diez de ellos como si fueran malware en sus motores. Suben todos a VirustTotal y comprueban (evidentemente) que ellos son los únicos que detectan estos ficheros como malware..

¿Qué ocurre? Las muestras detectadas son enviadas a las compañías y al poco tiempo reportadas por el resto como malware, cuando realmente no lo son. Esto demuestra que no han analizado realmente el bicho, limitándose únicamente a generar una firma y añadirla a su base de datos. Es más barato.

Kaspersky contó lo sucedido en una rueda de prensa y facilito el código fuente de las pruebas al blog de PcMag que ha publicado la noticia.

Entre las compañías que más me ha sorprendido: F-Secure, McAfee, Symantec y Fortinet. Amigos. FAIL.

Tampoco hay que alarmarse, ya se sabía que las compañías se copiaban firmas sin analizar  y Hispasec nos lo contó: en su boletín de uno-al-dia

Algunas compañías (aunque en principio NO están afectadas) ya están empezando a dar explicaciones y a hacer comentarios sobre lo sucedido en sus respectivos blogs
Los resultados de algunas muestras en VirusTotal:

26 comments :

Anónimo dijo...

Interesante el post.

No obstante me pregunto que pretende demostrar Karpesky con esta acción.

Desde mi punto de vista las compañías antivirus deberían trabajar conjuntamente en la protección contra el malware y fomentar el uso de bases de datos de firmas compartidas y servicios como virus total no es tan mala idea.

Este tipo de acciones parecen más una chiquillada y restan crédito a las empresas que lo fomentan.

tayoken dijo...

@Anónimo: ¿Que qué pretenden? Parece obvio...

Anónimo dijo...

Anonimo, entonces no existirian.

vierito5 dijo...

es un owned como una casa xDDD

Anónimo dijo...

A mi me parece una cabronada, pero simpática, una especie de inocentada. Se hacen publicidad positiva mientras hacen publicidad negativa a la competencia.
Me alegro de que decidieses contarlo, sí es interesante y muy curiosoo.

Goodbyez dijo...

Lo que pretende es demostrar que en vez de velar por la seguridad de nuestros datos, las compañías sólo copian lo de las demás, sin saber si es malware de verdad o qué.
Me parece un abuso de confianza por parte de compañías que venden productos y exigen una cuota (mensual, anual, bianual, etc) sin hacer su trabajo debidamente, que es analizar los archivos de verdad, no leerlos por etiquetas.

Trojan.JS.Redirector.ar dijo...

Los analistas de Kaspersky en Moscú parece que trabajan por el orgullo de hacerlo en Kaspersky Labs. Quieren ser los mejores y no les gusta los timos de otras compañías.

Miguel dijo...

divertido apunte, aunque yo no le daría más importancia. Las casas antivirus son el n-ésimo "jugador" del circo, y diría que no el más importante.

Anónimo dijo...

Hace años que las compañias antivirus (TODAS) estan desbordadas por la cantidad de malware que se genera diariamente (la cifra mas "realista" es de 40 a 70 nuevos cada dia), humildemente, demostrar que se pueden generar falsos positivos porque unos utilizan los datos de otros creo que es darse una patada en las pelotas de uno mismo (los que adquieren "mala fama" son los antivirus, no ciertas compañias de antivirus).
@Trojan.JS.Redirector.ar
Parece entonces que Karspersky analiza todos los virus que aparecen diariamente y el resto no lo hace.
@Anonimo
Las compañias antivirus no pueden trabajar conjuntamente porque son compañias, tienen que vender sus productos.

Novlucker dijo...

Afortunadamente en la noticia de pcmag también se hace referencia a lo agresivo de la heurística de algunos AV, que es lo que se puede ver como principal problema, porque de lo de copiar Kaspersky tampoco se libra, ... el mismo artículo de Hispasec lo demuestra

Saludos

Anónimo dijo...

A los laboratorios no llegan mas de 70 muestras nuevas todos los dias, muchisimas mas y Kaspersky no es la unica que analiza todos los dias, muchos otros AVs sacan firmas actualizadas todos los dias.

LeFF dijo...

¿Aún hay programas de esos? Antivirus...lo que hay que oir...

IdeasMX dijo...

Jajajaja se lo tienen merecido, las compañias de antivirus tienen la obligacion de estar comprobando todo, por algo las licencias no son gratis.

