Docu-mientos anexos: El valor de los antivirus

18 Octubre 2011

Autor: Antonio Manuel Amaya

Hace un rato me ha llegado un correo que reproduzco a continuación:

 

 

 

 

 

 

Para que el correo fuese más bonito, hasta le dije al Thunderbird que descargase la imágenes, tras verificar que, efectivamente, la descarga era de la web de la policía. Si bien a primera vista (bueno, a primera vista rápida desde una cierta distancia) el correo puede parecer legítimo, una vez nos ponemos las gafas de leer, el correo es más sospechoso que un duro de madera. No solo la palabra ‘procedimiento’ aparece escrita de tres formas distintas (una incluso correcta), sino que no se han molestado ni en disimular con el ‘adjunto’. Ya avisan de que es un “documiento”, el enlace es a un servidor web externo, y ni se han molestado en esconder el tipo del archivo (SCR).

Claro que, por otra parte, ¿por qué tiene un usuario medio, digamos mi hermana, que saber que SCR es la extensión de los salvapantallas, y que en realidad son ficheros ejecutables a los que simplemente se les cambia la extensión? Particularmente si desde Windows 200 para acá en Microsoft decidieron que eso de las extensiones era una cosa fea y cutre y decidieron ocultarlas.

En cualquier caso, no se trata hoy de despotricar contra la extendida costumbre de confundir ‘facilidad de uso‘ con ‘ocultar la información‘ sin mirar que implicaciones puede tener no mostrar la información. Y, afortunadamente para mi ordenador, mi tranquilidad mental, y posiblemente mi cuenta corriente, yo no soy mi hermana.

Ni siquiera se trata de pensar en la ironía de usar un supuesto correo de la policía para distribuir malware. Supongo que en este caso con lo que juegan más que con la curiosidad o la lujuria de los usuarios es con su mala conciencia de los mismos (posiblemente relacionado con la curiosidad o la lujuria :P) y esperarán que cuando reciban el correo pensarán ‘¿que habré hecho?’ y pulsarán rápidamente el enlace sin pararse a leer el texto, ni a pensar que puñetas significará “el procedimiento de investigación de que se trata en esta conducta regional“.

Así pues hagamos un ejercicio de imaginación y pensemos que somos alguien que no sabe lo que es un SCR, y que pulsa compulsivamente en los enlaces que le vienen en los correos. Pero supongamos además que, irónicamente, estamos concienciados de que la red es un sitio peligroso y por lo tanto tenemos instalado un antivirus. Así que, confiando en nuestras medidas profilácticas, pulsamos el enlace, y descargamos el fichero.

¿Que pasará? A juzgar por los dos antivirus que yo tengo en este PC, que el ejecutable será considerado benigno y digno de confianza.

Es más, suponiendo una distribución uniforme de ventas de los antivirus, que tendremos un 88.4% de posibilidades de que el antivirus nos diga que el fichero que hemos descartado es puro y limpio, y que lo podemos ejecutar con total alegría:

Y, para eso, tres de los cinco que lo detectan deben dar falsos positivos a mansalva. Solo dos de los antivirus (cuales es irrelevante) lo identifican como un Troyano/descargador. El resto lo identifica como ‘sospechoso‘ simplemente porque está empaquetado con AsPack, es decir el ejecutable real está comprimido/cifrado dentro del ejecutable descargado. Supongo que en AsPack Software no cabrán en sí de gozo de que todo el software que sus clientes hagan, bueno o malo, sea marcado como sospechoso por algunos antivirus.

Tras esto no me queda otra que inclinarme ante los comerciales de la industria de seguridad. No se me ocurre ningún otro campo en el que se venda un producto profiláctico que consume recursos constantemente, es irritante, y que, cuando de verdad hace falta, falla en un casi 90% de los casos.

Y lo mejor de todo es que visto el enorme éxito que tiene el modelo en los PCs de sobremesa para controlar las infecciones, la industria está lanzada a toda máquina para exportar el mismo modelo hacia los nuevos dispositivos: Una búsqueda de ‘antivirus móvil’ en Google devuelve casi 40 millones de resultados. Y, solo en el primero, hay 38 antivirus para descargar.

 

 Author: Antonio Manuel Amaya

Just a while ago, I’ve received the following email:

To enhance the email, I told Thunderbird to download the attaching images, after checking, for sure, that the downloaded file was from the police web site. Although at first sight (well, at a quick first sight from a distance) they seem legal, once we put on our glasses, these emails become highly suspicious. Not only the word “procedure” is written into three different ways (even a correct one) but they didn’t even bother hiding the “attachment”. They’ve already notified that it is a “fake doc”, the link will take you to an external server, and they didn’t even bother to conceal the file format (SCR).

On the other hand, why does an average user, for instance my sister, have to know that SCR is a screensaver’s extension and that these are actually executable files whose extensions are simply changed? Particularly, from Windows 200 until now in Microsoft they decided that extensions were ugly and shabby and they decided to hide them.

Anyway, nowadays it is not about ranting and raving against the common habit of mixing “user-friendliness” with “hiding information” without taking into account the consequences that can be drawn from not showing information. And, fortunately for my computer, my mental peace, and probably my current account, I am not my sister.

We don’t even think about using a specific police email to deliver malware. I guess that in this case they are playing with their bad conscience (probably related to their curiosity) rather than with users’ curiosity. And when users receive the emails they’ll wonder what they have done and they will rapidly click on the link overlooking the text, nor thinking the meaning of “research procedure whereby this regional behavior is dealt”

Therefore, let’s think we are somebody who doesn’t know what SCR means, and consequently he clicks compulsively on the links of his emails. But let’s suppose as well that, ironically, we are aware of the fact that Internet network is an untrustworthy site so that we need to install an antivirus. Then trusting in our preventive measures, we click on the link and download the file.

What will happen? Considering the two antivirus I have in this PC, the executable file will be considered good and trustworthy.

Furthermore, if we have a uniform distribution of antivirus sales, there’ll be an 88.4% possibility of being informed by our antivirus that the rejected file is clean and that we can execute it safely:

For this, 3 out of 5 antiviruses must produce loads of false positive results. Only two of the antiviruses (no matter which) identify it as a Trojan-downloader. The remainder identifies it as “suspicious” simply because it’s packed with Aspack, that is, the real executable is encoded within downloaded executable. I guess that in AsPack Software , they are not enjoying the fact that all the software developed by their customers, whether it is good or bad, is marked as suspicious by some antivirus.

After all this, I have no choice than bowing to security industry agents. I cannot think of any other field whereby a preventive product, which consumes resources continually, is sold. Besides it is annoying, and what’s more, when you really need it, it fails in 90% of the cases.

The best thing is that after  the success of this model in desktop computers to control viruses, the  industry is developing exports of the same model towards new devices: A “mobile antivirus“ search in Google provides nearly 40 million results. And, only in the first one, there are 38 antiviruses to download.

 

 

 

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.