-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 30/04/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

El malware se vale de los antivirus para proteger sus intereses
---------------------------------------------------------------

Symantec publica una curiosa entrada en su blog sobre las licencias de
uso de un kit de troyano. Como industria, no debe extrañar que un kit de malware sea adquirido con su correspondiente licencia de uso, archivo de
ayuda, e incluso restricciones que protejan la "propiedad intelectual"
del aguerrido (grupo) creador de la pieza o sistema (se suele
suministrar el malware y además el código del panel de control de la
botnet). Lo curioso es que se utiliza a las casas antivirus como arma arrojadiza, como una amenaza para quien viole los términos de uso del
malware.

Cualquiera que desarrolle un programa y quiera obtener un beneficio
económico directo por su venta, debe lidiar con el problema que supone
que el software se distribuya de forma descontrolada más allá del primer comprador. Para eso se escriben unos términos de uso que acuerdan las condiciones del 'contrato' entre el comprador y el desarrollador. En el
mundo underground, donde se venden binarios a demanda para crear una
botnet, confiar en que el comprador (cuyo fin de por sí es ilegal)
respete los acuerdos, es poco más que una cuestión de fe.

Symantec ha curioseado en los archivos de ayuda de un 'viejo conocido',
el paquete de malware Zeus. Este crea una botnet con una interfaz muy
cómoda con la que manejar a los zombis. En su acuerdo de licencia,
aparte de la prohibición expresa de distribución descontrolada, aplicar ingeniería inversa y demás condiciones que se aplican en las licencias 'habituales' de software, se puede leer (en ruso):

"En caso de que se detecte la violación de los acuerdos, el cliente
pierde el soporte técnico. Además, el código binario de la botnet será
enviado inmediatamente a las casas antivirus."

Se utiliza a las casas antivirus como el 'coco' que puede venir a aguar
la potencial 'fiesta' que organice el cliente con el kit de botnet
adquirido. ¿Es efectiva esta amenaza? Suponemos que si a los usuarios
legítimos les cuesta, no ya respetar, sino simplemente leer los acuerdos
en las licencias de software en el marco de la legalidad, si lo
trasladamos a otros ambientes, quizás no tenga mucho sentido esta
amenaza. La detección por parte de los motores hace las veces de 'juez'
donde acudir cuando se viola un acuerdo. Una especie de 'embargo' de la mercancía.

Por tanto, se observa una curiosa mezcla de industrias, legítima y no.
La del malware se sirve de la industria antivirus para cubrir dos
intereses bien distintos: por un lado, usa al 'enemigo' para asegurar
sus intereses, amenazando con enviar las muestras a los laboratorios si
a alguien se le ocurre romper un trato con un estafador. Ejerce de
'chivato' confiando en la eficacia de los antivirus cuando les conviene.

Por otro, huyen de las firmas de los antivirus como de la peste, y el
hecho de que una muestra que se quiere vender pase 'limpia' por los
distintos motores (utilizan capturas y enlaces de VirusTotal.com, por
ejemplo) se utiliza como estrategia de marketing y para potenciar el
producto. Alardean de su capacidad para poner a prueba la eficacia de
esos mismos motores en los que también confían en cierta forma para
proteger sus intereses.

Aquí cabe matizar que el test que realizan con VirusTotal.com no se
ajusta del todo a la realidad. El comportamiento de un antivirus en un escritorio es muy distinto al de nuestro sistema multimotor, sobre todo
porque lo que encierra VirusTotal.com son versiones de línea de comando
sin muchas funciones que incluyen los sistemas de escritorio que
potencian sustancialmente su eficacia.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3476/comentar

Más información:

Copyright Violations in the Underground http://www.symantec.com/enterprise/security_response/weblog/2008/04/copyright_violations_in_the_un.html


Sergio de los Santos
ssantos@hispasec.com


Tal día como hoy:
-----------------

30/04/2007: El malware se duplica en el primer trimestre de 2007
http://www.hispasec.com/unaaldia/3110

30/04/2006: Ejecución de código en sendmail de Sun Cobalt
http://www.hispasec.com/unaaldia/2745

30/04/2005: Vulnerabilidades en Lotus Notes y Domino
http://www.hispasec.com/unaaldia/2380

30/04/2004: Denegación de servicio en diversos productos Symantec Client Firewall
http://www.hispasec.com/unaaldia/2014

30/04/2003: Actualización acumulativa para Microsoft BizTalk Server
http://www.hispasec.com/unaaldia/1648

30/04/2002: Retirada del borrador de RFC sobre publicación de vulnerabilidades
http://www.hispasec.com/unaaldia/1283

30/04/2001: Actualización de MySQL
http://www.hispasec.com/unaaldia/918

30/04/2000: Nueva vulnerabilidad en NetBIOS de Windows 9x
http://www.hispasec.com/unaaldia/551

30/04/1999: Tiendas on-line mal configuradas pueden exponer los datos de compradores
http://www.hispasec.com/unaaldia/185


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)