Carlos Bautista dijo...

La verdad es que obvio las compañias que siguen basandose en patrones mas que en reputacion siempre buscaran ponerse en primer lugar, pero recomiendo que se vea el análisis de nss labs http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

Fazulas dijo...

Interesante!! creo que con estas acciones ganamos lo usuarios, ya que porlo menos en una temporadilla comprobarán mejor a que añaden su firma!!

KoLo dijo...

Algunos antivirus son pateticos. Por hablar de uno, panda, me borraba un fichero importante pork se llamaba igual k un virus,,,¿veis logico que la unica comprobacion para ver si algo es un virus es mirar su nombre? Si claro, lo meti en exclusiones, pero no es la forma de trabajar...

Jar0b_ dijo...

En fin... Desaprovechar el servicio que ofrece VirusTotal de esa manera me parece bastante triste...

Anónimo dijo...

F-Secure lleva motor kaspersky, es normal que de positivo...

Infórmate antes de criticar

Alejandro Ramos dijo...

@Anónimo:
Ya me informé. ¿y tú?

http://www.f-secure.com/weblog/archives/00001198.html

Our products use a multiple engine approach and we have partnerships with a number of other vendors – Kaspersky is one of them. When we have an urgent case, the detection is added to our own proprietary engine. Any detection that is added to one of our products, whether our own engine or a partner's is throughly tested by our Database Update Publishers before it is released.

We think this process works pretty well for us – see the previous post on our detection rates.

Speaking of Kaspersky… They're an important partner of ours and we recently celebrated the tenth anniversary of that relationship. And so we had the Kaspersky management team here for a visit yesterday and today.

Informaté antes de comentar.

Un saludo y gracias por tu comentario.

Anónimo dijo...

Kaspersky, bien por esa idea que has tenido, pero no creas que los administradores de redes olvidamos tu software 'bloated', que ralentiza una máquina de forma voraz y que ha dejado más de una vez a empresas y particulares sin accceso a internet por tener datos corruptos en vuestra base de datos.
No sois peor que Panda, pero NOD32 y ahora Microsoft os está haciendo mucho daño, ¿eh?

Anónimo dijo...

Espero que no se le ocurra a todas las casas antivirus hacer lo mismo que Kaspersky...

Anónimo dijo...

Completamente de acuerdo con anonimo 4 de febrero de 2010 12:55

Creo que hay cosas mas importante en las que trabajar en vez de montar revuelo creando muestras falsas y que hacen que finalmente una compañía decida adquirir un antivirus u otro.

Rendimiento, uso, tipo de detección basada en comportamiento, gestión centralizada, funcionalidades adicionales tipo firewall personal, Host IPS, mayor número de sistemas operativos soportados, etc, etc, etc

Anónimo dijo...

si es veridico lo que comentan sobre estos falsos positivos de que kaspersky monto.entonces demuestra que es mas fuerte que la competencia.me cambio definitivamente de antivirus tengo instalado el norton 360.

1cli dijo...

La verdad que es curioso y llama la antención, aunque tampoco extraña tanto, ya que si para uno es malo, para los demás también, habría que ver que hubiera pasado con Kaspersky si lo hicieran al revés. Yo después de probar varios antivirus me he decantado por Nod32 ya que no me relentiza el sistema y además ya me ha salvado de unos cuantos virus ...
Al final lo que cuenta es que no te infecten el ordenador y da igual el antivirus, todos deberían ser igual de buenos, ya que todos te lo venden así ...

Anónimo dijo...

Panda hace unos años hizo algo parecido para demostrar que muchas compañias antivirus no analizan los bichos sino que sólo los almacenan en sus firmas. Lo hicieron porque creo que tienen algo que llaman inteligencia colectiva, que es como un mega sistema de analisis de bichos automatizado que ademas evita tener falsos positivos en sus ficheros de firmas. Incluso no hace mucho han sacado un antivirus gratis que dicen que no lleva fichero de firmas sino que lo hacen consultando a ese mega sistema. Yo creo que se les va la pinza ¿no?. Aún así me informaré para probarlo.

Raimon dijo...

yo también hace tiempo que no uso antivirus (y no uso Mac). No sé por qué os preocupan tanto todas esas nimiezas del siglo XX.
Y por lo de Kaspersky, es gracioso y simpático, pero al cabo ellos son la misma basura.
Saludos