10 de junio de 2010

Facturas para no olvidar

Ayer en la empresa volvimos a recibir otro de los famosos troyanos, un .exe, camuflados  en un ZIP, con icono de Microsoft Word y con el clásico nombre en cual aparece la palabra "Factura" por algún lugar y ".doc" justo antes de un chorro de guiones bajos que preceden su verdadera extensión (.exe).

Hace no más de un mes, recibimos un fichero de este tipo, menos mal que el usuario receptor fue precabido y me avisó antes de ejecutar nada, ya que el mail con el que llegaba, cantaba un bastante lo que traía con él. En ese momento estábamos probando nuestro nuevo proveedor de correo por lo que en fase de pruebas y que un filtro antispam y antivirus no parase ese mail con un fichero adjunto, que por su nombre y extensión gritaba "Soy un troyano", era para suspender la fase de pruebas y no contratar sus servicios.
Como no me gusta sacar conclusiones a la ligera, lo analicé con el antivirus corporativo que tenemos y al obtener un falso negativo, se me ocurrió subirlo a Virus Total; el resultado fue desolador tan solo 1 de los 41 motores lo detectaba, así que decidí subirlo a varias veces durante unos cuantos días y postear los resultado obtenidos aquí.
El servicio antispam y antimalware se salvaba de que no lo contratásemos, ya que con ese índice inicial de detección no podemos justificar que el servicio no es el correcto. 


Como de nuevo esta vez el motor antispam y antimalware lo ha vuelto a dejar pasar sin ningún tipo de advertencia, lo he subido, como hice con el anterior, a Virus Total y el resultado ha sido:
  • En mi primer análisis por mi parte, ya que ya había sido analizado una vez dos horas antes aproximadamente, un solo motor lo detectaba; podéis ver el informe aquí.
  • En mi segundo análisis, medido día más tarde aproximadamente, lo detectaban cuatro motores; podéis ver el informe aquí.
Así que de nuevo estamos no veo lícito realzar reclamación alguna ya que el índice de detección cuando nos ha entrado es extemadamente bajo.

No obstante si que veo lógico abrir una reclamación por no detectarlo como SPAM, ya que con un mega potente motor antispam y antimalware que está en la nube, así es como lo venden, no dé ningún tipo de advertencia o catalogue el mail como SPAM, solo por el simple hecho de llevar un .exe comprimido en un ZIP y con nombre que obedece el clásico patrón comentado al inicio de este post.

Para finalizar solo me gustaría añadir que los antivirus podrían añadir un sistema de advertencia al usuario al estilo de "Posible fichero malicioso", cuando detectasen ficheros con nombres con patrones sospechosos, no creo que sea tan difícil añadir un sistema de advertencia de este tipo, ¿no?


Hasta la próxima enfermos.

No hay comentarios:

Publicar un comentario